Soeben wurde meine Seite gehacked!

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[Firat]

Gehacked kann man nicht unbedingt sagen aber meine Seite basiert auf vkpMx 2.1 und wurde durch Türken beschädigt. In der Datenbank ist der Tabelleninhalt von _authors gelöscht, somit gibt es keine Admins und alle Banner wurden durch das Logo der türkischen Lamerseite ersetzt! Mein Verdacht konzentriert sich auf das Bannermodul, weil nur dieses Modul geändert wurde und ansonsten die ganze Seite lauffähig war. Ich habe leider noch keine Logs, weil die erst nach Mitternacht bereitgestellt werden. Meine Seite habe ich auch offline gestellt. Ich könnte sie wieder online machen aber ich möchte erstmal die Ursache ausfindig machen.

Andere fremde Module sind Coppermine und paar unwichtige die ich seit Jahren benutze!

[jubilee]

Hallo !

Andere fremde Module sind Coppermine und paar unwichtige die ich seit Jahren benutze

WELCHE
Namen und Version angeben.
Auch von der Coppermine-Gallerie !
Sonst können wir uns das nachforschen gleich schenken !


MfG
jubilee

[Firat]

Coppermine ist die aktuelste Version also 1.3.5
gpoints
GUIstuff
LogoEditor
Spiel
User_Fotoalbum

also wie du siehst, haber wirklich sehr wenige Fremdmodule, ansonsten paar selbstgeschriebene nur mit htmlinhalt!

Ich habe bannermodul und blöcke deaktiviert, author-Tabelle aktualisiert und den türkischen Ip-Bereich aus Ankara komplett gesperrt!

[Andi]

gpoints
GUIstuff
LogoEditor
Spiel

Keine Ahnung was das für Module sind...

Ich denke ohne die Logfiles, und weitere Info, z.B. nen Link zur Seite kommen wir da nicht weiter.
Das Bannermodul schliesse ich mal aus dem Verdacht aus. Habe es gerade nochmal angesehen, da ist nichts drin, was die Admintabelle löschen könnte. Denke die haben die Bannertabelle nur verwendet um ihre Bildchen unterzubringen.
Hast du das Detection-System aktiviert?
Ist das noch ein vkpMx 2.1 oder ein 2.1.a oder 2.1.b?

mehr INFO!!!!

[Firat]

Ich habe 2.1.b!
 die oben aufgelisteten module sind inhaltlich html-dateien. sie haben keine datenbankspezifische schreibende Funktionen!
Es gibt nur 3 Admins und sie haben vor Kurzem ihre PWs geändert also daran kann es auch nicht liegen.
Ich weiss nur, dass es wirklich eine Gruppe war, die viele auf Nuke basierende Seite so gehacked haben!
Ich werde heute Nacht die Logfiles genauer anschauen und ggf. euch auch geben!

[jubilee]

Hallo !

die oben aufgelisteten module sind inhaltlich html-dateien. sie haben keine datenbankspezifische schreibende Funktionen!

Das gpoints - Modul mit Sicherheit nicht !
Das schreibt/liest reichlich in der Datenbank !
Welche version ist das bzw. von welchem Datum  ?

MfG
jubilee

[Andi]

und ggf. euch auch geben

Nicht ggf.!!
Wir bitten darum

[Firat]

ja stimmts, sorry habe gpoints übersehen und coppermine brauch ich garnicht zu erwähnen.
Detection ist aktiv,habe eben gerade mal geschaut und der letzte Eintrag ist am 30.09 und uraltes Bug in Downloads , das schon vor Jahren beseitigt ist!

Logfiles werdet ihr haben

gpoints von im-concepts.de 1.61

[jubilee]

BTW:
Wenn das freie unverschlüsselte gpoints-Modul version 1.61, dann gute Nacht.
Hab da beim schnellen draufschauen schon einiges gesehen .....
Allein im Admin-Modul gehts schon so los :

if (!eregi("admin.php", $PHP_SELF)) { die ("Access Denied"); }

$result = mysql_query("select name, radminsuper from ".$prefix."_authors where aid='$aid'");

MfG
jubilee

[Firat]

so hier ist die komplette Liste der Module!

FAQ
Members_List
Feedback   
Downloads 
Web_Links
Stories_Archive
Sections   
Content   
Top
Topics
Your_Account
News       
Submit_News
 Recommend_Us     
 Private_Messages   
Surveys       
Search Suchen     
Guestbook   
Kalender   
Newsletter   
Web_News 
eBoard
Impressum
LinkMe       
LogoEditor       
Spiel       
Members_Photo_Upload
TVRadio       
Avatar
gpoints
Gallery
Sponsors
User_Registration
Userinfo
My_eGallery
Banners
Themetest   
Addon_Sample
maaXStat     
Reviews   
UserGuest     
Encyclopedia   
Siteupdate   
User_Fotoalbum 
blank_Home   
Buddy   
albums

[jubilee]

Hmmmm ....
My_eGallery mit dem Fix, den Fixen  ausgestattet die hier in den Themen unter Bugs gepostet sind ?
TVRadio ? ? Was das ?
albums ? ?

