Großangelegte Angriffe auf Seiten mit Coopermine

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[Highlander]

Yellohost gab heute abend eine Dringende Sicherheitswarnung an seine Kunden heraus:

Auszug:

derzeit finden großangelegte Angriffe auf Webseiten, die das Galeriescript
Coppermine einsetzen statt. Hierbei wird ein iFrame in die Website
eingefügt,
welches bösartige Scripte enthält.
Falls sie Coppermine einsetzen, überprüfen sie dringend ( ich meine mit
dringend: jetzt!)
ihre Website. Sollten Fehlermeldungen im Header erhalten oder ihre Firewall
Warnmeldungen beim Aufruf ihrer Website erhalten, sperren sie zuerst den
Zugriff auf
ihre Website per .htaccess

Informieren sie sich dann über aktuelle Fixe von Coppermine und spielen
diese ein.

Gruß Manfred

[FrankP]

Wobei noch ein Nachtrag wichtig ist: Es betrifft nicht nur Coppermine, auch joomla/mambo und weitere sind betroffen. Ein pragma ist bislang nicht betroffen ( soweit wir Kenntnis haben ) - es schadet jedoch nicht, seine Site einfach mal zu überprüfen ( nicht mit dem IE, siehe hier:  http://secunia.com/advisories/15546/ ).

[Snow2002]

kann nur jedem empfehlen alles zu kontrollieren!
Bei mir sind seit gestern Abend 2 pragmamx, die mit Coppermine ausgestattet sind, und 1 wbb Board komplett verseucht! Das dingen kopiert sich rasend schnell in die Dateien ein...
Der iFrame ist übrigens dann am Ende der Datei zu finden.

Gruß, Marcus

[Andi]

Moin

irgendwie blick ich das jetzt nicht richtig...

Kann mir mal Jemand sagen was da passiert und wie diese eigentlich uralte Lücke im Internetexplorer einen iFrame auf einen Webserver schleusen kann.
Nach was soll man die Webseite überprüfen?
Irgendwie sind die Informationen etwas dürftig.

So wie ich das verstehe, muss man Surfern mit dem Internetexplorer den Zugang zur Webseite verwehren, oder?

Hmmm, oder steh ich jetzt nur auf der Leitung.....

[Snow2002]

Guten Morgen Andi!

So richtig konnte ich meinen Provider gestern Abend auch nicht verstehen, jedenfalls sollte man Dateien, die Uploads in Coppermine erlauben(bzw. erlauben könnten entfernen. Ich hatte in der Coppermine die Uploadfunktion deaktiviert, wußte aber nicht das trotzdem Gefahr besteht.
Nun sind Tausende von Dateien infiziert auf dem Server. In allen möglichen und unmöglichen Dateien (die ich nun alle einzeln aufrufen und editieren darf) steht am Ende

Code: [Select]  

<iFRaMe FRAMeBORDER=0 heIGhT=0 wiDTh=0 Src=http://%*******></IFRAME>

Das verbreitet sich rasend schnell. Also für 1-2 Projekte von mir sehe ich erstmal schwarz
Da auf dem gleichen webspace bei mir noch ein wbb läuft ist das dummerweise auch komplett verseucht worden.

Also wenn man eine Coppermine laufen hat sollte man die schnell checken, ob alles normal läuft.

Gruß, Marcus (der das Weekend vergessen kann)

[Andi]

Oki, so langsam kommt Licht ins Dunkel.....

Habe gerade mit Frank telefoniert...
Das Problem betrifft ALLE Scripte, mit denen Dateien hochgeladen werden können, nicht nur die Coppermine.

@ Snow2002
Hast du noch eine solche hochgeladene Scriptdatei verfügbar? Und auch eine der geänderten?
Sicher, dass der Angriff über die Coppermine gekommen ist und nicht evtl. über das wbb oder andere Uploadscripte? Das ipb ist nämlich auch betroffen.


Hmmm, zur Sicherheit werde ich hier mal die Avatarfunktion abschalten....

[Snow2002]

Hi!

Soweit ich das als Leie beurteilen kann dürfte der Angriff bei mir über Coppermine gekommen sein, weil dort der Fehler zuerst bemerkt wurde von unseren Usern. Das wbb war erst abends betroffen.
Auch sind speziell die Coppermine Dateien gründlich verseucht... im Spaw Ordner allerdings auch.
Hier ist mal eine betroffene Datei:
http://www.graffiti-dortmund.de/spaw_control.config.zip

Gruß, Marcus

[Andi]

Hi

hmm, eine hochgeladene Datei wäre wichtiger. Hast die noch?

