Ansicht der Gallery hat sich verändert (gehackt?) Ansicht der Gallery hat sich verändert (gehackt?)
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

Ansicht der Gallery hat sich verändert (gehackt?)

Started by Don-Duracell, April 15, 2008, 04:16:25 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Don-Duracell

Hallo und Guten Tag auch,

ich war aufgrund eines Providerwechsels 2 Wochen offline. Nun wollte ich einen Blick in meine Bildergalerie (h**p://www.don-duracell.de/gallery/ werfen und finde sie völlig verändert vor.

Desweiteren lädt der Browser längere Zeit an einem mir völlig unbekannten Domain cdpuvbhfzz.com etwas nach. Laut Adblock Plus h**p://cdpuvbhfzz.com/dl/adv598.p*p

Es ist aktuell noch die 1.4.15 installiert am laufen. Ja ich weiß ein Update ist erschienen und ich habe es auch schon herunter geladen, aber bevor ich da was aktualisiere würde ich gerne es in meinen Urzustand bringen. Hilft es hier die config.inc.php & anycontent.php aus dem BackUp ,vor dem letzten Update hochzuladen?

Grüße Don-Duracell


[edit: link zur gallery entschärft -  möglicherweise noch infiziert]
Live long and prosper...

Don-Duracell

Don-Duracell

Ah sehe gerade den Schlamassel in den internationalen Forenbereichen. Na Prost Mahlzeit, dann mal anfangen die entsprechenden Threads zu lesen ob es inzwischen einen Lösungsweg gibt.
Live long and prosper...

Don-Duracell

Don-Duracell

Lese gerade den Post von "foulu" und frage mich nun ob ich zuerst den Fix ausführen oder zuerst die Version auf den aktuellen Stand bringen soll.

http://forum.coppermine-gallery.net/index.php/topic,51671.msg251701.html#msg251701

Grüße Don-Duracell
Live long and prosper...

Don-Duracell

Joachim Müller

Macht keinen großen Unterschied: erst upgraden, dann aufräumen würde ich sagen, um eine Re-Infektion während der Aufäumarbeiten zu verhindern. Habe übrigens gerade auch einen Aufräum-Thread gestartet mit ausführlichen Anleitungen. Ich glaube nämlich nicht so recht an das Schweizer-Messer-Tool von Foulu.

Don-Duracell

Vielen Dank für diesen riesigen Thread zur Hilfestellung. Ich hatte zwar die Hoffnung auf einen entspannten Abend auf der Couch aber das kann ich nun erstmal absagen. Ich acker mich dann mal durch deinen Thread und hoffe das ganze wieder in die Reihe zu bekommen.
Live long and prosper...

Don-Duracell

Timos-Welt

#5
Der o. g. Link ist nicht sicher und sorgt bei Usern des IE für die Installation einiger Viren und Trojaner (www.don...). Bitte nimm den Link aus dem Beitrag heraus, bis die Reparatur beendet ist.

Don-Duracell

Echt?! Oh das war mir nicht bewusst. Ich kann nur leider den Beitrag nicht editieren.  :-\
Hier muss ein Mod tätig werden und den Link entfernen / editieren so dass er nicht direkt angewählt werden kann.
Live long and prosper...

Don-Duracell

Joachim Müller

Bitte solche Links in Zukunft nicht entfernen, sondern nur eine Warnung dranschreiben oder nicht klickbar machen, so dass der Benutzer mit copy&paste ran muss.

Timos-Welt

Ok.

