Thread Verfasser: sala99
Thread ID: 1779
Thread Info
Es gibt 9 Beiträge zu diesem Thema, und es wurde 381 Mal angesehen.
 Thema drucken
Rac_clan_panel Bewerbung Sicherheitslücke?
sala99
Guten Tag zusammen

wir nutzen Php fusion 8.70
und php version 7.3

soweit läuft alles ohne Probleme

bis auf das was die Nacht Passiert ist
wir nutzen folgende Infusion Rac_Clan_Panel Für Bewerbungen
gleich vor ab PHP-Code Ausführung erlauben ist im Admin Bereich Deaktiviert

815 Bewerbung mit sehr merkwürdigen Benutzernamen und Zeichen

hier mal ein kleiner Ausschnitt

Code

Benutzername   sKFT') AND 5776=1126 AND ('YxnT'='YxnT
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   ++++++++
Uhrzeit   02:04
Datum   09.04.2021
Löschen
Benutzername   sKFT') AND 5776=1126 AND ('YxnT'='YxnT
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   ######
Uhrzeit   02:04
Datum   09.04.2021
Löschen
Benutzername   sKFT') AND 5776=1126 AND ('YxnT'='YxnT
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   ######
Uhrzeit   02:04
Datum   09.04.2021
Löschen
Benutzername   sKFT') AND 5776=1126 AND ('YxnT'='YxnT
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   ######
Uhrzeit   02:04
Datum   09.04.2021
Löschen
Benutzername   sKFT' AND 2278=1163 AND 'cXDI'='cXDI
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   ######
Uhrzeit   02:04
Datum   09.04.2021
Löschen
Benutzername   sKFT' AND 2278=1163 AND 'cXDI'='cXDI
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   #######
Uhrzeit   02:04
Datum   09.04.2021
Löschen
Benutzername   sKFT' AND 2278=1163 AND 'cXDI'='cXDI
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   #######
Uhrzeit   02:04
Datum   09.04.2021
Benutzername   (SELECT (CASE WHEN (1531=5986) THEN 0x734b4654 ELSE (SELECT 5986 UNION SELECT 3479) END))
E-Mail   WSyE
Bewerbung als   Gast Modi
Bewerbungsbegründung   
Benutzer-IP   ######
Uhrzeit   02:04
Datum   09.04.2021



Folgendes stand auch im Fehler Log

Code

Fehler:   Uninitialized string offset: 0   Zeile:   69
Datei:   infusions/rac_clan_panel/clan_bewerbung.php   Seite:   infusions/rac_clan_panel/clan_bewerbung.php

Fehler:   Illegal string offset 'cla_job'   Zeile:   69
Datei:   infusions/rac_clan_panel/clan_bewerbung.php   Seite:   infusions/rac_clan_panel/clan_bewerbung.php

Fehler:   Undefined index: aid   Zeile:   24
Datei:   infusions/rac_clan_panel/clan_admin.php   Seite:   infusions/rac_clan_panel/clan_admin.php

Fehler:   Undefined index: cla_dropdowns   Zeile:   54
Datei:   infusions/rac_clan_panel/clan_admin.php   Seite:   infusions/rac_clan_panel/clan_admin.php


Die Zeile 69
habe ich deaktiviert vor knappe 2 Wochen und bis heute wahr ruhe
Code
// $sel1 = ($cla_drop['cla_job'] == $data1['cla_drop'] ? " selected='selected'" : "");


ich brauch bitte Hilfe um das zu beheben
ich bin für jede Hilfe sehr dankbar
hoffe bin hier richtig mit dem Thema
Danke in Vor raus

ich hab erst mal das panel deaktiviert
Bearbeitet von sala99 am 09.04.2021 um 14:26
 
MaZzIMo24
Für mich sieht es so aus als ob da jemand versucht hat per SQLinjection Ergebnisse zu erzielen.
Wurde eine IP geloggt? Ist das Bewerbungsformular für Gäste nutzbar bzw einsehbar? Wenn ja wieso ^^
Grundsätzlich sollten Recaptcha oder gleichwertige Systeme bei solchen dingen denn verbaut sein, wenn es eine für Gäste einsehbare Anwendung ist.

