Soeben wurde meine Seite gehacked!

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[RiotheRat]

Hmmm ... über den Mx-Uploader ist es tatsächlich möglich beliebige Dateien auf den Server zu übertragen. Im Regelfall sollte das kein Problem darstellen da man ja weiss wem man administrative Rechte im System gibt.

Wer auf "Nummer Sicher" gehen möchte kann die originale Datei "admin/modules/images.php" gegen die hier angehängte austauschen. Damit werden dann nur noch ausnahmslos GIF-, JPEG-, PNG- oder SWF-Grafik-Dateien auf den Server übertragen.

RtR

[gelöscht durch Administrator]

[der_luecke]

Wie kann er sich in die Datenbank einloggen und einen Admin anlegen und dann erst das Script hochladen.
Wie kommt er in die Datenbank ohne die gültigen Passworte

Frage über Fragen

Olaf

[Firat]

Leider bin ich noch nicht soweit gekommen aber werde heute Nacht die Log-Dateien genauer anschauen.
Er hat dieses PhpVerzeichnis-Script benutzt

Link entfernt - RtR

[Firat]

sorry RiotheRat 

[RiotheRat]

Ich habs mir grade mal gezogen ... nicht schlecht, nettes  Tool, aber in den falschen Händen  ... daher war ich so frei den Link aus Deinem Post zu entfernen.

RtR

[Andi]

Wie kommt er in die Datenbank ohne die gültigen Passworte

Das ist der Knackpunkt und ziemlich suspekt...

ein Php-Script in das iupload-verzeichnis hochgeladen

Er hat dieses PhpVerzeichnis-Script benutzt

Hast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.

Was ist das Modul 'Sponsors'?
Das ist doch auch ein Bannerscript?

[jubilee]

Hallo !

Hast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.

Über dieses Tool-Script gibt es im Forum bereits einen Artikel.
Es wurde einem User als Sicherheitstool untergeschoben. D.H. er sollte das instalierein und ein *guter* Freund wollte damit Sicherheitslücken schließen.
Sicher auch dafür geeignet, aber zudem ein wirklich schönes Backdoor-Script.
MfG
jubilee

[RiotheRat]

Soderle ... das 1/2e Team hat jetzt das Logfile aufgedröselt, studiert, analysiert u. beianhe auswendig gelernt. In dem Logfile dass Du uns übermittelt hast ist _nirgends_ zu erkennen dass ein Schadscript mittels des Bilduploads in das System eingeschleust wurde.

Jetzt warten wir mal auf das nächste Logfile von heute Nacht, und dann sehen wir weiter. Die von Dir vermutete Ursache kann man nach dem von Dir eingereichten Log ausschliessen.

RtR

[Firat]

Der Junge hatte es nicht eilig. Es war schon vorher alles geplant. Klar haben wir nichts merkwürdiges in Log-File gefunden. Es ist mir etwas eingefallen und auch kontrolliert. Das hat mich zur Aufklärung gebracht!
Ich habe kontrolliert wann das Script hoch geladen war und da sah ich was überraschendes! Die Datei wurde am 26.09 hoch geladen . Er hat aber nichts geändert und so zu sagen den richtigen Zeitpunkt ausgesucht. Seine ganzen Aktivitäten sind in der Log-File von 26.09 sehr gut erkennbar! Gestern hat er dann zugeschlagen, aber da ich das Script erst heute gesehen habe, konnte er in der Zwischenzeit nochmal hacken. Aber wie er an die Admin-Daten kam ist nicht ganz klar. Er hat das Kennwort eines unseren Admins irgendwie raus bekommen und sich direkt eingeloggt und danach war das Hochladen irgendwelcher Dateien kein Problem mehr. Das komische daran ist, dass dieser Admin schon seit 6 Wochen nicht ins Internet konnte und das Passwort auch nirgends wo benutzt aber das ist aus der Sicht der Pragmamx nicht mehr wichtig. Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt  das Modul Zlteam!
Wenn ich weiteres rausfinde werde ich berichten!

[RiotheRat]

Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt  das Modul Zlteam!

Hinweis: Die Teamgallery aus unseren Downloads (z.B. SourceForge) ist davon _nicht_ betroffen. In unserer TeamGallery wird das übergebene File geprüft.

/* Sicherheitscheck */
$bildcheck1  = "image/pjpeg";
$bildcheck2  = "image/jpeg";
$bildcheck3  = "image/jpg";
$bildcheck4  = "image/gif";
$bildcheck5  = "image/png";
$bildcheck6  = "image/tiff";
$bildcheck7  = "image/bmp";
$bildcheck8  = "image/vnd.wap.wbmp";
$bildcheck9  = "image/ief";
$bildcheck10 = "image/x-x-portable-anymap";
$bildcheck11 = "image/x-portable-bitmap";
$bildcheck12 = "image/x-portable-graymap";
$bildcheck13 = "image/x-portable-pixmap";
$bildcheck14 = "image/x-rgb";
$bildcheck15 = "image/x-xbitmap";
$bildcheck16 = "image/x-xpixmap";
$bildcheck17 = "image/x-xwindowdump";
$bildcheck18 = "image/x-cmu-raster";

RtR

Wenn ich das so sehe muss das auch mal "ordentlich" in ein Array *to_do* ... an der Funktionalität ändert das aber nichts.

[Andi]

Hmmm, irgendwie erinnert mich das doch jetzt sehr an Deinen letzten Thread mit dem phishing-Problem.
http://www.pragmamx.org/modules.php?name=Forum&topic=13083

unzwar heißt  das Modul Zlteam!

Kannst du uns das Modul mal zukommen lassen?

[Firat]

Ich habe  das Modul und die Logdatei an die team@pragmamx.org  verschickt!

[selin01]

2.mal diese Woche:



;- DigitalMind -;

-------------------------------------------------------


Just Do it.
You Have Been Hacked...
Contact:
irc.gigachat.net
#DigalMind

knowledge is power, knowledge shared is power lost


Alle Domains auf dem Server.... davor nur Pragma

[Andi]

Alle Domains auf dem Server.... davor nur Pragma

Was bedeutet das?
Verstehe nicht ganz den Sinn dieses Satzes...