Suche

[Rudolf]

Hallo zusammen,
vorab: Ich habe den Betreff gewählt um hier vielleicht Hinweise auf betroffene Module zu sammeln.
vielleicht sag ich ja nix neues und bin ja selber so ziemlich neu hier. (Und keine Tüte mehr ;-))
Ich habe (aktuell) ein PHPNuke 5.6 laufen (mit diversen nicht aktivierten Modulen wie zum Bleistift Coppermine).
Heute - so gegen 20.46 hat ein Hacker über dieses (nicht aktive) Modul die Seite lahm gelegt.
Ich installiere (separat) grade PragmaMX über das bestehende (kopierte) PHPNuke 5.6.
Nach Installation von PragmaMX ist dieses Modul auch auf den (baldigen) neuen Seite installiert.
(Habs grade geschmissen ;-))

Wenn ihr vielleicht hier mitteilen könnten welche (PHPNuke) Module ebenfalls betroffen sind, bzw. nicht sicher...
Liebe Grüße von Rudi

[BowlingX]

Hi,
wenn du noch PHPNuke 5.6 hast ist vorallem das System selbst gefärdet!
Wie kommst du darauf das es die Coopermine war? Was haben die Hacker denn genau gemacht? Prüfe bitte dein Dateisystem auf dem Server ob sich da nicht noch irgendwelche verdächtige Dateien befinden.

Die Coopermine Version, die es für pragmaMx gibt ist soweit sicher (du kannst die von deinem PHP Nuke nicht benutzen, eventuell funktioniert ein Update), welche Module benötigst du denn sonst noch?
David

[Rudolf]

Hi,
gefährdet ist schon gar kein Ausdruck mehr ;-)
Ich vermute Coppermine weil ich neben einer weissen Seite nur oben (im Browserheader) "Coppermine" las.
Ich habe ja (auf einer Subdomain) das alte 5.6 installiert und dann PragmaMX drüber gebügelt.
Aber ich denke/vermute das noch alte 5.6 Module rumschwirren die gefährlich sein könnten.
Und am Wochenende will ich die neue Seite veröffentlichen. Was leider nicht geklappt hat war das importieren des alten Forums in das PragmaMX eBoard.

Prüfe bitte dein Dateisystem auf dem Server ob sich da nicht noch irgendwelche verdächtige Dateien befinden.

Ohje, was meinst Du damit?

Und was mir noch einfällt: wäre es sicherer die Config - die ja ständig beschreibbar ist (->Einstellungen) auf nichtbeschreibbar umzustellen?
Liebe Grüße von Rudi (KEIN Spezialist ;-))

[jubilee]

die ja ständig beschreibbar ist (->Einstellungen) auf nichtbeschreibbar umzustellen?

Normalerweise wird diese Datei vom System eigenständig so umgestellt, das diese nicht beschreibbar ist.
Leider funktioniert das nicht bei jeder Serverkonfiguration.

[Mecki]

die ja ständig beschreibbar ist (->Einstellungen) auf nichtbeschreibbar umzustellen?

Normalerweise wird diese Datei vom System eigenständig so umgestellt, das diese nicht beschreibbar ist.
Leider funktioniert das nicht bei jeder Serverkonfiguration.

Hi,

wie muss der Server denn konfiguriert sein?

LG
Mecki

[Andi]

Moin

Ja, die alte nuke-Coppermine ist ein Sicherheitsloch über das sehr viele Nuke-Installationen gehackt wiurden und immernoch werden. Das deaktivieren des Moduls bringt nicht. Es muss komplett gelöscht werden.

Die Installationsroutine der mx-Coppermine erkennt normalerweise die bestehenden Tabellen und konvertiert diese, bzw. übernimmt die Daten.

Wohlgemerkt, das Sicherheitsloch hat mit der Original-Coppermine absolut nichts zu tun, das ist nur diese Nuke-Portierung, die da betroffen ist.


@ Rudolf:
Du hast mir ja die Zugangsdaten zukommen lassen. Wenn es dir recht ist, schau ich mich bei Dir mal diesebezüglich um. (am WE)

[Rudolf]

Hi Andi, @all,
ohja das wär fein (PragmaMX ist im Verzeichnis -> Neu )
Ich wollte die Seite dann Samstag auf Sonntag Nacht ins Netz packen. (Am einfachsten ists ja die Ordner (im ftp) umzubenennen.) Ein paar Kleinigkeiten noch (Ich krieg den Kalenderblock nicht zentriert der hängt immer links, aber halb so wild) und uff...
Und nun muss ich was kochen damit meine bessere Hälfte nach der Arbeit gut gelaunt wird. (Und dann verschwindet sie wie üblich erst mal für Stunden zu den Hühnern)
Liebe Grüße von Rudi

[Andi]

Moin

ich habe mal gerade nen kurzen FTP-Streifzug gemacht.

