gehackt von securinfos VKP 5.5

ctsolutions · 13 Mai 2003, 22:49:53

Hallo,

seit nun ein paar tage wurde meine VKP 5.5 von securinfos gehackt.
ob nun mit gute absichten oder nich ist mir eigentlich egal.
meine index spinnt obwohl ich ein backup zurückgeladen habe. ich nehme an das irgendwas in DB gehackt wurde.

kann man mir jemand helfen ? ich wurde noch die gute alte VKP 5.5 noch behalten.

http://www.ctsolutions.org

nach c.a 15 sekunden wird die seite redirected auf

http://www.securinfos.kit.net/pegueivc.htm

Danke und

Gruß,
CtSolutions

Nachtrag: ich habs

hier noch ein betroffener:

"Nun,
meine Seite ist ge.... worden mag es garnicht sagen!
Aber ich habe ein Problem:
Alle Links und Inhalte sind da auch die DB! Aber die Index Seite wurde verändert.
Darauf habe ich das Backup genommen und eingespielt,d.h. alte Index.php aber das Ergebnis ist das gleiche! Die Startseite bleibt leer! Nur Hintergrund wird geladen! Und in der Statusleiset kann man einen Link sehen zu securinfos.kit.net

Was soll ich nun machen welche Datei wurde verändert die den Redirect oder ähnliches verursacht?

Woher kommt der Fehler?

Als Info ich benutze phpnuke 5.5!!!!

Ich danke Euch!!!!!

Noch was ich finde sowas echt megaaaaaa schei...........!!!!
Jeder weiß doch das es Lücken gibt was soll das also?

?

===

Habe etwas gefunden!!!

Denn in der erzeugten Startseite finde ich einen Link

<script>self.location="http://www.securinfos.kit.net/owned.htm"</script>

Nur wo nehme ich das wieder raus und wie hat er/sie das gemacht?

?

Zu finden ist auch folgendes:

=====

und nun die lösung:

"
Schau mal in die nuke_stories Tabelle.
Entweder in den letzten Eintrag, wenn dort nicht, dann mußt du mal alle durchschauen. "

es war ein eintrag von diese hacker group.

ich habe sie gelöscht und sieht, nun läuft wieder.

Gruß

[Editiert am 13/5/2003 von ctsolutions]

Andi · 13 Mai 2003, 23:15:05

Hi ctsolutions

wurden irgendwelche News-Artikel verändert und javascripts reingeschrieben?
Z.Zt ist auf Deiner Startseite nur ein Artikel zu sehen und es erfolgt keine Umleitung...

Evtl. hilft das weiter: //modules.php?name=News&file=article&sid=401

ctsolutions · 13 Mai 2003, 23:32:28

Hi,

also es wure ein eintrag in die nuke_stories Tabelle reigeschmugelt. ich habe sie mit freude schnell gelöscht

dein link führ mich zum eine lösung der bei meinem VKP 5.5 nicht die selbe ist. hier ein teil von meine news index. php;

function rate_article($sid, $score) {
global $prefix, $dbi, $ratecookie, $sitename, $r_options;
if ($score) {
   if (isset($ratecookie)) {
    $rcookie = base64_decode($ratecookie);
    $r_cookie = explode(":", $rcookie);
   }
   for ($i=0; $i < sizeof($r_cookie); $i++) {
    if ($r_cookie[$i] == $sid) {
      $a = 1;
    }
   }
   if ($a == 1) {
    Header("Location: modules.php?name=News&op=rate_complete&sid=$sid&rated=1");
   } else {
    $result = sql_query("update ".$prefix."_stories set score=score+$score, ratings=ratings+1 where sid='$sid'", $dbi);
    $info = base64_encode("$rcookie$sid:");
    setcookie("ratecookie","$info",time()+3600);
    Header("Location: modules.php?name=News&op=rate_complete&sid=$sid$r_options");
   }
} else {
   include("header.php");
   title("$sitename: "._ARTICLERATING."");
   OpenTable();
   echo "<center>"._DIDNTRATE.""
    .""._GOBACK."</center>";
   CloseTable();
   include("footer.php");
}
}

wurde mich aber risig freuen von eine gepachte index.php file.

Danke,

CtSolutions

[Editiert am 13/5/2003 von ctsolutions]

Andi · 14 Mai 2003, 00:02:20

Hi ctsolutions,
vom Prinzip ist das das Gleiche.

Einfach unter die Zeile
if ($score) {

die folgenden 4 Zeilen zusätzlich einfügen:
$sid = (int)$sid;
$score = (int)$score;
if ($score > 5) { $score = 5; }
if ($score < 1) { $score = 1; }

thoelting · 07 Juni 2003, 08:49:07

Hallo Leute,
ich habe ein ähnliches Problem wie ctsolution, nämlich: Irgendwelche Deppen schaffen es Änderungsrechte auf vorhandene Artikel zu kommen und überschreiben den vorhandenen Inhalt durch ihren Unfug. Die in diesem Topic genannten Bugfixes habe ich eingearbeitet, aber offensichtlich ohne Erfolg. Ich arbeite mit Eurem PHPNuke 5.5 VKP (nicht upgedatet auf VKP-maxi). Wäre prima, wenn Ihr helfen könntet, damit ich nicht ständig Sicherungen wieder einspielen muss. Meine Seite ist übrigens Hobbybrauer.de

Andi · 07 Juni 2003, 09:11:43

Hi thoelting,

im Moment ist uns nur dieser Bug in der Funktion ratearticle() bekannt. Damit kann man unter bestimmten Voraussetzungen die Artikel verändern.
Wenn Du die 4 Zeilen aus meinem vorherigen Post eingefügt hast, sollte diese Lücke geschlossen sein.
Ansonsten wüsste ich i.M. keine andere Lösung.
Hast Du Zugriff auf die LogFiles des Servers?

soxin · 07 Juni 2003, 09:34:03

ich habe darauf zugriff..
Nach was muß ich da suchen ..?
Die DAtei ist riesig :-)

soxin · 07 Juni 2003, 10:05:17

Hab nun die entscheidenen stellen gefunden ..
ist wirklich über das rate "loch" passiert..
Hab nun die IP: 200.222.181.47 und nun?

soxin · 07 Juni 2003, 10:13:10

Andi;
hab dir eine PM geschickt das solltest dir mal anschauen..
Wie leicht die das gemacht haben und es gibt sogar ein interface dafür!

thoelting · 07 Juni 2003, 16:19:33

Ich werde 'mal meine Logs durchsuchen. Ganz nebenbei: Der geplante Angriff wird immer durch einen vorherigen Besuch von www.netcraft.com aus erkennbar. Ihre Erfolge zeigen sie in www.zone-h.org/en/defacement .
Melde mich, sobald ich Zeit genug habe. Die Hacker sind eventuell nicht gerade schlau, sondern habe einfach nur das richtige Tool gefunden.

soxin · 07 Juni 2003, 17:36:56

jo hier ist meine seite:
http://www.zone-h.org/en/defacements/view/id=300952/

Ich denke man sollte mal ihre Seite hacken *g*

thoelting · 16 Juni 2003, 22:59:58

Ich habe die entsprechenden Einträge in den Logs geprüft, aber die geben leider nichts weiteres her. Muss ich wohl warten, bis jemand das neue Loch findet oder sie mich in Ruhe lassen.