Gehacked kann man nicht unbedingt sagen aber meine Seite basiert auf vkpMx 2.1 und wurde durch Türken beschädigt. In der Datenbank ist der Tabelleninhalt von _authors gelöscht, somit gibt es keine Admins und alle Banner wurden durch das Logo der türkischen Lamerseite ersetzt! Mein Verdacht konzentriert sich auf das Bannermodul, weil nur dieses Modul geändert wurde und ansonsten die ganze Seite lauffähig war. Ich habe leider noch keine Logs, weil die erst nach Mitternacht bereitgestellt werden. Meine Seite habe ich auch offline gestellt. Ich könnte sie wieder online machen aber ich möchte erstmal die Ursache ausfindig machen.
Andere fremde Module sind Coppermine und paar unwichtige die ich seit Jahren benutze!
Hallo !
ZitatAndere fremde Module sind Coppermine und paar unwichtige die ich seit Jahren benutze
WELCHE ???
Namen und Version angeben.
Auch von der Coppermine-Gallerie !
Sonst können wir uns das nachforschen gleich schenken !
MfG
jubilee
Coppermine ist die aktuelste Version also 1.3.5
gpoints
GUIstuff
LogoEditor
Spiel
User_Fotoalbum
also wie du siehst, haber wirklich sehr wenige Fremdmodule, ansonsten paar selbstgeschriebene nur mit htmlinhalt!
Ich habe bannermodul und blöcke deaktiviert, author-Tabelle aktualisiert und den türkischen Ip-Bereich aus Ankara komplett gesperrt!
Zitatgpoints
GUIstuff
LogoEditor
Spiel
Keine Ahnung was das für Module sind...
Ich denke ohne die Logfiles, und weitere Info, z.B. nen Link zur Seite kommen wir da nicht weiter.
Das Bannermodul schliesse ich mal aus dem Verdacht aus. Habe es gerade nochmal angesehen, da ist nichts drin, was die Admintabelle löschen könnte. Denke die haben die Bannertabelle nur verwendet um ihre Bildchen unterzubringen.
Hast du das Detection-System aktiviert?
Ist das noch ein vkpMx 2.1 oder ein 2.1.a oder 2.1.b?
mehr INFO!!!!
Ich habe 2.1.b!
die oben aufgelisteten module sind inhaltlich html-dateien. sie haben keine datenbankspezifische schreibende Funktionen!
Es gibt nur 3 Admins und sie haben vor Kurzem ihre PWs geändert also daran kann es auch nicht liegen.
Ich weiss nur, dass es wirklich eine Gruppe war, die viele auf Nuke basierende Seite so gehacked haben!
Ich werde heute Nacht die Logfiles genauer anschauen und ggf. euch auch geben!
Hallo !
Zitatdie oben aufgelisteten module sind inhaltlich html-dateien. sie haben keine datenbankspezifische schreibende Funktionen!
Das gpoints - Modul mit Sicherheit nicht !
Das schreibt/liest reichlich in der Datenbank !
Welche version ist das bzw. von welchem Datum ?
MfG
jubilee
Zitatund ggf. euch auch geben
Nicht ggf.!!
Wir bitten darum ;)
ja stimmts, sorry habe gpoints übersehen und coppermine brauch ich garnicht zu erwähnen.
Detection ist aktiv,habe eben gerade mal geschaut und der letzte Eintrag ist am 30.09 und uraltes Bug in Downloads , das schon vor Jahren beseitigt ist!
Logfiles werdet ihr haben :)
gpoints von im-concepts.de 1.61
BTW:
Wenn das freie unverschlüsselte gpoints-Modul version 1.61, dann gute Nacht.
Hab da beim schnellen draufschauen schon einiges gesehen .....
Allein im Admin-Modul gehts schon so los :
Zitatif (!eregi("admin.php", $PHP_SELF)) { die ("Access Denied"); }
$result = mysql_query("select name, radminsuper from ".$prefix."_authors where aid='$aid'");
MfG
jubilee
so hier ist die komplette Liste der Module!
FAQ
Members_List
Feedback
Downloads
Web_Links
Stories_Archive
Sections
Content
Top
Topics
Your_Account
News
Submit_News
Recommend_Us
Private_Messages
Surveys
Search Suchen
Guestbook
Kalender
Newsletter
Web_News
eBoard
Impressum
LinkMe
LogoEditor
Spiel
Members_Photo_Upload
TVRadio
Avatar
gpoints
Gallery
Sponsors
User_Registration
Userinfo
My_eGallery
Banners
Themetest
Addon_Sample
maaXStat
Reviews
UserGuest
Encyclopedia
Siteupdate
User_Fotoalbum
blank_Home
Buddy
albums
Hmmmm ....
