Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Ansicht der Gallery hat sich verändert (gehackt?)  (Read 7773 times)

0 Members and 1 Guest are viewing this topic.

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Ansicht der Gallery hat sich verändert (gehackt?)
« on: April 15, 2008, 04:16:25 pm »

Hallo und Guten Tag auch,

ich war aufgrund eines Providerwechsels 2 Wochen offline. Nun wollte ich einen Blick in meine Bildergalerie (h**p://www.don-duracell.de/gallery/ werfen und finde sie völlig verändert vor.

Desweiteren lädt der Browser längere Zeit an einem mir völlig unbekannten Domain cdpuvbhfzz.com etwas nach. Laut Adblock Plus h**p://cdpuvbhfzz.com/dl/adv598.p*p

Es ist aktuell noch die 1.4.15 installiert am laufen. Ja ich weiß ein Update ist erschienen und ich habe es auch schon herunter geladen, aber bevor ich da was aktualisiere würde ich gerne es in meinen Urzustand bringen. Hilft es hier die config.inc.php & anycontent.php aus dem BackUp ,vor dem letzten Update hochzuladen?

Grüße Don-Duracell


[edit: link zur gallery entschärft -  möglicherweise noch infiziert]
« Last Edit: April 16, 2008, 01:20:04 am by lamama »
Logged
Live long and prosper...

Don-Duracell

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #1 on: April 15, 2008, 04:37:37 pm »

Ah sehe gerade den Schlamassel in den internationalen Forenbereichen. Na Prost Mahlzeit, dann mal anfangen die entsprechenden Threads zu lesen ob es inzwischen einen Lösungsweg gibt.
Logged
Live long and prosper...

Don-Duracell

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #2 on: April 15, 2008, 04:47:33 pm »

Lese gerade den Post von "foulu" und frage mich nun ob ich zuerst den Fix ausführen oder zuerst die Version auf den aktuellen Stand bringen soll.

http://forum.coppermine-gallery.net/index.php/topic,51671.msg251701.html#msg251701

Grüße Don-Duracell
Logged
Live long and prosper...

Don-Duracell

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #3 on: April 15, 2008, 05:28:20 pm »

Macht keinen großen Unterschied: erst upgraden, dann aufräumen würde ich sagen, um eine Re-Infektion während der Aufäumarbeiten zu verhindern. Habe übrigens gerade auch einen Aufräum-Thread gestartet mit ausführlichen Anleitungen. Ich glaube nämlich nicht so recht an das Schweizer-Messer-Tool von Foulu.
Logged

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #4 on: April 15, 2008, 05:59:27 pm »

Vielen Dank für diesen riesigen Thread zur Hilfestellung. Ich hatte zwar die Hoffnung auf einen entspannten Abend auf der Couch aber das kann ich nun erstmal absagen. Ich acker mich dann mal durch deinen Thread und hoffe das ganze wieder in die Reihe zu bekommen.
Logged
Live long and prosper...

Don-Duracell

Timos-Welt

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 808
    • Timos-Welt
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #5 on: April 15, 2008, 07:57:03 pm »

Der o. g. Link ist nicht sicher und sorgt bei Usern des IE für die Installation einiger Viren und Trojaner (www.don...). Bitte nimm den Link aus dem Beitrag heraus, bis die Reparatur beendet ist.
« Last Edit: April 15, 2008, 08:04:33 pm by Timos-Welt »
Logged

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #6 on: April 15, 2008, 08:04:38 pm »

Echt?! Oh das war mir nicht bewusst. Ich kann nur leider den Beitrag nicht editieren.  :-\
Hier muss ein Mod tätig werden und den Link entfernen / editieren so dass er nicht direkt angewählt werden kann.
Logged
Live long and prosper...

Don-Duracell

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #7 on: April 16, 2008, 08:15:01 am »

Bitte solche Links in Zukunft nicht entfernen, sondern nur eine Warnung dranschreiben oder nicht klickbar machen, so dass der Benutzer mit copy&paste ran muss.
Logged

Timos-Welt

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 808
    • Timos-Welt
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #8 on: April 16, 2008, 09:20:19 am »

Ok.