Wenn das über die Coppermine geschehen ist, dann müsste ja ein Eintrag in der DB darüber sein. Selbst wenn die hochgeladene Datei sich dann wieder gelöscht hat. Gibt es da Spuren?

[Snow2002]

hm.. wüßte gerade nicht wo ich das nachsehen sollte.. Mit raucht aber auch etwas dir Rübe im Moment...

Gruß, Marcus

[Andi]

Jops, verständlich 

Um Dir und den Anderen die Suche, nach potentiell gefährlichen Dateien zu erleichtern habe ich ein kleines script geschrieben.

Einfach die beiliegende Datei in das mx-root kopieren und aufrufen.

- Es werden sämtliche Dateien in allen Unterordnern angezeigt, die einen iFrame Tag im Code haben.
- Es werden alle Dateien angezeigt, die PHP- oder shell-Befehle im Code haben, die evtl. gefährliche Aktionen zulassen könnten. Hier sind die Dateien, die standardmässig zum pragmaMx gehören, ausgenommen. Es werden hier nur "Fremddateien" gelistet.

Naturgemäss sind da seeeehr viele Meldungen dabei, die nichts zu bedeuten haben. Das Ganze dient nur als grober Überblick.


@ Snow2002
Wenn es die Coppermine war...
Welche Dateitypen hattest du da zum Upload erlaubt?

[gelöscht durch Administrator]

[m-t]

Einfach die beiliegende Datei in das mx-root kopieren und aufrufen.

Fatal error: Maximum execution time of 160 seconds exceeded in /home/www/np1xx/html/check.php on line 140

[Andi]

Maximum execution time of 160 seconds exceeded

Naja, entweder hast du auf deinem Webspace extrem viele Dateien, oder der Server ist etwas lahm

Kannst mal in die Datei reinsehen, ziemlich oben steht der ini_set Befehl für 160 Sekunden. Den Wert kannst du einfach erhöhen.

[Snow2002]

Danke Andi!
Bei mir lief wohl auch durch meine Schuld einiges falsch. Laut Frank hat er noch nie eine soooo lange Liste gesehen.... Wir bekommen nun n Backup eingespielt!

Wie können wir uns denn schützen, außer den richtigen chmods? Sollen Dateien von Coppermine oder so raus?

Gruß, marcus

[Andi]

Moin

schwer zu sagen, weiss man denn jetzt genau, wie es passiert ist?

Die aktuelle mx-Coppermine hat noch ein ungefixtes Loch:
http://coppermine-gallery.net/forum/index.php?topic=30655.0
Aber ich kann mir absolut nicht vorstellen, dass damit ausgerechnet eine mx-Version so stark angegriffen werden sollte, wo hunderte ungefixte Standallone-Versionen online sind. Da müsste das Coppermine-Supportforum mehr über das Thema hergeben. Gerademal 1 Post befasst sich dort mit dem Thema: http://coppermine-gallery.net/forum/index.php?topic=30630.0

Im Laufe des Abends schiebe ich die aktualisierte Coppermine-Mx 1.4.5 in die Downloads...

[Snow2002]

Moin Meister!

Nein, woher nun genau der Angriff kam und wo das Unheil seinen Lauf nahm weiß ich nicht...
Wir haben auch unzählige Ordner usw. auf dem Webspace liegen, von denen leider einige auch den CHM 777 hatten. Unsere Schuld. Generell möchte ich halt so etwas nicht nochmal erleben und die scheinbar grenzenlose Geduld unserers Providers Yellohost überstrapazieren...

Das neue Update spiele ich dann drüber, sobald alles wieder läuft...

Gruß, Marcus

[Andi]

Jop, das Yellohost Team ist suppi, gelle

Wenn es die Coppermine war...
Welche Dateitypen hattest du da zum Upload erlaubt?

Weisst du das noch, was da eingestellt war?
Denke, diese Option ist die grösste Gefahr bei der Coppermine und anderen Uploadscripten. Eben das, was erlaubt ist, hochzuladen...

[Snow2002]

Huhu!

Wir hatten schon länger gar keine Uploads mehr in der Coppermine erlaubt. Das die Dateien, die Uploads ermöglichen könnten trotzdem eine Gefahr sind wußte ich nicht. Aber auch die Upload-Funktion im Spaw war betroffen und da hatten wir zumindest Admins die Erlaubnis eingestellt Bilder hochzuladen.
Bin jetzt sehr sensibel, was Uploadmöglichkeiten angeht.

