Soeben wurde meine Seite gehacked!

RiotheRat · 07 Oktober 2005, 15:26:30

Hmmm ... über den Mx-Uploader ist es tatsächlich möglich beliebige Dateien auf den Server zu übertragen. Im Regelfall sollte das kein Problem darstellen da man ja weiss wem man administrative Rechte im System gibt.

Wer auf "Nummer Sicher" gehen möchte kann die originale Datei "admin/modules/images.php" gegen die hier angehängte austauschen. Damit werden dann nur noch ausnahmslos GIF-, JPEG-, PNG- oder SWF-Grafik-Dateien auf den Server übertragen.

RtR

[gelöscht durch Administrator]

der_luecke · 07 Oktober 2005, 16:47:16

Wie kann er sich in die Datenbank einloggen und einen Admin anlegen und dann erst das Script hochladen.
Wie kommt er in die Datenbank ohne die gültigen Passworte

Frage über Fragen

Olaf

Firat · 07 Oktober 2005, 16:57:54

Leider bin ich noch nicht soweit gekommen aber werde heute Nacht die Log-Dateien genauer anschauen.
Er hat dieses PhpVerzeichnis-Script benutzt

Link entfernt - RtR

Firat · 07 Oktober 2005, 17:14:17

sorry RiotheRat

RiotheRat · 07 Oktober 2005, 17:20:38

Ich habs mir grade mal gezogen ... nicht schlecht, nettes

Tool, aber in den falschen Händen

... daher war ich so frei den Link aus Deinem Post zu entfernen.

RtR

Andi · 07 Oktober 2005, 17:21:31

ZitatWie kommt er in die Datenbank ohne die gültigen Passworte

Das ist der Knackpunkt und ziemlich suspekt...

Zitatein Php-Script in das iupload-verzeichnis hochgeladen

ZitatEr hat dieses PhpVerzeichnis-Script benutzt

Hast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.

Was ist das Modul 'Sponsors'?
Das ist doch auch ein Bannerscript?

jubilee · 07 Oktober 2005, 17:30:47

Hallo !

ZitatHast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.

Über dieses Tool-Script gibt es im Forum bereits einen Artikel.
Es wurde einem User als Sicherheitstool untergeschoben. D.H. er sollte das instalierein und ein *guter* Freund wollte damit Sicherheitslücken schließen.
Sicher auch dafür geeignet, aber zudem ein wirklich schönes Backdoor-Script.
MfG
jubilee

RiotheRat · 07 Oktober 2005, 19:09:10

Soderle ... das 1/2e Team hat jetzt das Logfile aufgedröselt, studiert, analysiert u. beianhe auswendig gelernt. In dem Logfile dass Du uns übermittelt hast ist _nirgends_ zu erkennen dass ein Schadscript mittels des Bilduploads in das System eingeschleust wurde.

Jetzt warten wir mal auf das nächste Logfile von heute Nacht, und dann sehen wir weiter. Die von Dir vermutete Ursache kann man nach dem von Dir eingereichten Log ausschliessen.

RtR

Firat · 07 Oktober 2005, 23:06:47

Der Junge hatte es nicht eilig. Es war schon vorher alles geplant. Klar haben wir nichts merkwürdiges in Log-File gefunden. Es ist mir etwas eingefallen und auch kontrolliert. Das hat mich zur Aufklärung gebracht!
Ich habe kontrolliert wann das Script hoch geladen war und da sah ich was überraschendes! Die Datei wurde am 26.09 hoch geladen . Er hat aber nichts geändert und so zu sagen den richtigen Zeitpunkt ausgesucht. Seine ganzen Aktivitäten sind in der Log-File von 26.09 sehr gut erkennbar! Gestern hat er dann zugeschlagen, aber da ich das Script erst heute gesehen habe, konnte er in der Zwischenzeit nochmal hacken. Aber wie er an die Admin-Daten kam ist nicht ganz klar. Er hat das Kennwort eines unseren Admins irgendwie raus bekommen und sich direkt eingeloggt und danach war das Hochladen irgendwelcher Dateien kein Problem mehr. Das komische daran ist, dass dieser Admin schon seit 6 Wochen nicht ins Internet konnte und das Passwort auch nirgends wo benutzt aber das ist aus der Sicht der Pragmamx nicht mehr wichtig. Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt das Modul Zlteam!
Wenn ich weiteres rausfinde werde ich berichten!

RiotheRat · 07 Oktober 2005, 23:13:01

Zitat von: Firat am 07 Oktober 2005, 23:06:47Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt das Modul Zlteam!

Hinweis: Die Teamgallery aus unseren Downloads (z.B. SourceForge) ist davon _nicht_ betroffen. In unserer TeamGallery wird das übergebene File geprüft.

Zitat/* Sicherheitscheck */
$bildcheck1 = "image/pjpeg";
$bildcheck2 = "image/jpeg";
$bildcheck3 = "image/jpg";
$bildcheck4 = "image/gif";
$bildcheck5 = "image/png";
$bildcheck6 = "image/tiff";
$bildcheck7 = "image/bmp";
$bildcheck8 = "image/vnd.wap.wbmp";
$bildcheck9 = "image/ief";
$bildcheck10 = "image/x-x-portable-anymap";
$bildcheck11 = "image/x-portable-bitmap";
$bildcheck12 = "image/x-portable-graymap";
$bildcheck13 = "image/x-portable-pixmap";
$bildcheck14 = "image/x-rgb";
$bildcheck15 = "image/x-xbitmap";
$bildcheck16 = "image/x-xpixmap";
$bildcheck17 = "image/x-xwindowdump";
$bildcheck18 = "image/x-cmu-raster";

RtR

Wenn ich das so sehe muss das auch mal "ordentlich" in ein Array *to_do* ... an der Funktionalität ändert das aber nichts.

Andi · 07 Oktober 2005, 23:15:41

Hmmm, irgendwie erinnert mich das doch jetzt sehr an Deinen letzten Thread mit dem phishing-Problem.
http://www.pragmamx.org/modules.php?name=Forum&topic=13083

Zitatunzwar heißt das Modul Zlteam!

Kannst du uns das Modul mal zukommen lassen?

Firat · 07 Oktober 2005, 23:32:45

Ich habe das Modul und die Logdatei an die team@pragmamx.org verschickt!

selin01 · 10 Oktober 2005, 00:05:32

2.mal diese Woche:

;- DigitalMind -;

-------------------------------------------------------

Just Do it.
You Have Been Hacked...
Contact:
irc.gigachat.net
#DigalMind

knowledge is power, knowledge shared is power lost

Alle Domains auf dem Server.... davor nur Pragma

Andi · 10 Oktober 2005, 00:54:50

ZitatAlle Domains auf dem Server.... davor nur Pragma

Was bedeutet das?
Verstehe nicht ganz den Sinn dieses Satzes...