My_eGallery mit dem Fix, den Fixen ausgestattet die hier in den Themen unter Bugs gepostet sind ?
TVRadio ? ? Was das ?
albums ? ?
MfG
jubilee
Egallery benutze ich garnicht.Also es ist deaktiviert. Es ist ein Bestandteil von VkpMx, deshalb hatte ich auch Probleme beim Deinstallieren.
TVRadio ist ein Modul in dem die Tv- und Radiosender der Seite http://tvradionetwork.com/ in einem Frame geladen und gezeigt werden. Also nur reines html!
Schick bitte Dein Log-File gezippt an team@pragmamx.org oder leg es als ZIP auf Deinen Server und schick eine eMail mit der Download-URL an die eben genannte Adresse.
Dann kann man dazu auch was sagen - alles andere ist sinnloses stochern im Nebel. Bei einer eMail ans Team können (und werden) wir weiter sehen ...
RtR
H mm mmm ....
Welche Shoutbox ist das denn, die dauernd in den Logs auftaucht, aber nicht
in deiner Modulliste steht ? ? ? ?
Sagt Dir das etwas ?
Zitat85.96.135.79 - - [06/Oct/2005:15:14:46 +0200] "GET /cool/modules.php?name=Biyografi
??
es ist extra script,das mit nuke nichts zutun hat!
Biographie modul basiert auf reviews-modul. das modul war ebenfalls davon betroffen aber was mich interessiert warum man nicht weitergeleitet wird , wenn man banners.php direkt aufruft!
So es wurde wieder gehacked, obwohl ich alle module die verdächtig waren komplett gelöscht und alle pws geändert habe. weiteres folgt noch!
Welche Gallery ist das die bei Dir läuft? Denn der Modulname ist "Gallery" und nicht "My_eGallery"! Nur umbenannt oder ein "anderes" Modul?
RtR
wie ich schon oben erwähnt hatte, benutze ich coppermine aber die Ursache habe ich rausgefunden!
Es wurde irgendwie durch das Bildupload modul im Adminbereich ein Php-Script in das iupload-verzeichnis hochgeladen. so hat der Typ sozu sagen vollen Zugriff auf alle Dateien und auf die Datenbank gehabt und so hat er auch alle Einstellungen ändern können. Deshalb jeder sollte schnell wie möglich das Bild-Hochladen-Modul für Adminbereich löschen oder umbenennen!
wenn er kein Admin ist wie soll er dann das Bildhochladen Modul im ADMINBEREICH bedienen können??
er hat sich über die datenbank ein admin-account erstellt und sich so eingeloggt! alles weitere war dann Kinderspiel für die Person!
Während ich noch in der Datenbank nach Spuren gesucht habe, war diese Person drin um die Spuren zu löschen und dabei löschte er auch seinen eigenen account! Er wollte wahrscheinlich damit erreich dass ich auf das Script nicht aufmerksam werde damit er es weiterhin benutzen kann!
Hmmm ... über den Mx-Uploader ist es tatsächlich möglich beliebige Dateien auf den Server zu übertragen. Im Regelfall sollte das kein Problem darstellen da man ja weiss wem man administrative Rechte im System gibt.
Wer auf "Nummer Sicher" gehen möchte kann die originale Datei "admin/modules/images.php" gegen die hier angehängte austauschen. Damit werden dann nur noch ausnahmslos GIF-, JPEG-, PNG- oder SWF-Grafik-Dateien auf den Server übertragen.
RtR
[gelöscht durch Administrator]
Wie kann er sich in die Datenbank einloggen und einen Admin anlegen und dann erst das Script hochladen.
Wie kommt er in die Datenbank ohne die gültigen Passworte
Frage über Fragen
Olaf
Leider bin ich noch nicht soweit gekommen aber werde heute Nacht die Log-Dateien genauer anschauen.
Er hat dieses PhpVerzeichnis-Script benutzt
Link entfernt - RtR
sorry RiotheRat ??? ::)
Ich habs mir grade mal gezogen ... nicht schlecht, nettes :D Tool, aber in den falschen Händen :o ... daher war ich so frei den Link aus Deinem Post zu entfernen.
RtR
ZitatWie kommt er in die Datenbank ohne die gültigen Passworte
Das ist der Knackpunkt und ziemlich suspekt...
Zitatein Php-Script in das iupload-verzeichnis hochgeladen
ZitatEr hat dieses PhpVerzeichnis-Script benutzt
Hast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.
Was ist das Modul 'Sponsors'?
Das ist doch auch ein Bannerscript?
Hallo !
ZitatHast du das noch?
