Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • habt ihr mal gecheckt, ob irgendwo fremde Dateien rumliegen, die per Aufruf solche Änderungen vornehmen können? Meistens sind es irgendwelche Rootscripte, die auf den kompletten Server Zugriff haben.

  • helga


    lasse ich gerade überprüfen.....


    nochmal auf meine Frage mit dem Layout..... kann es sein, dass sich durch das Einspielen eines anderen Layouts eine Lücke auf tut?


    Gruß


    Arno

  • Was ich sagen kann, was unsere Etnwickler rausgefunden haben !


    Es ist durch eine Sicherheitslücke der Browser welcher auch immer über Woltlab rein gekommen !
    Das Java Script das diese Verursacher geschrieben haben ist aber leicht fehler habt und codiert !
    Theretisch sollte sich nach dem weiter routen auf die besagte .....cc.cx Domain ein Jaca Script ausführen !
    Auszulesen ist es nicht, da es in den phpßs verschlüsselt dargestellt wird .


    Zb So ( die Ziffern unten) x+ etc


    edit: script entfernt !

    Edited once, last by sonicat ().

  • Ich glaub ich hab keine Wahl ausser Neuinstallation, so wie es aussieht !
    Die ganzen Plugins dann erst wieder aje aje

  • so der Böse angreifer wurde identifiziert !
    Es sind IP Adressen aus den USA, woher auch sonst und die haben letzte Nacht die Daten geändert, wie ? FTP
    Wir konnten es verfolgen heute nach Mitternacht wurde mit via FTP die Daten runter geladen, verändert und wieder aufgeladen !


    Also Schritt 1 FTP Passwort ändern, wie auch immer die das geschafft haben !


    Schritt 2 will mein Forum wieder zum Henker nochmal *G*

  • Ich glaub ich hab keine Wahl ausser Neuinstallation, so wie es aussieht !
    Die ganzen Plugins dann erst wieder aje aje



    Das Problem ist aber mit einer NEuinstalation nicht erledigt.


    Ich habe das System schon vier mal neu aufgesetzt. Es kommt immer wieder! Irgendwo muß also eine Lücke sein, welche sich nicht durch eine NEuinstallation beheben lässt.


    Gruß


    Arno

  • Da geb ich recht soweit hab ich nicht gedacht, was sagen die Entwickler zu der Sache!
    Material sollten Sie ja nun genug haben !

  • ich gehe mal davon aus, dass man hier nicht über das WBB reingekommen ist, eher sowas wie Joomla und Co. da die für sowas bekannt sind, wenn man dort viele Addons von Drittanbietern drinne hat.

  • Aber warum erst jetzt !
    Uhrplötzlich heute nacht !
    das einzige was neu ist ist das AdminTool2 , leider komm ich ned rein und seh nicht von wem es ist weiss ich nicht mehr !
    Und um es zu entfernen sollte ich erstmal wieder rein kommen !

  • Habt ihr eine Serververwaltungssoftware? (PDadmin, Plesk, etc)
    Vielleicht ist die ja iwo unsicher.
    Ich hatte damals auf meinem Server Webmin laufen zum test. Natürlich fehler beim einrichten und bäm, Server kompromitiert.

  • Ja Plese. wird vom Hoster so angeboten, habe nwir bei allen 15 Domains !
    Mach mir jetzt keine angst bisher lief das gut !

  • ANdere Möglichkeit: das Admin-PW oder das FTP-PW wurde direkt auf dem PC des Admins ausgelesen.


    Oder man hat sich über einen Proxy verbunden und dabei wurde es ausgelesen, oder ...
    Es muss nicht immer am Server liegen.


    Wenn die erst mal Zugang haben, dann kann allerdings auch der ganze Server kompromittiert sein.
    Aber das kamm man ja alles in den entsprechenden internen Logdateien (sofern die noch vorhanden sind) nachvollziehen, wodurch der erste Zugriff erfolgt.


    Weiterhin ist es durchaus möglich, dass der ftpd eine bekannte Lücke hat und diese benutzt wurde, Es gibt so viele Möglichkeiten...

    Mit freundlichem Gruß
    Karsten
    Opera und Debian GNU/Linux ... was sonst?

    • Official Post

    Das sind nur die Exploits die im September gemeldet wurden:


    WordPress Mingle Forum plugin <= 1.0.31 SQL Injection Vulnerability
    WordPress CevherShare Plugin 2.0 SQL Injection
    WordPress AdRotate plugin <= 3.6.5 SQL Injection
    WordPress Link Library plugin <= 5.2.1 SQL Injection


    Multiple Wordpress timthumb.php reuse vulnerabilities
    ---
    Description
    ---
    The following Wordpress plugins reuse a vulnerable version of the timthumb.php library.

