Tag Archives: hack

Coppermine Gallery 1.4.17 – Urgent Security Release

Σε συνέχεια προηγούμενου post. Ανακοινώθηκε επείγον update για το Coppermine Gallery που διορθώνει το κενό ασφαλείας που εκμεταλλεύθηκαν για τη χτεσινή επίθεση. Από ότι καταλαβαίνω από τον κώδικα, έχει να κάνει με τον έλεγχο του τύπου αρχείου που γίνεται upload.

Σε περίπτωση που η σελίδα σας είναι χακαρισμένη, πρώτα διορθώστε όλα τα προβλήματα και μετά προχωρήστε στο update. Σε πρώτη φάση αυτό που έκανα εγώ είναι μια αναζήτηση (και διαγραφή!) σε όλα τα αρχεία του gallery για το string που είχε γίνει inject στο τέλος τους.

Από τα φόρουμ του Coppermine, συνιστάται:

Basic procedure (to give you a general idea what you’d need to do):

  • Make a full backup of all files and folders on your webspace
  • Replace all possibly infected files with fresh ones that are guaranteed to be clean (from a fresh package)
  • Scan the files and folders you downloaded for executable files: PHP, Perl files, bash scripts, whatever the user could have left (depending on the skills of the attacker) and delete all of them on your webspace (the tricky part being that you need to really find all backdoors)
  • Browse the database, coppermine’s user table. Search for admin accounts. Delete all that you don’t know. Change the password of your own admin account
  • Change all seurity-sensitive passwords (for FTP access, website control panel, mySQL) and reflect your changes in the apps you use (changed mySQL account!)
  • Tell your webhost about the attack. Ask them to see the server logs for the period where the attack has happened

HACKED! Coppermine Gallery to blame!

Και αναρωτιόμουν σήμερα γιατί δεν έβλεπα επισκέψεις… είχα όμως τόση δουλειά (που ευτυχώς από μια πλευρά) δεν άνοιξα να δω τι συνέβαινε στη σελίδα. Βράδυ που γύρισα σπίτι είδα ότι το wordpress δεν δούλευε καθόλου (το Google XML Sitemaps plugin έβγαζε πρόβλημα). Πρώτη μου κίνηση ήταν να απενεργοποιήσω το συγκεκριμένο plugin. Μετά όλα δούλεψαν αλλά παντού στις σελίδες μου έβγαιναν κάτι περίεργα κουτάκια, οπότε άρχισα να κοιτάω το source code και να ψάχνω στο γούγλη.

Δεν άργησα να βρώ αυτή τη σελίδα στα φόρουμ του Coppermine: Someone has Redirected my Site to cdpuvbhfzz.com-What do I do?. Και όντως μέσα στο φάκελο με τα άλμπουμ (albums/userpics/10001), υπήρχε το αρχείο 142739_298w3.jpg (σε μερικούς έχει κατάληξη .zip) που δεν ήταν εικόνα αλλά κώδικας php. Τώρα γιατί ένα jpg αρχείο θεωρείται εκτελέσιμο, μάλλον έχει να κάνει με τις ρυθμίσεις του server – δεν έχω ιδιαίτερες γνώσεις επί του θέματος οπότε αν ξέρει κανείς ενημερώστε… Τέσπα, αυτό το αρχειάκι είχε κάνει και όλη τη ζημιά. Μέχρι να βρεθεί λύση έχω απενεργοποιήσει το Coppermine πάντως για καλό και για κακό…

Ο κώδικας που έγινε insert στο τέλος κάθε php και html αρχείου είναι ο εξής:

<?php echo ‘http://cdpuvbhfzz.com/dl/adv598.php‘; ?>

Και πρόκειται για link στο (μην κάνετε κλικ εδώ! – πιθανώς επικίνδυνο αρχείο!!!!):

http://cdpuvbhfzz.com/dl/adv598.php

Σύμφωνα με κάποιους το αρχείο αυτό περιέχει αρκετά καμουφλαρισμένη javascript η οποία μπορεί να χρησιμοποιηθεί για να στείλει από popups μέχρι trojans και ιούς.

Μερικές σελίδες έχουν ήδη γίνει blacklisted από το google για αυτό το λόγο… Θα προσπαθήσω να το παρακολουθήσω το θέμα. Για την ώρα προτείνεται η απενεργοποίηση των URI uploads (άπο την επιλογή Groups του admin interface).

update: οκ, έκανα μερικές αλλαγές και ελπίζω να μην έχω πρόβλημα. Θα ξανανοίξω το coppermine και θα πάω για ύπνο…. το πρωί βλέπουμε αν έκανα καλά ή όχι.

update2: διαπίστωσα ότι μου είχαν αλλάξει αρκετές ρυθμίσεις στην gallery. Κυρίως οπτικές. Υπήρχε όμως και μια πιο πρακτική. Είχε αλλάξει η επιλογή Max width or height of an intermediate picture/video στην τιμή 1, με αποτέλεσμα αν προσπαθούσαν να προσθέσω μια εικόνα μου έβγαζε ότι “Unable to create thumbnail or reduced size image”. Την επανέφερα στην προκαθορισμένη τιμή (400) και όλα εντάξει…