Des weiteren um es entspannter für dich zu lösen, Sperre diesen Bereich für Gäste!
Schreibe den Entwickler an und Informiere ihn über diese Sicherheitslücke!
Projects: MZ.CMS | MZ.Fusion | Bot.API
Programmierkenntnisse: PHP, Html(5), CSS / SCSS, jQuery, Javascript, Sql, RegExp
 
sala99
Hy MaZzIMo24

Diese Vermutung habe ich auch
zu der frage wer sich beworben hat sehen keine mitglieder und keine Gäste
Bewerbungsformular war für Gäste sichtbar so das sich jemand bewerben kann
Ip Adresse ist gesichert Also ip vorhanden nicht sichtbar für Gäste und mitglieder
erst mal danke für die info gut das ich das gleich deaktiviert habe das ganze
 
MaZzIMo24
Ja, da dein Team ja sicherlich aus Seitenmitgliedern bestehen wird solltest du das Formular sichern.
Die IP Adresse sperren würde so nichts bringen, IP Adressen sind in der Regel Dynamisch und werden Meist nach 24std oder einen Router Neustart neu vergeben.
Also wird diese IP Adresse vermutlich schon durch einen anderen Clienten genutzt.
Projects: MZ.CMS | MZ.Fusion | Bot.API
Programmierkenntnisse: PHP, Html(5), CSS / SCSS, jQuery, Javascript, Sql, RegExp
 
rotz
Schon mal mit ,,cXDI,, und 5776=1126..auseinergesetzt. Solche Registrieren sind Tagtäglich auf Webseiten zu lesen bzw. erfolegen..

Sperre den Port mit einem Bereich von da bis da. Problem zeitlich gelösst. Ansonsten solltest du dein SSH Updaten. Ich empfehle für PHP Fusion kein Lets Encrypt. Es gibt bessere Schutzprogramme für Webseiten..und Chinenische und Russische Bots ...Ect. nutzen keine Router.....

Die Infusion sollte überarbeitet werden...frag den Entwickler.

Und bist du dir sicher das ihr PHP Fusion 8.7 nutzt?
Bearbeitet von rotz am 12.04.2021 um 23:03
 
Systemweb
Zitat: rotz schrieb:
Schon mal mit ,,cXDI,, und 5776=1126..auseinergesetzt. Solche Registrieren sind Tagtäglich auf Webseiten zu lesen bzw. erfolegen..
Ach wirklich? Hierzu wäre ein Link von dir hilfreich. Angriffe gibt es ständig und überall. Aber dass dabei immer die selben Methoden mit den gleichen Zufallszahlen und Zufallsstrings verwendet werden wäre mir neu. Ansonsten müsste ich nur cXDI und 5776 auf die Blacklist setzen und könnte entspannt durchatmen.

Zitat: Sperre den Port mit einem Bereich von da bis da.
Ports sperren gegen SQL Injections??? Welche denn? Vom MySQLServer und Webserver? Klar wenn man seine Seite unerreichbar macht wird man auch nicht angegriffen. Danke für diesen Tipp!

Zitat: Ansonsten solltest du dein SSH Updaten.
Per SSH wird in der Regel ein Server angegriffen, keine einzelne Webseite. Mit dem hier berichteten Angriff hat es definitiv nichts zu tun.

Zitat: Ich empfehle für PHP Fusion kein Lets Encrypt. Es gibt bessere Schutzprogramme für Webseiten..
Ich habe wirklich selten so einen Blödsinn gelesen. LetsEncrypt ist ein Schutzprogramm? Ich dachte bisher, es handelt sich dabei um eine Zertifizierungsstelle für SSL Zertifikate. Dem Zertifikat ist es völlig wurscht, ob es für viel Geld von einem teuren Anbieter oder kostenlos verifiziert wird. Die SSL Verschlüsselung wäre in beiden Fällen exakt die gleiche.