    By hosting a malicious GIF file with PHP code appended to the end on an attacker controlled
    domain such as blogger.com.evil.com and then providing it to the script through the
    src GET parameter, it is possible to upload a shell and execute arbitrary code on the webserver.



    Wordpress Mini Mail Dashboard Widget Plugin 1.36 Remote File Inclusion
    Wordpress Zingiri Web Shop Plugin 2.2.0 Remote File Inclusion
    Wordpress Mailing List Plugin 1.3.2 Remote File Inclusion
    Wordpress Disclosure Policy Plugin 1.0 Remote File Inclusion
    Wordpress Livesig Plugin 0.4 Remote File Inclusion
    Wordpress Annonces Plugin 1.2.0.0 Remote File Inclusion
    Wordpress WPEasyStats Plugin 1.8 Remote File Inclusion
    Wordpress AllWebMenus Plugin 1.1.3 Remote File Inclusion
    Wordpress TheCartPress Plugin 1.1.1 Remote File Inclusion
    WordPress Filedownload Plugin 0.1 (download.php) Remote File Disclosure Vulnerability
    WordPress Count per Day plugin <= 2.17 SQL Injection Vulnerability
    WordPress WP e-Commerce plugin <= 3.8.6 SQL Injection Vulnerability
    WordPress WP Forum Server plugin <= 1.7 SQL Injection Vulnerability
    WordPress Tune Library plugin <= 2.17 SQL Injection Vulnerability
    Wordpress Event Registration plugin <= 5.44 SQL Injection Vulnerability
    WordPress A to Z Category Listing plugin <= 1.3 SQL Injection Vulnerability
    WordPress WP-Filebase Download Manager plugin <= 0.2.9 SQL Injection Vulnerability
    Wordpress 1 Flash Gallery Plugin Arbiraty File Upload Exploit (MSF)
    WordPress Community Events plugin <= 1.2.1 SQL Injection Vulnerability
    WordPress Paid Downloads plugin <= 2.01 SQL Injection Vulnerability
    WordPress Eventify - Simple Events plugin <= 1.7.f SQL Injection Vulnerability
    WordPress SCORM Cloud plugin <= 1.0.6.6 SQL Injection Vulnerability
    WordPress KNR Author List Widget plugin <= 2.0.0 SQL Injection Vulnerability
    WordPress post highlights plugin <= 2.2 SQL Injection Vulnerability
    WordPress Tweet Old Post plugin <= 3.2.5 SQL Injection Vulnerability
    WordPress oQey Gallery plugin <= 0.4.8 SQL Injection Vulnerability
    WordPress Zotpress plugin <= 4.4 SQL Injection Vulnerability
    WordPress Facebook Opengraph Meta Plugin plugin <= 1.0 SQL Injection Vulnerability
    WordPress VideoWhisper Video Presentation plugin <= 1.1 SQL Injection Vulnerability
    WordPress SearchAutocomplete plugin <= 1.0.8 SQL Injection Vulnerability
    WordPress WP Bannerize plugin <= 2.8.6 SQL Injection
    WordPress Donation plugin <= 1.0 SQL Injection


    Ausm August gibts auch welche für Joomla. Wenn auf dem Server proFTP verwendet wird, dann würde ich das auch mal auf Sicherheitslücken prüfen, das hat auch gerne mal welche.

  • Hallo Helga,


    ich gehe mal davon aus, dass man hier nicht über das WBB reingekommen ist, eher sowas wie Joomla und Co. da die für sowas bekannt sind, wenn man dort viele Addons von Drittanbietern drinne hat.



    Ach wie gut, dass ich kein Freund von Joomla bin. Joomla fällt also bei mir schon einmal weg. Als nächstes hätte ich noch zwei Gambio Shops auf dem Server. Einer befallen einer nicht. Weiterhin habe ich Wordpress instalationen auf dem Server liegen...... (teils / teils)


    Was mich ein wenig stutzig macht, ist das Auffinden der Datei thumbs.db im Foren Ordner. Diese Datei gehört nicht zum Forum und wurde auch in keinem anderen Ordner gefunden.


    Es geht hier nicht darum zu behaupten, dass der Fehler beim WBB liegt oder dass dies unsicher sei. Es werden immer neue Lücken entstehen, da immer irgendwer einen Weg hinein sucht.
    Es geht hier auch nicht darum den Entwicklern einen Vorwurf zu machen. Ich halte die Software nach wie vor für die beste Forensoftware die derzeitig auf dem Markt ist.


    Es geht hier lediglich darum herauszufinden, wie die Maleware auf den Server gelangt. Ich denke mal, dass dies im Interesse aller sein dürfte. Das Thema gab es ja auch nicht zum erstenmal. Oder?


    Durch irgendeine Lücke, ist es ja gekrochen und diese gilt es zu schließen. Bis ich nicht weis durch welche Lücke, schließe ich keine Software aus.


    Gruß


    Arno