habt ihr mal gecheckt, ob irgendwo fremde Dateien rumliegen, die per Aufruf solche Änderungen vornehmen können? Meistens sind es irgendwelche Rootscripte, die auf den kompletten Server Zugriff haben.
Zum vierten mal .....Forum infiziert! (eval(base64_decode....)
-
-
lasse ich gerade überprüfen.....
nochmal auf meine Frage mit dem Layout..... kann es sein, dass sich durch das Einspielen eines anderen Layouts eine Lücke auf tut?
Gruß
Arno
-
Was ich sagen kann, was unsere Etnwickler rausgefunden haben !
Es ist durch eine Sicherheitslücke der Browser welcher auch immer über Woltlab rein gekommen !
Das Java Script das diese Verursacher geschrieben haben ist aber leicht fehler habt und codiert !
Theretisch sollte sich nach dem weiter routen auf die besagte .....cc.cx Domain ein Jaca Script ausführen !
Auszulesen ist es nicht, da es in den phpßs verschlüsselt dargestellt wird .Zb So ( die Ziffern unten) x+ etc
edit: script entfernt !
-
beim Layout normal nicht, da du da eigentlich nur CSS-Dateien reinladest. Aber du kannst das Paket ja mal seperat überprüfen.
-
Ich glaub ich hab keine Wahl ausser Neuinstallation, so wie es aussieht !
Die ganzen Plugins dann erst wieder aje aje -
so der Böse angreifer wurde identifiziert !
Es sind IP Adressen aus den USA, woher auch sonst und die haben letzte Nacht die Daten geändert, wie ? FTP
Wir konnten es verfolgen heute nach Mitternacht wurde mit via FTP die Daten runter geladen, verändert und wieder aufgeladen !Also Schritt 1 FTP Passwort ändern, wie auch immer die das geschafft haben !
Schritt 2 will mein Forum wieder zum Henker nochmal *G*
-
Ich glaub ich hab keine Wahl ausser Neuinstallation, so wie es aussieht !
Die ganzen Plugins dann erst wieder aje ajeDas Problem ist aber mit einer NEuinstalation nicht erledigt.
Ich habe das System schon vier mal neu aufgesetzt. Es kommt immer wieder! Irgendwo muß also eine Lücke sein, welche sich nicht durch eine NEuinstallation beheben lässt.
Gruß
Arno
-
Da geb ich recht soweit hab ich nicht gedacht, was sagen die Entwickler zu der Sache!
Material sollten Sie ja nun genug haben ! -
Wenn es über FTP passiert ist kann WoltLab dazu nichts sagen.
-
Na klar, das FTP PAsswort muss ja irgendwo aus gelesen worden sein !
Und diese Lücke gilt es zu schliessen ! -
Hast du das FTP-Passwort im Forum gespeichert? Ich nicht und im Normalfall ist das auch nicht notwendig
-
ich gehe mal davon aus, dass man hier nicht über das WBB reingekommen ist, eher sowas wie Joomla und Co. da die für sowas bekannt sind, wenn man dort viele Addons von Drittanbietern drinne hat.
-
Aber warum erst jetzt !
Uhrplötzlich heute nacht !
das einzige was neu ist ist das AdminTool2 , leider komm ich ned rein und seh nicht von wem es ist weiss ich nicht mehr !
Und um es zu entfernen sollte ich erstmal wieder rein kommen ! -
Habt ihr eine Serververwaltungssoftware? (PDadmin, Plesk, etc)
Vielleicht ist die ja iwo unsicher.
Ich hatte damals auf meinem Server Webmin laufen zum test. Natürlich fehler beim einrichten und bäm, Server kompromitiert. -
Ja Plese. wird vom Hoster so angeboten, habe nwir bei allen 15 Domains !
Mach mir jetzt keine angst bisher lief das gut ! -
ANdere Möglichkeit: das Admin-PW oder das FTP-PW wurde direkt auf dem PC des Admins ausgelesen.
Oder man hat sich über einen Proxy verbunden und dabei wurde es ausgelesen, oder ...
Es muss nicht immer am Server liegen.Wenn die erst mal Zugang haben, dann kann allerdings auch der ganze Server kompromittiert sein.
Aber das kamm man ja alles in den entsprechenden internen Logdateien (sofern die noch vorhanden sind) nachvollziehen, wodurch der erste Zugriff erfolgt.Weiterhin ist es durchaus möglich, dass der ftpd eine bekannte Lücke hat und diese benutzt wurde, Es gibt so viele Möglichkeiten...
-
Unterm Strich hätt ich einfach gern mein Forum wieder !
Meine User spinnen schon rum "! -
- Offizieller Beitrag
Das sind nur die Exploits die im September gemeldet wurden:
WordPress Mingle Forum plugin <= 1.0.31 SQL Injection Vulnerability
WordPress CevherShare Plugin 2.0 SQL Injection
WordPress AdRotate plugin <= 3.6.5 SQL Injection
WordPress Link Library plugin <= 5.2.1 SQL InjectionMultiple Wordpress timthumb.php reuse vulnerabilities
---
Description
---
The following Wordpress plugins reuse a vulnerable version of the timthumb.php library.