MfG
jubilee

[Firat]

Egallery benutze ich garnicht.Also es ist deaktiviert. Es ist ein Bestandteil von VkpMx, deshalb hatte ich auch Probleme beim Deinstallieren.

TVRadio ist ein Modul in dem die Tv- und Radiosender der Seite http://tvradionetwork.com/ in einem Frame geladen und gezeigt werden. Also nur reines html!

[RiotheRat]

Schick bitte Dein Log-File gezippt an team@pragmamx.org oder leg es als ZIP auf Deinen Server und schick eine eMail mit der Download-URL an die eben genannte Adresse.

Dann kann man dazu auch was sagen - alles andere ist sinnloses stochern im Nebel. Bei einer eMail ans Team können (und werden) wir weiter sehen ...

RtR

[jubilee]

H mm mmm ....
Welche Shoutbox ist das denn, die dauernd in den Logs auftaucht, aber nicht
in deiner Modulliste steht ? ? ? ?

Sagt Dir das etwas ?

85.96.135.79 - - [06/Oct/2005:15:14:46 +0200] "GET /cool/modules.php?name=Biyografi

??

[Firat]

es ist extra script,das mit nuke nichts zutun hat!
Biographie modul basiert auf reviews-modul. das modul war ebenfalls davon betroffen aber was mich interessiert warum man nicht weitergeleitet wird , wenn man banners.php direkt aufruft!

[Firat]

So es wurde wieder gehacked, obwohl ich alle module die verdächtig waren komplett gelöscht und alle pws geändert habe. weiteres folgt noch!

[RiotheRat]

Welche Gallery ist das die bei Dir läuft? Denn der Modulname ist "Gallery" und nicht "My_eGallery"! Nur umbenannt oder ein "anderes" Modul?

RtR

[Firat]

wie ich schon oben erwähnt hatte, benutze ich coppermine aber die Ursache habe ich rausgefunden!
Es wurde irgendwie durch das Bildupload modul im Adminbereich ein Php-Script in das iupload-verzeichnis hochgeladen. so hat der Typ sozu sagen vollen Zugriff auf alle Dateien und auf die Datenbank gehabt und so hat er auch alle Einstellungen ändern können. Deshalb jeder sollte schnell wie möglich das Bild-Hochladen-Modul für Adminbereich löschen oder umbenennen!

[Energy-drink]

wenn er kein Admin ist wie soll er dann das Bildhochladen Modul im ADMINBEREICH bedienen können??

[Firat]

er hat sich über die datenbank ein admin-account erstellt und sich so eingeloggt! alles weitere war dann Kinderspiel für die Person!
Während ich noch in der Datenbank nach Spuren gesucht habe, war diese Person drin um die Spuren zu löschen und dabei löschte er auch seinen eigenen account! Er wollte wahrscheinlich damit erreich dass ich auf das Script nicht aufmerksam werde damit er es weiterhin benutzen kann!

[RiotheRat]

Hmmm ... über den Mx-Uploader ist es tatsächlich möglich beliebige Dateien auf den Server zu übertragen. Im Regelfall sollte das kein Problem darstellen da man ja weiss wem man administrative Rechte im System gibt.

Wer auf "Nummer Sicher" gehen möchte kann die originale Datei "admin/modules/images.php" gegen die hier angehängte austauschen. Damit werden dann nur noch ausnahmslos GIF-, JPEG-, PNG- oder SWF-Grafik-Dateien auf den Server übertragen.

RtR

[gelöscht durch Administrator]

[der_luecke]

Wie kann er sich in die Datenbank einloggen und einen Admin anlegen und dann erst das Script hochladen.
Wie kommt er in die Datenbank ohne die gültigen Passworte

Frage über Fragen

Olaf

[Firat]

Leider bin ich noch nicht soweit gekommen aber werde heute Nacht die Log-Dateien genauer anschauen.
Er hat dieses PhpVerzeichnis-Script benutzt

Link entfernt - RtR

[Firat]

sorry RiotheRat 

[RiotheRat]

Ich habs mir grade mal gezogen ... nicht schlecht, nettes  Tool, aber in den falschen Händen  ... daher war ich so frei den Link aus Deinem Post zu entfernen.

