[Solved]: Trojaner in meiner Gallery [Solved]: Trojaner in meiner Gallery
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

[Solved]: Trojaner in meiner Gallery

Started by islands, April 28, 2008, 09:59:43 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

islands

Es scheint ein Trojaner-Virus umzugehen auf Coppermine- und WP-basierten Seiten.

Besucher meiner cm-Gallery lesen:  "remote data services data control" und müssen irgendetwas installieren. Gleichzeitig wird ihr PC infiziert.

Selbst stelle ich fest, dass mein PC langsamer arbeitet und dass sich die Gallery verrutscht darstellt.

In den verschiedensten Foren und auf Viren-Webseiten habe ich nicht allzuviel gefunden. Ich vermute, dass sich der Trojaner auf dem Server meines Hosters eingenistet hat in irgendwelche cm-Dateien.

Hat jemand eine Ahnung was ich machen soll/kann?

Joachim Müller

Lalala - wurde schon oft gefragt und beantwortet. Einfach mal die Ankündigungen lesen.
Als deutsch-sprachiger Einstieg: http://forum.coppermine-gallery.net/index.php/topic,51926.0.html

islands

Ich bedanke mich für den hilfreichen Hinweis. Ich habe diesen Thread nicht gefunden, muss halt besser lesen.
Ich werde mich jetzt mal 'ranmachen'.

pimboli

Hi, nur mal so als kleiner Tip. Unser Meister Hacker hat sich was Neues einfallen lassen. Nachdem nun jeder weiß, dass er die html und php Dateien infiziert, hatte ich jetzt in einer Galerie was neues. Er hat ein "Bild" hochgeladen. Da hat er dann den ganzen Code etc reingeladen. drauf gekommen bin ich erst, nachdem ich trotz genauer überarbeitung aller entsprechenden Dateien immer noch infiziert war. Die Datei war im Ersten userpicordner abgelegt. Also 10001 und nannte sich 45563131x.jpg. Wer es sich leicht machen will, lädt die gesamte Galerie auf seinen Rechner und sucht mit dem pspad editor ( http://www.pspad.com/de/ ) einfach in den Dateien nach iframe der pspad editor findet diesen Schadcode auch in jpg-Dateien ;-)

Und falls jetzt wieder ein ganz schlauer sagt (wie bei meinem letzten Tip, lies mal da und dort nach, da steht das schon alles... Mein Englisch ist nicht so optimal und weil ich nicht der Einzige bin, gibts wahrscheinlich auch diesen deutschen Bereich hier ;-)

Joachim Müller

Das ist nicht neu, sondern alt und Bestandteil des Hacks - darauf bin ich im Säuberungs-Thread schon eingegangen. Es handelt sich nur um eine umbenannte Textdatei mit jpg-Endung, die den Payload enthält, aber selbst keine Gefahr darstellt, wenn Du die Galerie wie beschrieben gesäubert hast.

pimboli

Beim ersten mal hatte die betroffene Galerie nach Säuberung damit kein Problem. Dieses jpg.Datei gabs bei mir auch nicht. Als alle html und php gesäubert waren, ging alles wieder.

In diesem Fall nun war die jpg.Datei die einzige noch betroffene auf dem Server und das Antivirenprogramm schlug sofort an. Also müssen sich diese beiden Hacks voneinander unterschieden haben und die betroffene Datei muss eine Gefahr dargestellt haben.

islands

Joachim ich bedanke mich denn der säuberungs-Thread hat bei mir geholfen. Es ist zwar eine Menge Arbeit aber meine Gallery gibt es wieder in alter Frische !
Die .jpg-Datei die hier aufgeführt wird war auch bei mir drin und die hatte ich gefunden und rausgeworfen.

Marenga

Quote from: pimboli on April 29, 2008, 06:53:00 PM
Wer es sich leicht machen will, lädt die gesamte Galerie auf seinen Rechner und sucht...

*kopfschüttel*

Wer es sich leicht machen will, der nimmt einfach die neueste Version und überspielt/überschreibt einfach ALLE Verzeichnisse und Alben, bis auf "albums". Das sind dann 3 Minuten und 36,5 Sekunden

Dann noch schnell im Verzeichnis "albums" ein paar PHPs/HTMLs manuell cleanen oder auch einfach überspielen/überschreiben. Das sind nochmal 47,7 Sekunden.

Und falls du für dich ein eigenes originelles Theme selbst erstellt hast, dann überschreibst du das eben auch noch. - Selbstverständlich hast du hiervon eine Sicherungskopie auf deiner HD. Nochmal 6,897 Sekunden.

FERTIG

Gruß Marenga


Marenga

Muss oben natürlich heißen:

"ALLE Verzeichnisse und Dateien..."