By hosting a malicious GIF file with PHP code appended to the end on an attacker controlled
domain such as blogger.com.evil.com and then providing it to the script through the
src GET parameter, it is possible to upload a shell and execute arbitrary code on the webserver.Wordpress Mini Mail Dashboard Widget Plugin 1.36 Remote File Inclusion
Wordpress Zingiri Web Shop Plugin 2.2.0 Remote File Inclusion
Wordpress Mailing List Plugin 1.3.2 Remote File Inclusion
Wordpress Disclosure Policy Plugin 1.0 Remote File Inclusion
Wordpress Livesig Plugin 0.4 Remote File Inclusion
Wordpress Annonces Plugin 1.2.0.0 Remote File Inclusion
Wordpress WPEasyStats Plugin 1.8 Remote File Inclusion
Wordpress AllWebMenus Plugin 1.1.3 Remote File Inclusion
Wordpress TheCartPress Plugin 1.1.1 Remote File Inclusion
WordPress Filedownload Plugin 0.1 (download.php) Remote File Disclosure Vulnerability
WordPress Count per Day plugin <= 2.17 SQL Injection Vulnerability
WordPress WP e-Commerce plugin <= 3.8.6 SQL Injection Vulnerability
WordPress WP Forum Server plugin <= 1.7 SQL Injection Vulnerability
WordPress Tune Library plugin <= 2.17 SQL Injection Vulnerability
Wordpress Event Registration plugin <= 5.44 SQL Injection Vulnerability
WordPress A to Z Category Listing plugin <= 1.3 SQL Injection Vulnerability
WordPress WP-Filebase Download Manager plugin <= 0.2.9 SQL Injection Vulnerability
Wordpress 1 Flash Gallery Plugin Arbiraty File Upload Exploit (MSF)
WordPress Community Events plugin <= 1.2.1 SQL Injection Vulnerability
WordPress Paid Downloads plugin <= 2.01 SQL Injection Vulnerability
WordPress Eventify - Simple Events plugin <= 1.7.f SQL Injection Vulnerability
WordPress SCORM Cloud plugin <= 1.0.6.6 SQL Injection Vulnerability
WordPress KNR Author List Widget plugin <= 2.0.0 SQL Injection Vulnerability
WordPress post highlights plugin <= 2.2 SQL Injection Vulnerability
WordPress Tweet Old Post plugin <= 3.2.5 SQL Injection Vulnerability
WordPress oQey Gallery plugin <= 0.4.8 SQL Injection Vulnerability
WordPress Zotpress plugin <= 4.4 SQL Injection Vulnerability
WordPress Facebook Opengraph Meta Plugin plugin <= 1.0 SQL Injection Vulnerability
WordPress VideoWhisper Video Presentation plugin <= 1.1 SQL Injection Vulnerability
WordPress SearchAutocomplete plugin <= 1.0.8 SQL Injection Vulnerability
WordPress WP Bannerize plugin <= 2.8.6 SQL Injection
WordPress Donation plugin <= 1.0 SQL InjectionAusm August gibts auch welche für Joomla. Wenn auf dem Server proFTP verwendet wird, dann würde ich das auch mal auf Sicherheitslücken prüfen, das hat auch gerne mal welche.
-
Das ist alles toll !
Aber löst irgendwie unser Problem nicht !elektro was machst du jetzt ?
-
Hallo Helga,
ich gehe mal davon aus, dass man hier nicht über das WBB reingekommen ist, eher sowas wie Joomla und Co. da die für sowas bekannt sind, wenn man dort viele Addons von Drittanbietern drinne hat.
Ach wie gut, dass ich kein Freund von Joomla bin. Joomla fällt also bei mir schon einmal weg. Als nächstes hätte ich noch zwei Gambio Shops auf dem Server. Einer befallen einer nicht. Weiterhin habe ich Wordpress instalationen auf dem Server liegen...... (teils / teils)
Was mich ein wenig stutzig macht, ist das Auffinden der Datei thumbs.db im Foren Ordner. Diese Datei gehört nicht zum Forum und wurde auch in keinem anderen Ordner gefunden.
Es geht hier nicht darum zu behaupten, dass der Fehler beim WBB liegt oder dass dies unsicher sei. Es werden immer neue Lücken entstehen, da immer irgendwer einen Weg hinein sucht.
Es geht hier auch nicht darum den Entwicklern einen Vorwurf zu machen. Ich halte die Software nach wie vor für die beste Forensoftware die derzeitig auf dem Markt ist.Es geht hier lediglich darum herauszufinden, wie die Maleware auf den Server gelangt. Ich denke mal, dass dies im Interesse aller sein dürfte. Das Thema gab es ja auch nicht zum erstenmal. Oder?
Durch irgendeine Lücke, ist es ja gekrochen und diese gilt es zu schließen. Bis ich nicht weis durch welche Lücke, schließe ich keine Software aus.
Gruß
Arno
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!