Zitat: und Chinenische und Russische Bots ...Ect. nutzen keine Router.....
Alles klar, die sind per Wasserrohr mit dem Internet verbunden.

Zitat: Die Infusion sollte überarbeitet werden...frag den Entwickler
Die einzigste verwertbare Aussage in deinem Beitrag.
 
sala99
guten abend zusammen

hy rotz

zu deiner frage ob wir php fusion 8.70 nutzen
ja ich bin mir ziemlich sicher was das angeht das wir es nutzen

zurück zum eigentlichen Thema

die Infusion ist deinstalliert
sie ist von Taker seine seiten sind irgend wie nicht erreichbar
den hätte ich ihn dadrüber angeschrieben

danke Systemweb für die aufklärung
 
MaZzIMo24
Zitat: Systemweb schrieb:

Zitat: rotz schrieb:
Schon mal mit ,,cXDI,, und 5776=1126..auseinergesetzt. Solche Registrieren sind Tagtäglich auf Webseiten zu lesen bzw. erfolegen..
Ach wirklich? Hierzu wäre ein Link von dir hilfreich. Angriffe gibt es ständig und überall. Aber dass dabei immer die selben Methoden mit den gleichen Zufallszahlen und Zufallsstrings verwendet werden wäre mir neu. Ansonsten müsste ich nur cXDI und 5776 auf die Blacklist setzen und könnte entspannt durchatmen.

Zitat: Sperre den Port mit einem Bereich von da bis da.
Ports sperren gegen SQL Injections??? Welche denn? Vom MySQLServer und Webserver? Klar wenn man seine Seite unerreichbar macht wird man auch nicht angegriffen. Danke für diesen Tipp!

Zitat: Ansonsten solltest du dein SSH Updaten.
Per SSH wird in der Regel ein Server angegriffen, keine einzelne Webseite. Mit dem hier berichteten Angriff hat es definitiv nichts zu tun.

Zitat: Ich empfehle für PHP Fusion kein Lets Encrypt. Es gibt bessere Schutzprogramme für Webseiten..
Ich habe wirklich selten so einen Blödsinn gelesen. LetsEncrypt ist ein Schutzprogramm? Ich dachte bisher, es handelt sich dabei um eine Zertifizierungsstelle für SSL Zertifikate. Dem Zertifikat ist es völlig wurscht, ob es für viel Geld von einem teuren Anbieter oder kostenlos verifiziert wird. Die SSL Verschlüsselung wäre in beiden Fällen exakt die gleiche.

Zitat: und Chinenische und Russische Bots ...Ect. nutzen keine Router.....
Alles klar, die sind per Wasserrohr mit dem Internet verbunden.

Zitat: Die Infusion sollte überarbeitet werden...frag den Entwickler
Die einzigste verwertbare Aussage in deinem Beitrag.


Göttlich!!! Beim Wasserrohr habe ich kurzzeitig das Bewusstsein verloren und fand mich unter'm Schreibtisch wieder :'Wink Danke
Projects: MZ.CMS | MZ.Fusion | Bot.API
Programmierkenntnisse: PHP, Html(5), CSS / SCSS, jQuery, Javascript, Sql, RegExp
 
rotz
Das sind Generatoren......chinenische seiten und auch russische Seiten nutzen einen bestimmten Bereich der bei Fusion offen ist. z.B eine gute Idee ist die Portsperre.....einige Seiten haben es schon drin..und bei Stackowerflow(Sorry für den Namen) wird darüber heftig diskutiert.

Ich bin kein Sicherheitsexperte was Webseiten betrifft..da stehe ich bei Alfa ganz hinten.......aber die erwähnen sogar PHP.net auf dieses Sicherheitsproblem hinzuweisen...das es bei PHP 8 eingepfleckt wird.......die portsperre zu integrieren....und da sieht fusion alt aus.....
 
Springe ins Forum: