auf meiner Seite wurde heute nachmittag ein Hack durchgeführt. Wenn ich das richtig verstanden habe, was Manni mir erklärt hat, wurde mir ein php-code als Bild untergejubelt. Das vermeintliche Bild trug den Namen "clue". Der code hat dann meine Datenbank zersägt. Die Bilder waren zum Glück alle noch vorhanden. Kennwörter ändern kann nicht schaden.

Vielleicht kuckt Ihr mal bei Euch nach, ob ihr auch sowas habt, sofern Ihr 4images verwendet. Dank der Unterstützung von Manni ist bei mir wieder alles sauber.

Gruß
PETER

Yepp, Peter, richtig verstanden. Komplette Diagnose:
Die Einstellung "erlaubte Dateitypen" war plötzlich statt "jpg,gif,png,aif,au,avi,mid,mov,mp3,mpg,swf,wav,ra, rm,zip,pdf" nur auf "PHP" gesetzt
Hochgeladen (Uploader=Admin) war unter dem Bildnamen "Clue" eine c9916.php
Zusätzlich war in /data/media/ eine de.php, die lt. AntiVir den Virus PHP/Rst.e enthieltGalerie war nicht aufrufbar, da die index.php mit einem Template-Fehler abbrach, Zugang per ACP klappte.

Oh das ist ja mal ärgerlich. Woran lags denn? War die Galerie nicht aktuell, hat jemand dein Passwort erraten oder war es am Ende einer der User denen du deine Galerie angeboten hast.
Basti

Woran lags denn?

Gute Frage - wir sollten mal die Alibis der üblichen Verdächtigen für gestern 15:21h überprüfen :cool:

Security-Fixes sind drin, der Weg des bösen Buben läßt sich leider nicht rekonstruieren - insbesondere ob der Eintrag allowed_media_typ per ACP oder direkt in der SQL gepimpt wurde. Ich hab da mehr den eingeschleusten PHP-Code in Verdacht, aber bei insg 250K Länge hab ich keine wirkliche Lust zur Analyse.

Ende einer der User denen du deine Galerie angeboten hast.
Mag ich nicht wirklich glauben, weil ich auch diese Bilder nur per manueller Freischaltung durch mich erlaubt hatte *schulterzuck*

Ich kann dazu diese Meldung beisteuern.

Hat der Newsletter heute in mein email-Fach gespült.

Hier der Link :!: (http://www.tecchannel.de/index.cfm?pid=187&pk=467764)

Hi Ron,
das ist aber eine Sicherheitsmeldung zu einer anderen Software. Meine Frage nicht uneigennützig, wir setzen beide 4images als Galeriesoftware ein.
Basti

Kann sowas auch passieren, wenn ich in meiner Galerie keine "fremden" Bilder zulasse?

..aber wohl der gleiche Weg, oder?

@Ron: Der Weg ist nicht geklärt, auf der von Dir verlinkten Seite ist PHP5 angesprochen, Peters Galerie läuft unter PHP4

@Olaf: Ja, kann auch passieren.

:evil: :evil: :evil:

so langsam .... (http://www.peters-pixworx.de/galerie/)


:evil: :evil: :evil:

:evil: :evil: :evil:

so langsam .... (http://www.peters-pixworx.de/galerie/)


:evil: :evil: :evil:

Was hast Du mit Syrien am Hut, das ist aber für Dich schon sehr ärgerlich :shock:

Woran liegt das denn. Ist 4images so ein Scheunentor? Ich würde mir dann ernsthaft mal überlegen, die Galerie zu wechseln...
Oder ist es der Anbieter der sich nicht ordentlich kümmert?

sehr ärgerlich sowas.

Viel Glück jedenfalls
Andreas

Mächtig ärgerlich :twisted:

Ich hab seit Jahren 4images und ausser hin und wieder mal ein zu kickendes "Mitglied" keinerlei Probleme mit Hacks o.ä.

Toi, toi, toi...

Die Frage bleibt ob das wirklich an 4images liegt....
Das System ist so oft im Einsatz, ich denke wer es patcht sollte damit schon recht gut unterwegs sein.
Basti

Schweinebande. Den Peter hat es schon wieder erwischt.

Sorry für den Kraftausdruck, aber es handelt sich hierbei um "Riesenarschlöcher!"

:flop: :flop: :flop: :flop: :flop: :flop: :flop: :flop: :flop: :flop: :flop: :flop: :flop:

Ist schon OK Maic - ich hab auch grad lauthals geflucht.

Die Schweinebacke hatte in Peters Galerie "nur" die index.php und die member.php gegen seinen Schrott ausgetauscht und soweit ich das bisher gesehen habe sonst nix weiter zerschossen.

Aber wie kann er das denn, hat er das Paßwort geknackt?:roll:

Tja Irmi,

es gibt eine Menge von Wegen und Möglichkeiten, es muss nicht unbedingt ein geknacktes Passwort sein.

Und wenn doch - welches Passwort? 4images-Pass? SQL-Pass? FTP-Pass? Root-Pass beim Provider?

Fragen über Fragen.... Ursachenforschung und Abhandlungen hierüber würden Bände füllen.

Um DEINE Frage konkret zu beantworten: Ich hab im Moment keine Ahnung. Und ganz ehrlich: Ich hab im Moment auch keinen Bock der Schweinebacke noch mehr Aufmerksamkeit zu zollen und eine Antwort zu suchen ;)

Jo, ist schon ok.
Muß wohl von meins mal ein backup machen, damit mir das nicht passiert,
wobei, ich bin bestimmt nicht so interessant für solche Leute.
Aber ist gut, daß wir Dich als Fachmann haben :top:

Muß wohl von meins mal ein backup machen

Das macht Sinn,

zum Einen: Backup der Galerie Lokal in der Verzeicnisstruktur wie auf dem Server
zum Anderen: separates Backup der mySQL-Datenbank

wobei, ich bin bestimmt nicht so interessant für solche Leute.
das dachte ich eigentlich auch ... :roll:

Jo, ist schon ok.
Muß wohl von meins mal ein backup machen, damit mir das nicht passiert,
wobei, ich bin bestimmt nicht so interessant für solche Leute.
Aber ist gut, daß wir Dich als Fachmann haben :top:

Bis heute hatte ich ja gedacht :roll:, daß ich nicht interessant wäre für irgendwelche Hacker aus Syrien, scheinbar hat sich das geändert. Da gibt es wohl eine recht neue Kategorie auf meiner Seite, die denen nicht paßt:evil:.
Aber Prixa arbeitet glaube ich schon dran.

Ach Irmi, ich glaube eigentlich nicht, dass es was mit irgendwelchen Kategorien zu tun hat - meine ist auf jeden Fall auch gehackt und es sind bei Prixa wohl einige, wie ich nach meinem Anruf gerade erfahren habe...

LG, Hella

Hallo,

einfacher Hack über "alte 4Images" Version (im Detail SQL Injection). Also zumindest auf unseren Server nicht über ein manipuliertes JPG oder ähnliches.

Kunden die uns dazu aufgefordert haben, wurden mit einem update und dem Backup bedient. Der Hack fand übrigens am 19.11 um 23.44 Uhr statt! Nur hat der Hacker da noch nichts manipuliert. Deshalb haben wir die Backups vom 18.11 eingespielt...

Gruß
Andreas