Server durch uploadscript gehackt

Please report bugs here!

Moderator: Thorsten

Post Reply
klausing
Posts: 89
Joined: Fri Oct 14, 2005 11:46 am

Server durch uploadscript gehackt

Post by klausing »

hi,
ich wollte Euch nur wissen lassen, dass mein Server durch ein Uploadscript gehackt wurde. Hier mal die Info von meinem Hoster:
Offensichtlich wurde ein PHP-Shell Script Namens r57 durch die Attachement Funktion Ihres FAQ System auf Ihren Webspace geschleust. Durch dieses konnten dann weitere Dateien eingeschleust werden.
Daher befinden sich im Verzeichnis /html/phpmyfaq/attachments noch weitere bösartige Dateien.
Gesteuert wurden die hochgeladenen Dateien dann von folgender Adresse aus:
*ttp//://secretagent.by.ru
Vielleicht blockiert ihr diesen Server bei Euch um auf Nummer sicher zu gehen.

Diese Dateien wurden dann genutzt um DoS Attacken auf andere Server innerhalb des ServerCenters durchzuführen. Dies wiederum führte dazu, dass das komplette ServerCenter für 30min nicht am Netz war.


Ich weiß zwar, dass ich eine 1.6er Version benutzt habe aber nun nicht welche. In welchen Dateien kann ich (vielleicht als Kommentar) die eingesetzte Version der FAQ finden?

Werden innerhalb der FAQ die Dateizugriffe protokolliert, damit ich die problematische Datei weiter eingrenzen kann? Im Augenblick weiß ich nicht wie sie Scripte über die FAQ uploaden konnten.

Welche Dateien werden bei uploads aufgerufen? Dann würde ich da mal nach Zugriffen suchen.

Kann ich irgendwo die Zugriffe auf uploads nachvollziehen um zu sehen ob es eine Attacke mittels eines ausgespähten Passworts oder ob es ein Hack der Uploadfunktion war?

Die Ergebnisse würde ich Euch dann zur Verfügung stellen damit ihr solche Probleme vermeiden könnt.
Wenn ich etwas neues erfahre, lass ich es euch wissen.

Sorry, that I don't write in english, but at the moment my brain is burning :evil: .
Thorsten
Posts: 15560
Joined: Tue Sep 25, 2001 11:14 am
Location: #phpmyfaq
Contact:

Post by Thorsten »

Hallo,

das war bei allen Versionen vor 1.6.10 leider möglich. Die Version steht in in der inc/config.php oder auch in der docs/README.txt.

bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
klausing
Posts: 89
Joined: Fri Oct 14, 2005 11:46 am

Post by klausing »

Danke für die Antwort.
Es handelte sich wirklich um die 1.6.9
Alle die auf der 10er Version sind sind daher auf der sicheren Seite.
In der Zwischenzeit habe ich die Option register_globals auf Off stellen lassen.

Wenn ich die FAQ mit dieser neuen PHP-Einstellung neu aufsetze, gibt es dann irgendwelche Dinge welche ich berücksichtigen muss ?
Ich hatte mir das so vorgestellt, wie in der Anleitung steht nur die Dateien
* data.php und config.php im Ordner inc/
* alle Dateien im Ordner template/
aus der alten Konfiguration zu benutzen und ansonsten alles andere aus dem neuen Download. Oder wäre es sicherer auch den Ordner template mit zu ersetzen?
Die alte Datenbank wollte ich natürlich behalten.

Gibt es einen Newsletter wo man sich über neue Versionen informieren lassen kann um keine zu verpassen , vor allem wenn es security updates sind? Ich habe da nix gefunden.

Danke schon mal im vorraus für Deine Hilfe. Ich glaub, da ist nun wohl zum zweiten mal was aus Deiner Wunschliste fällig ;)
Thorsten
Posts: 15560
Joined: Tue Sep 25, 2001 11:14 am
Location: #phpmyfaq
Contact:

Post by Thorsten »

Hi,

etwas beachten musst du bei register_globals = off nix, das supported phpMyFAQ seit 2002. ;-)
klausing wrote:Gibt es einen Newsletter wo man sich über neue Versionen informieren lassen kann um keine zu verpassen , vor allem wenn es security updates sind? Ich habe da nix gefunden.
ja, entweder per RSS Feed in unserem Blog oder du meldest dich bei Freshmeat, da announcen wir auch alle Releases.

bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
Post Reply