Ich habe jetzt Bauchweh....
Ich sage es mal ganz krass, dein Webspace ist ziemlich verseucht mit allen möglichen Hackertools.
Allein im /modules/ Ordner habe ich 5 Dateien gefunden (und gelöscht), die in den letzten 2 Jahren von Hackern hochgeladen wurden. Weiss Gott, was da noch alles in den Unterordnern schlummert, was so nicht auf Anhieb entdeckt werden kann.
Die neue Seite würde ich mit den ganzen Altlasten nicht online stellen. Die evtl. mitgeschleiften Sicherheitslücken kann auch pragmaMx nicht komplett abfangen.

Ich würde dir empfehlen, nochmal ein komplett neues pragmaMx in einen leeren Ordner hochzuladen. Das aber dann nicht installieren, sondern einfach die config.php deiner Installation dorthin kopieren. Müsste gleich laufen...

Dann würde ich Stück für Stück, die noch benötigten Dinge wie Bilder etc. rüberkopieren. Den ganzen alten Nuke Kram würde ich nicht übernehmen.



PS:
Dein Webspace wurde/wird evtl. auch irgendwie als Spamschleuder missbraucht. Im phpTemp-Ordner habe ich 2 Dateien gefunden, die riesige Listen mit eMailadressen enthielten. (gesichert u. gelöscht)

[Rudolf]

Moin Andi,
ohje, jetzt bekomm ich auch Bauchweh. Hast Du auch in den anderen Seiten geschaut? Bin jetzt etwas verwirrt, traurig, entsetzt, die ganze Palette rauf und runter.
Dann wird das wohl nix heute Nacht mit neuer Seite... Hab auch keine Datenbank mehr frei (werd wohl das Forum meiner durchgeknallte-katzen.de Seite löschen, da ist eh nix drin.)
Trotzdem erst mal gaaanz herzlichen Dank. (Wenn möglich schick mir doch mal die Dateien mit den Mails, Tools, bin ja doch neugierig)
Ich versuchs jetzt erst mal mit nem Kaffee (als Teetrinker ;-))
Liebe Grüße von Rudi  (passender Smilie)

Nachtrag: Was ist mit der alten Datenbank? Kann ich die nutzen?

[Andi]

Hi

ja, mit der Datenbank haben diese Probleme ja nichts zu tun.

Das meinte ich ja damit, dass das "neue/leere" pragmaMx einfach die config.php des belasteten neuen verwendet. Also die Dateibasis komplett neu und sauber ist, aber die bestehende Datenbank weiterverwendet wird.


Und ja, ich habe auch etwas in die anderen Seiten geschaut. Aber dort in den Foren, oder was da installiert ist, kenne ich mich nicht aus. Da kann ich nicht viel darüber sagen, ob da was betroffen ist.

[Rudolf]

Moin Andi,
ich hab tatsächlich nen Kaffee getrunken *g*...
Bin fleissig dabei (neu2) und hab noch ne alte Datenbank gefunden die ich leerte und nun nutze.
Scheint tatsächlich zu funktionieren. Ich seh mal zu wie weit ich komme und werde dann die Seite (vegan-info) die Tage auch auf PragmaMX umstellen.
Aber erst mal 1000 Dank und wenn ich Dir irgendwie helfen kann :-)
Liebe Grüße von Rudi

[Rudolf]

Ich hab nun noch das 4nImpressum und das 4nForum übernommen, war das okay? 

[BowlingX]

Hi,
das 4n Impressum ist wahrscheinlich nicht ganz so schlimm, aber bei dem 4n Forum würde ich vorsichtig sein, funktioniert das denn? Hast du mal einen Link zum schauen ob man das eventuell auf das mxBoard oder smf Forum konvertieren kann?! Vorerst nicht aktivieren
David

[Rudolf]

Hi David,
das hat nicht funktioniert (habs wieder entfernt). Schade, aber betrifft nur 500 Beiträge im Laufe von 3,5 Jahren. Jedenfalls laufen die wichtigen Funktionen.
Andi hat ja mir ja empfohlen nochmal alles neu zu installieren, so das ich jetzt 3 parallele Terminseiten habe *g*.
Den Link schick ich Dir per Mail.
Liebe Grüße von Rudi