Don-Duracell: Wenn du jetzt noch deine Galerie-URL aus deinem Profil rausnehmen könntest...  ::)


Joachim Müller

Lass doch bitte mal die Kirche im Dorf - dies ist ein Support-Forum. Das unbedarfte Klicken auf Links bringt Dich überall im Internet in die Bredouille, wenn Du einen anfälligen Browser benutzt. Das ist auch hier im Forum der Fall. Bei einem Thread, in dem der Thread-Starter schon im Betreff die Vermutung äußert, dass seine Seite gehacked wurde muss jeder, der dem Link zur gehackten Seite folgt sich des Risikos bewusst sein und Vorsorge treffen. Analog ist das auch für den Link im Profil der Fall - er kann bleiben, zumal ich davon ausgehe, dass Don Duracell schon aus eigenem Interesse daran arbeitet, dass seine Seite bald wieder sauber ist.

Don-Duracell

Ja ich arbeite mich Schritt für Schritt durch die von Joachim erstellte "Desinfektions-Anleitung".  :)
Hier eine Frage bei meinem aktuellen Vorgang "Replace the files in your working copy with files from the most recent release". Es wird geraten man solle alle Dateien wie bei einem Update, bis auf die anycontent.php, überschreiben "business as usual". Bei einem Update heißt es doch aber auch dass die config.inc.php nicht überschrieben werden solle, das wäre für mich "business as usual". Denkfehler meinerseits oder von Joachim vergessen worden?

Grüße Don-Duracell
Live long and prosper...

Don-Duracell

Marenga

Quote from: Don-Duracell on April 16, 2008, 08:57:02 PM
Bei einem Update heißt es doch aber auch dass die config.inc.php nicht überschrieben werden solle, das wäre für mich "business as usual". Denkfehler meinerseits oder von Joachim vergessen worden?

Denkfehler! - Die "include/config.inc.php" kann nicht überschrieben werden, weil sie in den Installationsdateien nicht enthalten ist.

Vergiss nicht, im Verzeichnis "albums" und darunter alle HTML/HTM/PHP Dateien manuell zu reparieren.

Suche ferner, insbesondere im Verzeichnis 10001, nach suspekten JPGs, die in Wirklichkeit PHP-Code enthalten.
Suche ferner, insbesondere im Verzeichnis 10001, nach suspekten ZIPs, die in Wirklichkeit PHP-Code enthalten.



fotoshopper

Habe mich schon gewundert:

Bei mir wurde der komplette Account meines Servers infiziert. Somit meine Joomla, phpbb und Coppermine Installation.
Dazu einige Rechner meine Benutzer,

Ich habe nach einem Backup die komplette Seite gelöscht. Wie kann ich sicher gehen, das der Trojaner weg ist?

Don-Duracell

@fotoshopper: Folge der Anleitung im Internationalen Bereich des Forums die Joachim Müller erstellt hat damit kommt man sehr sehr weit.

Bei mir hat es geholfen. Es war glücklicherweise nur Coppermine betroffen die habe ich nun wieder funktionsfähig & sauber sowie aktualisieren können. Ich bin gerade am überlegen ob es völliger Unsinn wäre die Zugangsdaten für die Datenbank von Coppermine zu ändern denn in der config.inc.php (welche ja auch diesen unnützen Code enthielt) stehen ja diese Daten in Klartext.

@Joachim "GauGau Müller": Bitte melde dich mal bei mir per PM denn ich möchte mich erkenntlich zeigen für deine Mühen.
Live long and prosper...

Don-Duracell

lamama

Quote from: Joachim Müller on April 16, 2008, 08:15:01 AM
Bitte solche Links in Zukunft nicht entfernen, sondern nur eine Warnung dranschreiben oder nicht klickbar machen, so dass der Benutzer mit copy&paste ran muss.

Letzteres hab ich getan. Die URL steht noch dort.

Joachim Müller

Quote from: Don-Duracell on April 16, 2008, 11:13:20 PM
Ich bin gerade am überlegen ob es völliger Unsinn wäre die Zugangsdaten für die Datenbank von Coppermine zu ändern denn in der config.inc.php (welche ja auch diesen unnützen Code enthielt) stehen ja diese Daten in Klartext.
Macht absolut Sinn. Habe ich in der Anleitung vergessen zu erwähnen.

