forum.coppermine-gallery.net
Support => Deutsch (German) => Language Specific Support => cpg1.4.x Deutsch (German) => Topic started by: islands on April 28, 2008, 09:59:43 am
-
Es scheint ein Trojaner-Virus umzugehen auf Coppermine- und WP-basierten Seiten.
Besucher meiner cm-Gallery lesen: "remote data services data control" und müssen irgendetwas installieren. Gleichzeitig wird ihr PC infiziert.
Selbst stelle ich fest, dass mein PC langsamer arbeitet und dass sich die Gallery verrutscht darstellt.
In den verschiedensten Foren und auf Viren-Webseiten habe ich nicht allzuviel gefunden. Ich vermute, dass sich der Trojaner auf dem Server meines Hosters eingenistet hat in irgendwelche cm-Dateien.
Hat jemand eine Ahnung was ich machen soll/kann?
-
Lalala - wurde schon oft gefragt und beantwortet. Einfach mal die Ankündigungen lesen.
Als deutsch-sprachiger Einstieg: http://forum.coppermine-gallery.net/index.php/topic,51926.0.html
-
Ich bedanke mich für den hilfreichen Hinweis. Ich habe diesen Thread nicht gefunden, muss halt besser lesen.
Ich werde mich jetzt mal 'ranmachen'.
-
Hi, nur mal so als kleiner Tip. Unser Meister Hacker hat sich was Neues einfallen lassen. Nachdem nun jeder weiß, dass er die html und php Dateien infiziert, hatte ich jetzt in einer Galerie was neues. Er hat ein "Bild" hochgeladen. Da hat er dann den ganzen Code etc reingeladen. drauf gekommen bin ich erst, nachdem ich trotz genauer überarbeitung aller entsprechenden Dateien immer noch infiziert war. Die Datei war im Ersten userpicordner abgelegt. Also 10001 und nannte sich 45563131x.jpg. Wer es sich leicht machen will, lädt die gesamte Galerie auf seinen Rechner und sucht mit dem pspad editor ( http://www.pspad.com/de/ ) einfach in den Dateien nach iframe der pspad editor findet diesen Schadcode auch in jpg-Dateien ;-)
Und falls jetzt wieder ein ganz schlauer sagt (wie bei meinem letzten Tip, lies mal da und dort nach, da steht das schon alles... Mein Englisch ist nicht so optimal und weil ich nicht der Einzige bin, gibts wahrscheinlich auch diesen deutschen Bereich hier ;-)
-
Das ist nicht neu, sondern alt und Bestandteil des Hacks - darauf bin ich im Säuberungs-Thread schon eingegangen. Es handelt sich nur um eine umbenannte Textdatei mit jpg-Endung, die den Payload enthält, aber selbst keine Gefahr darstellt, wenn Du die Galerie wie beschrieben gesäubert hast.
-
Beim ersten mal hatte die betroffene Galerie nach Säuberung damit kein Problem. Dieses jpg.Datei gabs bei mir auch nicht. Als alle html und php gesäubert waren, ging alles wieder.
In diesem Fall nun war die jpg.Datei die einzige noch betroffene auf dem Server und das Antivirenprogramm schlug sofort an. Also müssen sich diese beiden Hacks voneinander unterschieden haben und die betroffene Datei muss eine Gefahr dargestellt haben.
-
Joachim ich bedanke mich denn der säuberungs-Thread hat bei mir geholfen. Es ist zwar eine Menge Arbeit aber meine Gallery gibt es wieder in alter Frische !
Die .jpg-Datei die hier aufgeführt wird war auch bei mir drin und die hatte ich gefunden und rausgeworfen.
-
Wer es sich leicht machen will, lädt die gesamte Galerie auf seinen Rechner und sucht...
*kopfschüttel*
Wer es sich leicht machen will, der nimmt einfach die neueste Version und überspielt/überschreibt einfach ALLE Verzeichnisse und Alben, bis auf "albums". Das sind dann 3 Minuten und 36,5 Sekunden
Dann noch schnell im Verzeichnis "albums" ein paar PHPs/HTMLs manuell cleanen oder auch einfach überspielen/überschreiben. Das sind nochmal 47,7 Sekunden.
Und falls du für dich ein eigenes originelles Theme selbst erstellt hast, dann überschreibst du das eben auch noch. - Selbstverständlich hast du hiervon eine Sicherungskopie auf deiner HD. Nochmal 6,897 Sekunden.
FERTIG
Gruß Marenga
-
Muss oben natürlich heißen:
"ALLE Verzeichnisse und Dateien..."