Don-Duracell: Wenn du jetzt noch deine Galerie-URL aus deinem Profil rausnehmen könntest...  ::)

Logged

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #9 on: April 16, 2008, 09:32:11 am »

Lass doch bitte mal die Kirche im Dorf - dies ist ein Support-Forum. Das unbedarfte Klicken auf Links bringt Dich überall im Internet in die Bredouille, wenn Du einen anfälligen Browser benutzt. Das ist auch hier im Forum der Fall. Bei einem Thread, in dem der Thread-Starter schon im Betreff die Vermutung äußert, dass seine Seite gehacked wurde muss jeder, der dem Link zur gehackten Seite folgt sich des Risikos bewusst sein und Vorsorge treffen. Analog ist das auch für den Link im Profil der Fall - er kann bleiben, zumal ich davon ausgehe, dass Don Duracell schon aus eigenem Interesse daran arbeitet, dass seine Seite bald wieder sauber ist.
Logged

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #10 on: April 16, 2008, 08:57:02 pm »

Ja ich arbeite mich Schritt für Schritt durch die von Joachim erstellte "Desinfektions-Anleitung".  :)
Hier eine Frage bei meinem aktuellen Vorgang "Replace the files in your working copy with files from the most recent release". Es wird geraten man solle alle Dateien wie bei einem Update, bis auf die anycontent.php, überschreiben "business as usual". Bei einem Update heißt es doch aber auch dass die config.inc.php nicht überschrieben werden solle, das wäre für mich "business as usual". Denkfehler meinerseits oder von Joachim vergessen worden?

Grüße Don-Duracell
Logged
Live long and prosper...

Don-Duracell

Marenga

  • Guest
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #11 on: April 16, 2008, 09:29:29 pm »

Bei einem Update heißt es doch aber auch dass die config.inc.php nicht überschrieben werden solle, das wäre für mich "business as usual". Denkfehler meinerseits oder von Joachim vergessen worden?

Denkfehler! - Die "include/config.inc.php" kann nicht überschrieben werden, weil sie in den Installationsdateien nicht enthalten ist.

Vergiss nicht, im Verzeichnis "albums" und darunter alle HTML/HTM/PHP Dateien manuell zu reparieren.

Suche ferner, insbesondere im Verzeichnis 10001, nach suspekten JPGs, die in Wirklichkeit PHP-Code enthalten.
Suche ferner, insbesondere im Verzeichnis 10001, nach suspekten ZIPs, die in Wirklichkeit PHP-Code enthalten.


Logged

fotoshopper

  • Coppermine novice
  • *
  • Offline Offline
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #12 on: April 16, 2008, 10:57:49 pm »

Habe mich schon gewundert:

Bei mir wurde der komplette Account meines Servers infiziert. Somit meine Joomla, phpbb und Coppermine Installation.
Dazu einige Rechner meine Benutzer,

Ich habe nach einem Backup die komplette Seite gelöscht. Wie kann ich sicher gehen, das der Trojaner weg ist?
Logged

Don-Duracell

  • Coppermine novice
  • *
  • Offline Offline
  • Gender: Male
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #13 on: April 16, 2008, 11:13:20 pm »

@fotoshopper: Folge der Anleitung im Internationalen Bereich des Forums die Joachim Müller erstellt hat damit kommt man sehr sehr weit.

Bei mir hat es geholfen. Es war glücklicherweise nur Coppermine betroffen die habe ich nun wieder funktionsfähig & sauber sowie aktualisieren können. Ich bin gerade am überlegen ob es völliger Unsinn wäre die Zugangsdaten für die Datenbank von Coppermine zu ändern denn in der config.inc.php (welche ja auch diesen unnützen Code enthielt) stehen ja diese Daten in Klartext.

@Joachim "GauGau Müller": Bitte melde dich mal bei mir per PM denn ich möchte mich erkenntlich zeigen für deine Mühen.
Logged
Live long and prosper...

Don-Duracell

lamama

  • Moderator
  • Coppermine frequent poster
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 404
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #14 on: April 17, 2008, 02:55:48 am »

Bitte solche Links in Zukunft nicht entfernen, sondern nur eine Warnung dranschreiben oder nicht klickbar machen, so dass der Benutzer mit copy&paste ran muss.