Quote from: Don-Duracell on April 16, 2008, 11:13:20 PM@Joachim "GauGau Müller": Bitte melde dich mal bei mir per PM denn ich möchte mich erkenntlich zeigen für deine Mühen.
Danke für Deine Bereitschaft, mir was gutes zu tun. Ich nehme keinerlei Spenden an. Es gibt allerdings so allerhand, was Du tun kannst, wenn Du Dich erkenntlich zeigen willst: lies mal We need your help

fotoshopper

Quote from: Don-Duracell on April 16, 2008, 11:13:20 PM
@fotoshopper: Folge der Anleitung im Internationalen Bereich des Forums die Joachim Müller erstellt hat damit kommt man sehr sehr weit.

Habe mir die Anleitung natürlich durchgelesen.

Interessant finde ich for allem das Coppermine im Wartungsmodus war und trotzdem wurde die Software angegriffen.

Ich habe alle Daten von meinem Webspace (Server) gelöscht und nur erstmal Joomla und phpbb neu aufgesetzt. Dazu die Passwörter der Datenbank geändert. Die Frage ist, ob nicht der Trojaner noch irgendwo lauert?

Wie kann ich das überprüfen?
Noch einen Virenbefall würden mir meine Nutzer nicht verzeihen. Alle Besucher die meine Webseite besuchten als der Trojaner zu Gast waren haben ihre Computer infiziert, sind so an die 200.

Vielen Dank für Eure Antwort

Joachim Müller

Quote from: fotoshopper on April 17, 2008, 10:57:05 AM
Interessant finde ich for allem das Coppermine im Wartungsmodus war und trotzdem wurde die Software angegriffen.
Der Wartungsmodus hat nur verhindert, dass legitime Benutzer etwas tun konnten. Die "vulnerability", die der Hack ausgenutzt hat schert sich einen Kehricht um den Wartungsmodus. Der Wartungsmodus schaltet letztendlich nur die Seiten des Frontend für den Benutzer ab, aber nicht das Backend.

Quote from: fotoshopper on April 17, 2008, 10:57:05 AMIch habe alle Daten von meinem Webspace (Server) gelöscht und nur erstmal Joomla und phpbb neu aufgesetzt. Dazu die Passwörter der Datenbank geändert. Die Frage ist, ob nicht der Trojaner noch irgendwo lauert?

Wie kann ich das überprüfen?
Noch einen Virenbefall würden mir meine Nutzer nicht verzeihen. Alle Besucher die meine Webseite besuchten als der Trojaner zu Gast waren haben ihre Computer infiziert, sind so an die 200.
Wie schon in der Anleitung beschrieben musst Du zwischen der Vulnerability (also der Angreifbarkeit) und dem Payload (also dem Code, die der Angreifer eingeschleust hat) unterscheiden. Das "Loch", das der Angreifer genutzt hat, um sich Zugang zu verschaffen sollte gestopft sein. Die Säuberung des Payload wird in der Anleitung beschrieben für Coppermine. Da der Payload auch anderswo lauern kann musst Du also alle Datein auf Deinem Webserver überprüfen (also auch Joomla, phpbb und Co.), was Du anscheinend getan hast.
Was Du noch tun kannst ist, Deinen Besucher einen sichereren Browser zu empfehlen.
Absolute Sicherheit gibt es leider nicht - weder Coppermine noch die anderen genannten Applikationen sind gegen zukünftige Attacken hundertprozentig gefeit. Die alte Weisheit "there is always one more bug" trifft mit Sicherheit zu. Relative Sicherheit erreichst Du durch das Up-to-date halten Deiner Applikationen und regelmäßige Backups.
Einen Zero-Day-Exploit wie den gerade erlebten kannst Du damit aber nicht verhindern - sorry. Es sollte auch Deinen Benutzern klar sein, dass das Internet ein gefährlicher Platz ist; auch beim Besuch von Seiten, denen sie vertrauen.