Wie heisst das? In den Logfiles ist nichts zu finden, dass ein script im iupload Ordner aufgerufen wurde.
Über dieses Tool-Script gibt es im Forum bereits einen Artikel.
Es wurde einem User als Sicherheitstool untergeschoben. D.H. er sollte das instalierein und ein *guter* Freund wollte damit Sicherheitslücken schließen.
Sicher auch dafür geeignet, aber zudem ein wirklich schönes Backdoor-Script.
MfG
jubilee
Soderle ... das 1/2e Team hat jetzt das Logfile aufgedröselt, studiert, analysiert u. beianhe auswendig gelernt. In dem Logfile dass Du uns übermittelt hast ist _nirgends_ zu erkennen dass ein Schadscript mittels des Bilduploads in das System eingeschleust wurde.
Jetzt warten wir mal auf das nächste Logfile von heute Nacht, und dann sehen wir weiter. Die von Dir vermutete Ursache kann man nach dem von Dir eingereichten Log ausschliessen.
RtR
Der Junge hatte es nicht eilig. Es war schon vorher alles geplant. Klar haben wir nichts merkwürdiges in Log-File gefunden. Es ist mir etwas eingefallen und auch kontrolliert. Das hat mich zur Aufklärung gebracht!
Ich habe kontrolliert wann das Script hoch geladen war und da sah ich was überraschendes! Die Datei wurde am 26.09 hoch geladen . Er hat aber nichts geändert und so zu sagen den richtigen Zeitpunkt ausgesucht. Seine ganzen Aktivitäten sind in der Log-File von 26.09 sehr gut erkennbar! Gestern hat er dann zugeschlagen, aber da ich das Script erst heute gesehen habe, konnte er in der Zwischenzeit nochmal hacken. Aber wie er an die Admin-Daten kam ist nicht ganz klar. Er hat das Kennwort eines unseren Admins irgendwie raus bekommen und sich direkt eingeloggt und danach war das Hochladen irgendwelcher Dateien kein Problem mehr. Das komische daran ist, dass dieser Admin schon seit 6 Wochen nicht ins Internet konnte und das Passwort auch nirgends wo benutzt aber das ist aus der Sicht der Pragmamx nicht mehr wichtig. Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt das Modul Zlteam!
Wenn ich weiteres rausfinde werde ich berichten!
Zitat von: Firat am 07 Oktober 2005, 23:06:47Es war aber noch ein Modul die selbe Lücke hatte wie das Modul Bild Hochladen, unzwar heißt das Modul Zlteam!
Hinweis: Die Teamgallery aus unseren Downloads (z.B. SourceForge) ist davon
_nicht_ betroffen. In unserer TeamGallery wird das übergebene File geprüft.
Zitat/* Sicherheitscheck */
$bildcheck1 = "image/pjpeg";
$bildcheck2 = "image/jpeg";
$bildcheck3 = "image/jpg";
$bildcheck4 = "image/gif";
$bildcheck5 = "image/png";
$bildcheck6 = "image/tiff";
$bildcheck7 = "image/bmp";
$bildcheck8 = "image/vnd.wap.wbmp";
$bildcheck9 = "image/ief";
$bildcheck10 = "image/x-x-portable-anymap";
$bildcheck11 = "image/x-portable-bitmap";
$bildcheck12 = "image/x-portable-graymap";
$bildcheck13 = "image/x-portable-pixmap";
$bildcheck14 = "image/x-rgb";
$bildcheck15 = "image/x-xbitmap";
$bildcheck16 = "image/x-xpixmap";
$bildcheck17 = "image/x-xwindowdump";
$bildcheck18 = "image/x-cmu-raster";
RtR
Wenn ich das so sehe muss das auch mal "ordentlich" in ein Array *to_do* ... an der Funktionalität ändert das aber nichts.
Hmmm, irgendwie erinnert mich das doch jetzt sehr an Deinen letzten Thread mit dem phishing-Problem.
http://www.pragmamx.org/modules.php?name=Forum&topic=13083
Zitatunzwar heißt das Modul Zlteam!
Kannst du uns das Modul mal zukommen lassen?
Ich habe das Modul und die Logdatei an die team@pragmamx.org verschickt!
2.mal diese Woche:
;- DigitalMind -;
-------------------------------------------------------
Just Do it.
You Have Been Hacked...
Contact:
irc.gigachat.net
#DigalMind
knowledge is power, knowledge shared is power lost
Alle Domains auf dem Server.... davor nur Pragma
ZitatAlle Domains auf dem Server.... davor nur Pragma
Was bedeutet das?
Verstehe nicht ganz den Sinn dieses Satzes...