Hallo,
die Coppermine Hacks laufen schon seit Wochen, mich hatte es Ende Februar erwischt. Saß aber zufällig gerade vor dem Rechner und konnte sofort reagieren bevor der Freak größeren Schaden anrichten konnten.
Zum Ablauf der Attack, über die .rar Uploadfunktion wurde dem server ein php script untergejubelt, schön im Logfile zu sehen
81.223.254.41 - - [27/Feb/2006:12:44:26 +0100] "POST /catalog/lang/setting.php.rar HTTP/1.1" 200 4828
Dummerweise war der server so eingerichtet das die getarnte .php Datei ausgeführt werden konnte nachdem der Angreifer den Speicherort ausfindig gemacht hatte.
Habe den Typ ausgesperrt, die Upload Funktionen von Coppermine erstmal deaktiviert und einen Aufrufs des scripts per .htacces auf eine Stinkefinger Grafik umgeleitet. Das hat ihn scheinbar so angepisst das er noch über eine Woche erfolglos versucht hat dem Server wieder etwas unterzujubeln *g*.
Denke das die iframe Geschichte sich auch so etwas in der Art zu nutze macht.
DOOM
