PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : cronhack ?



Kraemer84
02.12.2010, 23:20
Ist es möglich das der cron von der tagesklickralley bzw monatsklickralley gehackt werden kann ?

frag das weil ich auf einmal ganz komische ergebnisse in der Klickralley hab und immer einen jackpotgewinn von einer millionen rausgeb ?

also sinn würde es machen wenn man so 3-4 mal hintereinander den cron resettet/hackt das dann jedesmal die gewinne ausgegeben werden ??

hatte jemand schon sowas ?

DimpleX
03.12.2010, 09:51
moin,

von gehört schon
daher den Ordner mit den crons .htaccess password schützen ;)


MfG
DimpleX

Kraemer84
03.12.2010, 13:55
ok und wie funktioniert das ? weil würd das gern auch mit meinem adminforce machen aber die funktion wie man ordner mit htaccess sichert hab ich noch gar nicht gemacht

Masterphil
03.12.2010, 16:22
Hi Kreamer, da wirste wohl die Suche benutzen müssen,

Bin mir zimlich sicher da gabs ein paar Anleitungen fürs VMS1 wo die Crons noch ungeschützt waren im Standartscript.

MfG

SilentRunner
03.12.2010, 17:39
geh in deiner confixx

passwortschutz.........dort dem ordner crons und adminforce Zugangsdaten verabreichen....fertig

aber denke dran, das du dann deine crons bei cronjob.de anders ausrufen musst

Hardy
03.12.2010, 17:58
Man sollte aber dazu sagen das, das Verzeichniss Crons nur in der alten Version geschützt werden muss...in der neuen Version werden die Crons ja via cron.php und id und passwort aufgerufen :wink:

Kraemer84
03.12.2010, 19:29
geh in deiner confixx

passwortschutz.........dort dem ordner crons und adminforce Zugangsdaten verabreichen....fertig

aber denke dran, das du dann deine crons bei cronjob.de anders ausrufen musst


hat geklappt danke ja und ich hätte die sufu benutzen sollen aber da hab ich das mit dateien gelesen ??

FLash
04.12.2010, 05:15
Man kann sich immernoch mittels SQL inject einhacken, abhilfe schafen würden da Prepared statesments.
aber son VMS script hat ziemlich viele abfragen da würd das dauern alles umzubauen. bei interesse kannst ja mal nach googeln..

der verbindungsaufbau zur datenbank würde ungefähr so aussehen:


try
{
$dbh = new PDO($strDbLocation, $strDbUser, $strDbPassword);
}
catch (PDOException $e)
{
echo 'Fehler beim Öffnen der Datenbank: ' . $e->getMessage();
}

jpwfour
04.12.2010, 13:46
Man kann sich immernoch mittels SQL inject einhacken, abhilfe schafen würden da Prepared statesments.
...

Wo? Zum zweiten: nein. Nicht die Prepared Statements schaffen die Sicherheit, die korrekte Anwendung derselben führt dazu. Und wer ordentlich programmiert, hat den absolut identischen Sicherheitsfaktor auch ohne prepared statements, die vereinfachen das evtl., aber wie du schon sagtest, müsste man im VMS da zu viel ändern, als dass es wirklich Sinn macht.

Aber wenn die Cronstruktur im VMS1 "hackbar" ist, kannst du uns ja evtl. mitteilen, wie, dann kann man das beheben.

Btw.:

man kann auch (normalerweise) einzelne Dateien vor dem Aufruf schützen, im Falle eines VMS mit "neuer" Cronstruktur sollte man evtl den Direktaufruf
aller Dateien im Verzeichnis "crons" verbieten:

Order deny,allow
Deny from allin der .htaccess Datei.

Um nur die cron.php mit einem Passwort zu schützen:
http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz
(scrollen zu
Erweiterte Möglichkeiten:)

Masterphil
04.12.2010, 14:12
Also hier mal noch ein einfacher aber doch sehr effektiver Trick die Crons zu schützen, hatte ich damals in meinen ersten VMS 1.1 so gemacht da wie schon gesagt keine Sicherung vorhanden war.

Der Trick, einfach einen neuen Ordner erstellen, am besten in den Tiefen des OrdnerJungels der schon vorhanden ist, dann in den Crons die Verbindung zur functions.lib natürlich entsprechend ändern und fertig.

MfG

FLash
04.12.2010, 14:36
Und wer ordentlich programmiert, hat den absolut identischen Sicherheitsfaktor auch ohne prepared statements,

Ich hab mich noch nie ins vms gehackt, von daher weiss ich auch nicht wie angreifbar es ist.

Ich hab früher immer so programmiert wie es im vms auch üblich ist bis ich einen artikel in der ct zu prepared statesments gefunden hab.

Ich hab im Bigware shop eine funktion gefunden die sonderzeichen ausschliesst gegen Sql Inject, sowas ist im vms nicht vorhanden.

Da stellt sich mir die frage: Was muss ich beachten wenn ich ohne prepared statesments programmiere ?
Eingabefelder vor sonzeichen schützen ?
ich weiss es nicht.

jpwfour
04.12.2010, 16:16
Jo bei Eingabefelder etc ist das wieder komplexer, bei Crons spielen aber normalerweise nur 2 GET Parameter eine Rolle, einmal die Cron ID, und einmal das Passwort (gehe jetzt nur vom neuesten VMS aus).

Beide Parameter können nicht zum manipulieren benutzt werden, einzig das Passwort könnte man via Bruteforce Attacke rausfinden :wink:

Hauptproblem sind hier Crons (also die PHP Dateien im Unterordner crons) die durch Addons/Interfaces kommen und Lücken aufweisen, aber dazu gibt es hier ja nun reichlich Anleitungen (umbennen, Passwort) um diese nur für den Admin zugänglich zu machen.

Insofern fand ich es halt unpassend, das du behauptest hier im Thread, wo es ja nur um die Crons geht, dass man da mit SQL Injections rumpfuschen könnte, was afaik nicht der Fall ist, man muss die Leute ja nicht unnötig verängstigen :biggrin1: