Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Was ich sagen kann, was unsere Etnwickler rausgefunden haben !

    Es ist durch eine Sicherheitslücke der Browser welcher auch immer über Woltlab rein gekommen !
    Das Java Script das diese Verursacher geschrieben haben ist aber leicht fehler habt und codiert !
    Theretisch sollte sich nach dem weiter routen auf die besagte .....cc.cx Domain ein Jaca Script ausführen !
    Auszulesen ist es nicht, da es in den phpßs verschlüsselt dargestellt wird .

    Zb So ( die Ziffern unten) x+ etc

    edit: script entfernt !

    Einmal editiert, zuletzt von sonicat (28. September 2011 um 20:42)

  • so der Böse angreifer wurde identifiziert !
    Es sind IP Adressen aus den USA, woher auch sonst und die haben letzte Nacht die Daten geändert, wie ? FTP
    Wir konnten es verfolgen heute nach Mitternacht wurde mit via FTP die Daten runter geladen, verändert und wieder aufgeladen !

    Also Schritt 1 FTP Passwort ändern, wie auch immer die das geschafft haben !

    Schritt 2 will mein Forum wieder zum Henker nochmal *G*

  • Ich glaub ich hab keine Wahl ausser Neuinstallation, so wie es aussieht !
    Die ganzen Plugins dann erst wieder aje aje


    Das Problem ist aber mit einer NEuinstalation nicht erledigt.

    Ich habe das System schon vier mal neu aufgesetzt. Es kommt immer wieder! Irgendwo muß also eine Lücke sein, welche sich nicht durch eine NEuinstallation beheben lässt.

    Gruß

    Arno

  • Aber warum erst jetzt !
    Uhrplötzlich heute nacht !
    das einzige was neu ist ist das AdminTool2 , leider komm ich ned rein und seh nicht von wem es ist weiss ich nicht mehr !
    Und um es zu entfernen sollte ich erstmal wieder rein kommen !

  • ANdere Möglichkeit: das Admin-PW oder das FTP-PW wurde direkt auf dem PC des Admins ausgelesen.

    Oder man hat sich über einen Proxy verbunden und dabei wurde es ausgelesen, oder ...
    Es muss nicht immer am Server liegen.

    Wenn die erst mal Zugang haben, dann kann allerdings auch der ganze Server kompromittiert sein.
    Aber das kamm man ja alles in den entsprechenden internen Logdateien (sofern die noch vorhanden sind) nachvollziehen, wodurch der erste Zugriff erfolgt.

    Weiterhin ist es durchaus möglich, dass der ftpd eine bekannte Lücke hat und diese benutzt wurde, Es gibt so viele Möglichkeiten...

    Mit freundlichem Gruß
    Karsten
     Opera und Debian GNU/Linux ... was sonst?

    • Offizieller Beitrag

    Das sind nur die Exploits die im September gemeldet wurden:

    WordPress Mingle Forum plugin <= 1.0.31 SQL Injection Vulnerability
    WordPress CevherShare Plugin 2.0 SQL Injection
    WordPress AdRotate plugin <= 3.6.5 SQL Injection
    WordPress Link Library plugin <= 5.2.1 SQL Injection

    Multiple Wordpress timthumb.php reuse vulnerabilities
    ---
    Description
    ---
    The following Wordpress plugins reuse a vulnerable version of the timthumb.php library.

    By hosting a malicious GIF file with PHP code appended to the end on an attacker controlled
    domain such as blogger.com.evil.com and then providing it to the script through the
    src GET parameter, it is possible to upload a shell and execute arbitrary code on the webserver.


    Wordpress Mini Mail Dashboard Widget Plugin 1.36 Remote File Inclusion
    Wordpress Zingiri Web Shop Plugin 2.2.0 Remote File Inclusion
    Wordpress Mailing List Plugin 1.3.2 Remote File Inclusion
    Wordpress Disclosure Policy Plugin 1.0 Remote File Inclusion
    Wordpress Livesig Plugin 0.4 Remote File Inclusion
    Wordpress Annonces Plugin 1.2.0.0 Remote File Inclusion
    Wordpress WPEasyStats Plugin 1.8 Remote File Inclusion
    Wordpress AllWebMenus Plugin 1.1.3 Remote File Inclusion
    Wordpress TheCartPress Plugin 1.1.1 Remote File Inclusion
    WordPress Filedownload Plugin 0.1 (download.php) Remote File Disclosure Vulnerability
    WordPress Count per Day plugin <= 2.17 SQL Injection Vulnerability
    WordPress WP e-Commerce plugin <= 3.8.6 SQL Injection Vulnerability
    WordPress WP Forum Server plugin <= 1.7 SQL Injection Vulnerability
    WordPress Tune Library plugin <= 2.17 SQL Injection Vulnerability
    Wordpress Event Registration plugin <= 5.44 SQL Injection Vulnerability
    WordPress A to Z Category Listing plugin <= 1.3 SQL Injection Vulnerability
    WordPress WP-Filebase Download Manager plugin <= 0.2.9 SQL Injection Vulnerability
    Wordpress 1 Flash Gallery Plugin Arbiraty File Upload Exploit (MSF)
    WordPress Community Events plugin <= 1.2.1 SQL Injection Vulnerability
    WordPress Paid Downloads plugin <= 2.01 SQL Injection Vulnerability
    WordPress Eventify - Simple Events plugin <= 1.7.f SQL Injection Vulnerability
    WordPress SCORM Cloud plugin <= 1.0.6.6 SQL Injection Vulnerability
    WordPress KNR Author List Widget plugin <= 2.0.0 SQL Injection Vulnerability
    WordPress post highlights plugin <= 2.2 SQL Injection Vulnerability
    WordPress Tweet Old Post plugin <= 3.2.5 SQL Injection Vulnerability
    WordPress oQey Gallery plugin <= 0.4.8 SQL Injection Vulnerability
    WordPress Zotpress plugin <= 4.4 SQL Injection Vulnerability
    WordPress Facebook Opengraph Meta Plugin plugin <= 1.0 SQL Injection Vulnerability
    WordPress VideoWhisper Video Presentation plugin <= 1.1 SQL Injection Vulnerability
    WordPress SearchAutocomplete plugin <= 1.0.8 SQL Injection Vulnerability
    WordPress WP Bannerize plugin <= 2.8.6 SQL Injection
    WordPress Donation plugin <= 1.0 SQL Injection

    Ausm August gibts auch welche für Joomla. Wenn auf dem Server proFTP verwendet wird, dann würde ich das auch mal auf Sicherheitslücken prüfen, das hat auch gerne mal welche.

  • Hallo Helga,

    ich gehe mal davon aus, dass man hier nicht über das WBB reingekommen ist, eher sowas wie Joomla und Co. da die für sowas bekannt sind, wenn man dort viele Addons von Drittanbietern drinne hat.


    Ach wie gut, dass ich kein Freund von Joomla bin. Joomla fällt also bei mir schon einmal weg. Als nächstes hätte ich noch zwei Gambio Shops auf dem Server. Einer befallen einer nicht. Weiterhin habe ich Wordpress instalationen auf dem Server liegen...... (teils / teils)

    Was mich ein wenig stutzig macht, ist das Auffinden der Datei thumbs.db im Foren Ordner. Diese Datei gehört nicht zum Forum und wurde auch in keinem anderen Ordner gefunden.

    Es geht hier nicht darum zu behaupten, dass der Fehler beim WBB liegt oder dass dies unsicher sei. Es werden immer neue Lücken entstehen, da immer irgendwer einen Weg hinein sucht.
    Es geht hier auch nicht darum den Entwicklern einen Vorwurf zu machen. Ich halte die Software nach wie vor für die beste Forensoftware die derzeitig auf dem Markt ist.

    Es geht hier lediglich darum herauszufinden, wie die Maleware auf den Server gelangt. Ich denke mal, dass dies im Interesse aller sein dürfte. Das Thema gab es ja auch nicht zum erstenmal. Oder?

    Durch irgendeine Lücke, ist es ja gekrochen und diese gilt es zu schließen. Bis ich nicht weis durch welche Lücke, schließe ich keine Software aus.

    Gruß

    Arno

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!