SonyUserforum

PeterHadTrapp · 17.04.2007, 22:38

auf meiner Seite wurde heute nachmittag ein Hack durchgeführt. Wenn ich das richtig verstanden habe, was Manni mir erklärt hat, wurde mir ein php-code als Bild untergejubelt. Das vermeintliche Bild trug den Namen "clue". Der code hat dann meine Datenbank zersägt. Die Bilder waren zum Glück alle noch vorhanden. Kennwörter ändern kann nicht schaden.

Vielleicht kuckt Ihr mal bei Euch nach, ob ihr auch sowas habt, sofern Ihr 4images verwendet. Dank der Unterstützung von Manni ist bei mir wieder alles sauber.

Gruß
PETER

ManniC · 18.04.2007, 07:49

Yepp, Peter, richtig verstanden. Komplette Diagnose:

Die Einstellung "erlaubte Dateitypen" war plötzlich statt "jpg,gif,png,aif,au,avi,mid,mov,mp3,mpg,swf,wav,ra ,rm,zip,pdf" nur auf "PHP" gesetzt
Hochgeladen (Uploader=Admin) war unter dem Bildnamen "Clue" eine c9916.php
Zusätzlich war in /data/media/ eine de.php, die lt. AntiVir den Virus PHP/Rst.e enthielt

Galerie war nicht aufrufbar, da die index.php mit einem Template-Fehler abbrach, Zugang per ACP klappte.

Basti · 18.04.2007, 08:15

Oh das ist ja mal ärgerlich. Woran lags denn? War die Galerie nicht aktuell, hat jemand dein Passwort erraten oder war es am Ende einer der User denen du deine Galerie angeboten hast.
Basti

ManniC · 18.04.2007, 08:44

Zitat:

Zitat von Basti

Woran lags denn?

Gute Frage - wir sollten mal die Alibis der üblichen Verdächtigen für gestern 15:21h überprüfen

Security-Fixes sind drin, der Weg des bösen Buben läßt sich leider nicht rekonstruieren - insbesondere ob der Eintrag allowed_media_typ per ACP oder direkt in der SQL gepimpt wurde. Ich hab da mehr den eingeschleusten PHP-Code in Verdacht, aber bei insg 250K Länge hab ich keine wirkliche Lust zur Analyse.

PeterHadTrapp · 18.04.2007, 08:47

Zitat:

Ende einer der User denen du deine Galerie angeboten hast.

Mag ich nicht wirklich glauben, weil ich auch diese Bilder nur per manueller Freischaltung durch mich erlaubt hatte *schulterzuck*

rmaa-ismng · 18.04.2007, 08:48

Ich kann dazu diese Meldung beisteuern.

Hat der Newsletter heute in mein email-Fach gespült.

Hier der Link

Basti · 18.04.2007, 09:04

Hi Ron,
das ist aber eine Sicherheitsmeldung zu einer anderen Software. Meine Frage nicht uneigennützig, wir setzen beide 4images als Galeriesoftware ein.
Basti

A2Freak · 18.04.2007, 09:09

Kann sowas auch passieren, wenn ich in meiner Galerie keine "fremden" Bilder zulasse?

rmaa-ismng · 18.04.2007, 09:09

..aber wohl der gleiche Weg, oder?

ManniC · 18.04.2007, 10:02

@Ron: Der Weg ist nicht geklärt, auf der von Dir verlinkten Seite ist PHP5 angesprochen, Peters Galerie läuft unter PHP4

@Olaf: Ja, kann auch passieren.

17.04.2007, 22:38	#1
PeterHadTrapp Registriert seit: 07.09.2003 Ort: in Sichtweite der Wasserkuppe Beiträge: 28.341	mein 4images wurde gehackt auf meiner Seite wurde heute nachmittag ein Hack durchgeführt. Wenn ich das richtig verstanden habe, was Manni mir erklärt hat, wurde mir ein php-code als Bild untergejubelt. Das vermeintliche Bild trug den Namen "clue". Der code hat dann meine Datenbank zersägt. Die Bilder waren zum Glück alle noch vorhanden. Kennwörter ändern kann nicht schaden. Vielleicht kuckt Ihr mal bei Euch nach, ob ihr auch sowas habt, sofern Ihr 4images verwendet. Dank der Unterstützung von Manni ist bei mir wieder alles sauber. Gruß PETER __________________ --> mein Käfer-Restaurierungs-BLOG

18.04.2007, 07:49	#2
ManniC Registriert seit: 15.10.2003 Ort: Bottrop Beiträge: 26.177	Yepp, Peter, richtig verstanden. Komplette Diagnose: Die Einstellung "erlaubte Dateitypen" war plötzlich statt "jpg,gif,png,aif,au,avi,mid,mov,mp3,mpg,swf,wav,ra ,rm,zip,pdf" nur auf "PHP" gesetzt Hochgeladen (Uploader=Admin) war unter dem Bildnamen "Clue" eine c9916.php Zusätzlich war in /data/media/ eine de.php, die lt. AntiVir den Virus PHP/Rst.e enthielt Galerie war nicht aufrufbar, da die index.php mit einem Template-Fehler abbrach, Zugang per ACP klappte. __________________ VLG: Manni

18.04.2007, 10:02	#10
ManniC Registriert seit: 15.10.2003 Ort: Bottrop Beiträge: 26.177	@Ron: Der Weg ist nicht geklärt, auf der von Dir verlinkten Seite ist PHP5 angesprochen, Peters Galerie läuft unter PHP4 @Olaf: Ja, kann auch passieren. __________________ VLG: Manni

18.04.2007, 08:15	#3
Basti Registriert seit: 07.09.2003 Beiträge: 10.025	Oh das ist ja mal ärgerlich. Woran lags denn? War die Galerie nicht aktuell, hat jemand dein Passwort erraten oder war es am Ende einer der User denen du deine Galerie angeboten hast. Basti

18.04.2007, 08:48	#6
rmaa-ismng Gesperrt Registriert seit: 09.12.2006 Beiträge: 9.961	Ich kann dazu diese Meldung beisteuern. Hat der Newsletter heute in mein email-Fach gespült. Hier der Link

18.04.2007, 09:04	#7
Basti Registriert seit: 07.09.2003 Beiträge: 10.025	Hi Ron, das ist aber eine Sicherheitsmeldung zu einer anderen Software. Meine Frage nicht uneigennützig, wir setzen beide 4images als Galeriesoftware ein. Basti

18.04.2007, 09:09	#8
A2Freak Gesperrt Registriert seit: 01.10.2004 Ort: 3 Km vom Highway to Love entfernt. Beiträge: 8.460	Kann sowas auch passieren, wenn ich in meiner Galerie keine "fremden" Bilder zulasse?

Sponsored Links

Sponsored Links

Sponsored Links