gehackt von securinfos VKP 5.5

Begonnen von ctsolutions, 13 Mai 2003, 22:49:53

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

ctsolutions

Hallo,

seit nun ein paar tage wurde meine VKP 5.5 von securinfos gehackt.
ob nun mit gute absichten oder nich ist mir eigentlich egal.
meine index spinnt obwohl ich ein backup zurückgeladen habe. ich nehme an das irgendwas in DB gehackt wurde.

kann man mir jemand helfen ? ich wurde noch die gute alte VKP 5.5 noch behalten.

 http://www.ctsolutions.org

nach c.a 15 sekunden wird die seite redirected auf

 http://www.securinfos.kit.net/pegueivc.htm


Danke und

Gruß,
CtSolutions

Nachtrag: ich habs  ;)

hier noch ein betroffener:

"Nun,
meine Seite ist ge.... worden mag es garnicht sagen!
Aber ich habe ein Problem:
Alle Links und Inhalte sind da auch die DB! Aber die Index Seite wurde verändert.
Darauf habe ich das Backup genommen und eingespielt,d.h. alte Index.php aber das Ergebnis ist das gleiche! Die Startseite bleibt leer! Nur Hintergrund wird geladen! Und in der Statusleiset kann man einen Link sehen zu securinfos.kit.net

Was soll ich nun machen welche Datei wurde verändert die den Redirect oder ähnliches verursacht????

Woher kommt der Fehler????

Als Info ich benutze phpnuke 5.5!!!!

Ich danke Euch!!!!!

Noch was ich finde sowas echt megaaaaaa schei...........!!!!
Jeder weiß doch das es Lücken gibt was soll das also?????

===

Habe etwas gefunden!!!

Denn in der erzeugten Startseite finde ich einen Link


<script>self.location="http://www.securinfos.kit.net/owned.htm"</script>

Nur wo nehme ich das wieder raus und wie hat er/sie das gemacht?????

Zu finden ist auch folgendes:

=====


und nun die lösung:

"
Schau mal in die nuke_stories Tabelle.
Entweder in den letzten Eintrag, wenn dort nicht, dann mußt du mal alle durchschauen. "

es war ein eintrag von diese hacker group.

ich habe sie gelöscht und sieht, nun läuft wieder.

Gruß

[Editiert am 13/5/2003 von ctsolutions]

Andi

Hi ctsolutions :)

wurden irgendwelche News-Artikel verändert und javascripts reingeschrieben?
Z.Zt ist auf Deiner Startseite nur ein Artikel zu sehen und es erfolgt keine Umleitung...

Evtl. hilft das weiter:  //modules.php?name=News&file=article&sid=401
schön´s Grüssle, Andi

ctsolutions

Hi,

also es wure ein eintrag in die nuke_stories Tabelle reigeschmugelt. ich habe sie mit freude schnell gelöscht  ;)

dein link führ mich zum eine lösung der bei meinem VKP 5.5 nicht die selbe ist. hier ein teil von meine news index. php;




function rate_article($sid, $score) {
    global $prefix, $dbi, $ratecookie, $sitename, $r_options;
    if ($score) {
   if (isset($ratecookie)) {
       $rcookie = base64_decode($ratecookie);
       $r_cookie = explode(":", $rcookie);
   }
   for ($i=0; $i < sizeof($r_cookie); $i++) {
       if ($r_cookie[$i] == $sid) {
      $a = 1;
       }
   }
   if ($a == 1) {
       Header("Location: modules.php?name=News&op=rate_complete&sid=$sid&rated=1");
   } else {
       $result = sql_query("update ".$prefix."_stories set score=score+$score, ratings=ratings+1 where sid='$sid'", $dbi);
       $info = base64_encode("$rcookie$sid:");
       setcookie("ratecookie","$info",time()+3600);
       Header("Location: modules.php?name=News&op=rate_complete&sid=$sid$r_options");
   }
    } else {
   include("header.php");
   title("$sitename: "._ARTICLERATING."");
   OpenTable();
   echo "<center>"._DIDNTRATE.""
       .""._GOBACK."</center>";
   CloseTable();
   include("footer.php");
    }
}



wurde mich aber risig freuen von eine gepachte index.php file.

Danke,

CtSolutions

[Editiert am 13/5/2003 von ctsolutions]

Andi

Hi ctsolutions,
vom Prinzip ist das das Gleiche.

Einfach unter  die Zeile
if ($score) {

die folgenden 4 Zeilen zusätzlich einfügen:
$sid   = (int)$sid;
$score = (int)$score;
if ($score > 5) { $score = 5; }
if ($score < 1) { $score = 1; }  
schön´s Grüssle, Andi

thoelting

Hallo Leute,
ich habe ein ähnliches Problem wie ctsolution, nämlich: Irgendwelche Deppen schaffen es Änderungsrechte auf vorhandene Artikel zu kommen und überschreiben den vorhandenen Inhalt durch ihren Unfug. Die in diesem Topic genannten Bugfixes habe ich eingearbeitet, aber offensichtlich ohne Erfolg. Ich arbeite mit Eurem PHPNuke 5.5 VKP (nicht upgedatet auf VKP-maxi). Wäre prima, wenn Ihr helfen könntet, damit ich nicht ständig Sicherungen wieder einspielen muss. Meine Seite ist übrigens Hobbybrauer.de

Andi

Hi thoelting,

im Moment ist uns nur dieser Bug in der Funktion ratearticle() bekannt. Damit kann man unter bestimmten Voraussetzungen die Artikel verändern.
Wenn Du die 4 Zeilen aus meinem vorherigen Post eingefügt hast, sollte diese Lücke geschlossen sein.
Ansonsten wüsste ich i.M. keine andere Lösung.
Hast Du Zugriff auf die LogFiles des Servers?
schön´s Grüssle, Andi

soxin

ich habe darauf zugriff..
Nach was muß ich da suchen ..?
Die DAtei ist riesig :-)

soxin

Hab nun die entscheidenen stellen gefunden ..
ist wirklich über das rate "loch" passiert..
Hab nun die IP: 200.222.181.47 und nun?

soxin

Andi;
hab dir eine PM geschickt das solltest dir mal anschauen..
Wie leicht die das gemacht haben und es gibt sogar ein interface dafür!  :mad:

thoelting

Ich werde 'mal meine Logs durchsuchen. Ganz nebenbei: Der geplante Angriff wird immer durch einen vorherigen Besuch von www.netcraft.com aus erkennbar.  Ihre Erfolge zeigen sie in www.zone-h.org/en/defacement .
Melde mich, sobald ich Zeit genug habe. Die Hacker sind eventuell nicht gerade schlau, sondern habe einfach nur das richtige Tool gefunden.

soxin

jo hier ist meine seite:
http://www.zone-h.org/en/defacements/view/id=300952/

Ich denke man sollte mal ihre Seite hacken *g*  :P

thoelting

Ich habe die entsprechenden Einträge in den Logs geprüft, aber die geben leider nichts weiteres her. Muss ich wohl warten, bis jemand das neue Loch findet oder sie mich in Ruhe lassen.