Letzteres hab ich getan. Die URL steht noch dort.
Logged

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #15 on: April 17, 2008, 08:07:54 am »

Ich bin gerade am überlegen ob es völliger Unsinn wäre die Zugangsdaten für die Datenbank von Coppermine zu ändern denn in der config.inc.php (welche ja auch diesen unnützen Code enthielt) stehen ja diese Daten in Klartext.
Macht absolut Sinn. Habe ich in der Anleitung vergessen zu erwähnen.

@Joachim "GauGau Müller": Bitte melde dich mal bei mir per PM denn ich möchte mich erkenntlich zeigen für deine Mühen.
Danke für Deine Bereitschaft, mir was gutes zu tun. Ich nehme keinerlei Spenden an. Es gibt allerdings so allerhand, was Du tun kannst, wenn Du Dich erkenntlich zeigen willst: lies mal We need your help
Logged

fotoshopper

  • Coppermine novice
  • *
  • Offline Offline
  • Posts: 30
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #16 on: April 17, 2008, 10:57:05 am »

@fotoshopper: Folge der Anleitung im Internationalen Bereich des Forums die Joachim Müller erstellt hat damit kommt man sehr sehr weit.

Habe mir die Anleitung natürlich durchgelesen.

Interessant finde ich for allem das Coppermine im Wartungsmodus war und trotzdem wurde die Software angegriffen.

Ich habe alle Daten von meinem Webspace (Server) gelöscht und nur erstmal Joomla und phpbb neu aufgesetzt. Dazu die Passwörter der Datenbank geändert. Die Frage ist, ob nicht der Trojaner noch irgendwo lauert?

Wie kann ich das überprüfen?
Noch einen Virenbefall würden mir meine Nutzer nicht verzeihen. Alle Besucher die meine Webseite besuchten als der Trojaner zu Gast waren haben ihre Computer infiziert, sind so an die 200.

Vielen Dank für Eure Antwort
Logged

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: Ansicht der Gallery hat sich verändert (gehackt?)
« Reply #17 on: April 18, 2008, 08:53:03 am »

Interessant finde ich for allem das Coppermine im Wartungsmodus war und trotzdem wurde die Software angegriffen.
Der Wartungsmodus hat nur verhindert, dass legitime Benutzer etwas tun konnten. Die "vulnerability", die der Hack ausgenutzt hat schert sich einen Kehricht um den Wartungsmodus. Der Wartungsmodus schaltet letztendlich nur die Seiten des Frontend für den Benutzer ab, aber nicht das Backend.

Ich habe alle Daten von meinem Webspace (Server) gelöscht und nur erstmal Joomla und phpbb neu aufgesetzt. Dazu die Passwörter der Datenbank geändert. Die Frage ist, ob nicht der Trojaner noch irgendwo lauert?

Wie kann ich das überprüfen?
Noch einen Virenbefall würden mir meine Nutzer nicht verzeihen. Alle Besucher die meine Webseite besuchten als der Trojaner zu Gast waren haben ihre Computer infiziert, sind so an die 200.
Wie schon in der Anleitung beschrieben musst Du zwischen der Vulnerability (also der Angreifbarkeit) und dem Payload (also dem Code, die der Angreifer eingeschleust hat) unterscheiden. Das "Loch", das der Angreifer genutzt hat, um sich Zugang zu verschaffen sollte gestopft sein. Die Säuberung des Payload wird in der Anleitung beschrieben für Coppermine. Da der Payload auch anderswo lauern kann musst Du also alle Datein auf Deinem Webserver überprüfen (also auch Joomla, phpbb und Co.), was Du anscheinend getan hast.
Was Du noch tun kannst ist, Deinen Besucher einen sichereren Browser zu empfehlen.
Absolute Sicherheit gibt es leider nicht - weder Coppermine noch die anderen genannten Applikationen sind gegen zukünftige Attacken hundertprozentig gefeit. Die alte Weisheit "there is always one more bug" trifft mit Sicherheit zu. Relative Sicherheit erreichst Du durch das Up-to-date halten Deiner Applikationen und regelmäßige Backups.
Einen Zero-Day-Exploit wie den gerade erlebten kannst Du damit aber nicht verhindern - sorry. Es sollte auch Deinen Benutzern klar sein, dass das Internet ein gefährlicher Platz ist; auch beim Besuch von Seiten, denen sie vertrauen.
Logged
Pages: [1]   Go Up
 

Page created in 0.028 seconds with 19 queries.