RtR

[Andi]

Wie kommt er in die Datenbank ohne die gültigen Passworte

Das ist der Knackpunkt und ziemlich suspekt...

ein Php-Script in das iupload-verzeichnis hochgeladen

Er hat dieses PhpVerzeichnis-Script benutzt

Hast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.

Was ist das Modul 'Sponsors'?
Das ist doch auch ein Bannerscript?

[jubilee]

Hallo !

Hast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.

Über dieses Tool-Script gibt es im Forum bereits einen Artikel.
Es wurde einem User als Sicherheitstool untergeschoben. D.H. er sollte das instalierein und ein *guter* Freund wollte damit Sicherheitslücken schließen.
Sicher auch dafür geeignet, aber zudem ein wirklich schönes Backdoor-Script.
MfG
jubilee

[RiotheRat]

Soderle ... das 1/2e Team hat jetzt das Logfile aufgedröselt, studiert, analysiert u. beianhe auswendig gelernt. In dem Logfile dass Du uns übermittelt hast ist _nirgends_ zu erkennen dass ein Schadscript mittels des Bilduploads in das System eingeschleust wurde.

Jetzt warten wir mal auf das nächste Logfile von heute Nacht, und dann sehen wir weiter. Die von Dir vermutete Ursache kann man nach dem von Dir eingereichten Log ausschliessen.

RtR

[Firat]

Der Junge hatte es nicht eilig. Es war schon vorher alles geplant. Klar haben wir nichts merkwürdiges in Log-File gefunden. Es ist mir etwas eingefallen und auch kontrolliert. Das hat mich zur Aufklärung gebracht!
Ich habe kontrolliert wann das Script hoch geladen war und da sah ich was überraschendes! Die Datei wurde am 26.09 hoch geladen . Er hat aber nichts geändert und so zu sagen den richtigen Zeitpunkt ausgesucht. Seine ganzen Aktivitäten sind in der Log-File von 26.09 sehr gut erkennbar! Gestern hat er dann zugeschlagen, aber da ich das Script erst heute gesehen habe, konnte er in der Zwischenzeit nochmal hacken. Aber wie er an die Admin-Daten kam ist nicht ganz klar. Er hat das Kennwort eines unseren Admins irgendwie raus bekommen und sich direkt eingeloggt und danach war das Hochladen irgendwelcher Dateien kein Problem mehr. Das komische daran ist, dass dieser Admin schon seit 6 Wochen nicht ins Internet konnte und das Passwort auch nirgends wo benutzt aber das ist aus der Sicht der Pragmamx nicht mehr wichtig. Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt  das Modul Zlteam!
Wenn ich weiteres rausfinde werde ich berichten!

[RiotheRat]

Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt  das Modul Zlteam!

Hinweis: Die Teamgallery aus unseren Downloads (z.B. SourceForge) ist davon _nicht_ betroffen. In unserer TeamGallery wird das übergebene File geprüft.

/* Sicherheitscheck */
$bildcheck1  = "image/pjpeg";
$bildcheck2  = "image/jpeg";
$bildcheck3  = "image/jpg";
$bildcheck4  = "image/gif";
$bildcheck5  = "image/png";
$bildcheck6  = "image/tiff";
$bildcheck7  = "image/bmp";
$bildcheck8  = "image/vnd.wap.wbmp";
$bildcheck9  = "image/ief";
$bildcheck10 = "image/x-x-portable-anymap";
$bildcheck11 = "image/x-portable-bitmap";
$bildcheck12 = "image/x-portable-graymap";
$bildcheck13 = "image/x-portable-pixmap";
$bildcheck14 = "image/x-rgb";
$bildcheck15 = "image/x-xbitmap";
$bildcheck16 = "image/x-xpixmap";
$bildcheck17 = "image/x-xwindowdump";
$bildcheck18 = "image/x-cmu-raster";

RtR

Wenn ich das so sehe muss das auch mal "ordentlich" in ein Array *to_do* ... an der Funktionalität ändert das aber nichts.

[Andi]

Hmmm, irgendwie erinnert mich das doch jetzt sehr an Deinen letzten Thread mit dem phishing-Problem.
http://www.pragmamx.org/modules.php?name=Forum&topic=13083

unzwar heißt  das Modul Zlteam!

Kannst du uns das Modul mal zukommen lassen?

[Firat]

Ich habe  das Modul und die Logdatei an die team@pragmamx.org  verschickt!

[selin01]

2.mal diese Woche:



;- DigitalMind -;

-------------------------------------------------------


Just Do it.
You Have Been Hacked...
Contact:
irc.gigachat.net
#DigalMind

knowledge is power, knowledge shared is power lost


Alle Domains auf dem Server.... davor nur Pragma

[Andi]

Alle Domains auf dem Server.... davor nur Pragma

Was bedeutet das?
Verstehe nicht ganz den Sinn dieses Satzes...