Müsste eine ausführbare Datei sein (also mit der endung .php, .pl oder ähnlichem). Der Trick bei Backdoors ist ja, dass sich die Erzeuger der Backdoors Mühe geben, nicht entdeckt zu werden. Daher gehen sie entweder in die Tiefe von irgendwelchen Unterverzeichnissen mit ihrem Backdoor (z.B. in coppermine/albums/userpics/10235/~/boses_backdoor-skript.php) oder ersetzen selten gebrauchte Dateien des Originals, die harmlos aussehen bzw. so, als ob sie dazu gehören würden durch böse Dateien. Musst also nach ausführbaren Dateien suchen, die nicht Bestandteil des Coppermine-Pakets sind und dadurch bei einem Update auch nicht ersetzt würden. Wenn ich ein böser Bube wäre und ein Backdoor gegen Coppermine schreiben würde, dann würde ich eine bestehende Coppermine-Datei so aufbrezeln, dass sie weiter funktioniert und nur nach Übergabe eines speziellen Parameters in der URL ihr böses Werk verrichtet. Das könnte beispielsweise coppermine/albums/index.php sein, die ab Werk so aussieht:<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Coppermine Photo Gallery - Albums Folder</title>
<meta http-equiv="content-type" content="text/html; charset=iso-8859-1" />
<meta http-equiv="refresh" content="0; url=../index.php">
<style type="text/css">
<!--
body {
font-family : Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
background : #F7F7F7 ;
color : Black;
margin: 20px;
}
h1{
font-weight: bold;
font-size: 22px;
font-family: "Trebuchet MS", Verdana, Arial, Helvetica, sans-serif;
text-decoration: none;
line-height : 120%;
color : #000000;
}
p {
font-family : Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
margin: 10px 10px 0px 0px;
}
-->
</style>
</head>
<body>
<h1><img src="../images/coppermine_logo.png" width="300" height="75" /></h1>
<h1>Coppermine Photo Gallery - Albums Folder</h1>
<p align="center">The contents of this folder aren't meant to be browsed. Visit the Coppermine Photo Gallery instead - you'll be redirected.
If you don't want to wait (or your browser doesn't support redirect), click <a href="../index.php">here</a>.</p>
</body>
</html>Um daraus ein böses Backdoor zu machen könnte man sie wie folgt ändern:<?php
if ($_GET['geheim'] == 'attacke') {
echo 'Muhaha, ich bin der Böse Backdoor-Lümmel und könnte hier die hellgelbsten Dinge geschehen lassen';
die;
}
?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Coppermine Photo Gallery - Albums Folder</title>
<meta http-equiv="content-type" content="text/html; charset=iso-8859-1" />
<meta http-equiv="refresh" content="0; url=../index.php">
<style type="text/css">
<!--
body {
font-family : Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
background : #F7F7F7 ;
color : Black;
margin: 20px;
}
h1{
font-weight: bold;
font-size: 22px;
font-family: "Trebuchet MS", Verdana, Arial, Helvetica, sans-serif;
text-decoration: none;
line-height : 120%;
color : #000000;
}
p {
font-family : Verdana, Arial, Helvetica, sans-serif;
font-size: 12px;
margin: 10px 10px 0px 0px;
}
-->
</style>
</head>
<body>
<h1><img src="../images/coppermine_logo.png" width="300" height="75" /></h1>
<h1>Coppermine Photo Gallery - Albums Folder</h1>
<p align="center">The contents of this folder aren't meant to be browsed. Visit the Coppermine Photo Gallery instead - you'll be redirected.
If you don't want to wait (or your browser doesn't support redirect), click <a href="../index.php">here</a>.</p>
</body>
</html>
Naja, Du wolltest wahrscheinlich keine Anleitung, wie man Backdoors schreibt, sondern wie man sie loswird. Ich hab das nur mal erklärt, um zu verdeutlichen, dass es nicht so einfach ist, ein Backdoor zu erkennen.
Also (wie oben beschrieben):
* Backup von allen Dateien auf dem Webserver machen (das dauert lange, ich weiss) per FTP und auf die lokale Festplatte des Clients schreiben.
* Sauberes Coppermine-Paket von uns herunterladen und in einem anderen Verzeichnis auf dem Client entpacken.
* WinMerge benutzen, um unterschiedliche Dateien zu sehen - so erkennst Du, welche Dateien geändert wurden.
* WinMerge in einem neuen Durchgang anweisen, nur eindeutige Dateien zu suchen (also Dateien, die nur im Backup und nicht dem sauberen Coppermine-Verzeichnis existieren). Diese Liste schaust Du Dir intensiv an: alles, was .jpg oder .gif heisst kannst Du getrost ignorieren. Alle anderen Dateien verdienen Beachtung. Höchste Alarmstufe bei ausführbaren Dateien.
* Wenn Du solche eindeutigen "Bösewichter" identifiziert hast, dann lösche sie auf der Server-Seite (aber nicht im Backup auf dem Client).
* Wenn Du alle "überschüssigen" Dateien durchgegangen bist, dann lade wie angesprochen die "sauberen" Coppermine-Dateien auf den Server hoch wie in der Doku beschrieben.
Es tut mir ja schrecklich leid, dass Deine Seite defaced wurde. Ich bitte aber um Verständnis dafür, dass wir nur wenig Hilfestellung geben können, wie man eine Seite nach einem erfogreichen Angriff wieder sauber bekommt. Letztlich sind dafür Spezialisten notwendig, die sich in allen BlackHat-Hacker-Tricks auskennen und die entsprechenden Gegenmaßnahmen ergreifen können. Ein weiterer Beweis dafür, wie wichtig regelmäßige Backups sind...
Joachim
Author
Topic: Gallerie nicht mehr erreichbar (Read 6590 times)