Jop, das Yellohost Team ist suppi, gelle

Kann ich nur bestätigen, so einen Support und so eine Geduld kannte ich bis zu meinem Wechsel absolut nicht! Kann man an dieser Stelle ruhig mal sagen...

Gruß, Marcus

[Andi]

Hi

Das die Dateien, die Uploads ermöglichen könnten trotzdem eine Gefahr sind wußte ich nicht.

Hmm, wie das?
Diese Dateien, besonders in der Coppermine, benötigen um zu funktionieren, eine ganz genau definierte Umgebung, mit Funktionen aus anderen Dateien, Userberechtigungen und Variablen und Konstanten aus anderen Dateien. Ist das nicht gegeben, funktioniert der Upload nicht und das Script bricht ab. Die Coppermine Dateien lassen sich nicht direkt aufrufen, so dass man diese Umgebung "künstlich" erstellen könnte...

Gibt es da etwas mehr Info?

[Musicman75]

Ich hab die check.php auch mal auf meinen Webspace ins mx root kopiert um zu sehen, ob bei mir auch was betroffen ist.

Ist das normal, das manchmal bei dieser datei gar kein Output kommt?

bei mir ist safe mode on.

[RiotheRat]

Aber auch die Upload-Funktion im Spaw war betroffen und da hatten wir zumindest Admins die Erlaubnis eingestellt Bilder hochzuladen

Sehr obskur ... der Editor lässt je nach Einstellung nur folgende Extensions durch:

• .gif
• .png
• .fla
• .swf
• .bmp
• .jpg
• .jpeg

Die erlaubten Extensions werden innerhalb des Uploads nochmals gegengeprüft ... von daher sollte hier nichts anbrennen.

RtR

[m-t]

Naja, entweder hast du auf deinem Webspace extrem viele Dateien

Sind 4986 viel  Habs jetzt mal auf 300 erhöht die Zeit läuft ab und das wars dann ...

Naja, bis jetzt hatte ich ja keine Probleme..

[Andi]

Hi

@ Snow2002

Was mir gerade zufällig begegnet ist:
http://www.pragmamx.org/forum-topic-15630.0.html

http://xxxxx.de/html/modules/Forum/smf/index.php?name=Forum&amp;action=modifyModSettings 
8: Undefined variable: PHP_SELF
Datei: /home/www/dpsxxxxx/html/version2/html/blocks/block-Coppermine.php
Zeile: 15

Welche Coppermine Version war denn bei Dir da aktiv?

[ReDOOM]

Hallo,

die Coppermine Hacks laufen schon seit Wochen, mich hatte es Ende Februar erwischt. Saß aber zufällig gerade vor dem Rechner und konnte sofort reagieren bevor der Freak größeren Schaden anrichten konnten.

Zum Ablauf der Attack, über die .rar Uploadfunktion wurde dem server ein php script untergejubelt, schön im Logfile zu sehen

Code: [Select]  

81.223.254.41 - - [27/Feb/2006:12:44:26 +0100] "POST /catalog/lang/setting.php.rar HTTP/1.1" 200 4828

Dummerweise war der server so eingerichtet das die getarnte .php Datei ausgeführt werden konnte nachdem der Angreifer den Speicherort ausfindig gemacht hatte.






Habe den Typ ausgesperrt, die Upload Funktionen von Coppermine erstmal deaktiviert und einen Aufrufs des scripts per .htacces auf eine Stinkefinger Grafik umgeleitet. Das hat ihn scheinbar so angepisst das er noch über eine Woche erfolglos versucht hat dem Server wieder etwas unterzujubeln *g*.

Denke das die iframe Geschichte sich auch so etwas in der Art zu nutze macht.

DOOM

[Andi]

Oki

das ist aber kein Problem der Coppermine, sondern des Apachen...

Hier Info und Hilfe im Coppermine Forum:
http://coppermine-gallery.net/forum/index.php?topic=30284.0
http://coppermine-gallery.net/forum/index.php?topic=29323.0
http://coppermine-gallery.net/forum/index.php?topic=28079

Der addHandler Eintrag in der .htaccess hilft:
http://www.pragmamx.org/albums/userpics/10200/info.php.rar

[Snow2002]

Welche Coppermine Version war denn bei Dir da aktiv?

Moin Andi!

Die 1.4.3 war aktiv... inzwischen 1.4.5

Gruß, Marcus