Trojaner durch KS_Advertiser

Mehr
30 Jul 2012 19:53 #4988

Geht jetzt bei uns auch nicht mehr. Wir haben leider nur einen gemieteten Server, deshalb mussten wir einige Änderungen an der .htaccess erst selbst durchführen.

Heute hat's wieder ein Chinese versucht. Ist leider fehlgeschlagen. Siehe hier


Ob ein Glas halb voll oder halb leer ist, ist mir egal. Hauptsache meine Zähne passen rein.
No matter whether a glass is half full or half empty - as long as my teeth fit in.
Letzte Änderung: 30 Jul 2012 19:55 von DocChicago.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
29 Jul 2012 17:48 #4987

Wieso kann man bei euch auf dem Server als GIFs/JPGs getarnte PHP-Dateien ausführen? Selbst auf meinem XAMPP schaffe ich das nur, wenn ich

AddHandler fcgid-script .php .jpg
FcgidWrapper /usr/lib/cgi-bin/php5 .php
FcgidWrapper /usr/lib/cgi-bin/php5 .jpg

zur .htaccess hinzufüge.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
13 Jul 2012 11:43 #4977

Ja, die Dateien im Ordner /images/ksadvertiser/U264 konnte ich finden. Ich hab eine komplette Rücksicherung der HP + DB vom Vortag eingespielt und damit alle Spuren beseitigt.

Welche Rechte muss ich wo setzen, so dass nur registrierte Benutzer Bilder hochladen können?

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
13 Jul 2012 11:27 #4976

Wir haben den Schadcode auch bereits auf einer unserer Seiten gehabt, es scheint momentan wieder eine massive Angriffswelle zu laufen.

Der Code wurde in einer Bilddatei vom Typ .gif versteckt. Da der Bildhochlader von KISS Advertiser nur die Dateiendungen überprüfen kann, nicht aber die Datei scannt, kann man sich davor nur schützen, in dem man die Rechte so setzt, dass z.B. nur registrierte Benutzer Bilder hochladen dürfen.

Der Trojaner legt übrigens im Verzeichnis /includes meistens eine Datei 404.php an und im Bildverzeichnis des Benutzers (in diesem Fall /images/ksadvertiser/U264 weitere zwei Dateien und einen Symlink. Der Trojaner versucht damit, FTP-Daten auszuspähen. Es ist unbedingt empfehlenswert, die Dateien zu löschen.

Wir versuchen, für dieses Problem eine Lösung zu finden. In der Version 1.5.71 ist dieses Problem aber noch nicht berücksichtigt.


Ob ein Glas halb voll oder halb leer ist, ist mir egal. Hauptsache meine Zähne passen rein.
No matter whether a glass is half full or half empty - as long as my teeth fit in.
Folgende Benutzer bedankten sich: Condor

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
13 Jul 2012 10:24 #4974

Hallo Kiss Team,

meine Joomla-Seite wurde gestern über den Upload-Bereich vom Kiss-Kleinanzeigenmarkt gehackt und mit einem Trojaner (PHP/BackDoor.R57Shell) versehen, durch den die Seite nicht mehr zu erreichen war.

Ich muss gestehen, ich habe etwas mit dem Kiss-Update "geschlampt" und verwende noch die Version 1.5.63 Pro. Ich habe den Markt jetzt erstmal deaktiviert und das com_ksadvertiser-Verzeichnis umbenannt, um weiteren Zugriff zu unterbinden. Kann ich davon ausgehen, dass wenn ich jetzt den Markt auf die aktuelle 1.5.71 Pro-Version installiere, dass damit die Sicherheitslücke geschlossen wird?

Hier noch die Auswertungsmail von meinem Provider zu dem Angriff:

Hallo Herr ...,

der Hack geschah durch die IP 46.143.204.41. Die ersten Schadaufrufe wären folgende:

www.***.de***46.143.204.41 - - [12/Jul/2012:13:07:34 +0200] "POST /1cms/components/com_ksadvertiser/imgselector.php?fieldname=ad_image&formname=adminForm&imgelement=adimg&imagedir=images/ksadvertiser/U264&size=450&ugroup=18&livesite=http://www.***.de/1cms/&abspath=/www/htdocs/***/1cms HTTP/1.1" 200 1898 "http://www.***.de/1cms/components/com_ksadvertiser/imgselector.php?fieldname=ad_image&formname=adminForm&imgelement=adimg&imagedir=images/ksadvertiser/U264&size=450&ugroup=18&livesite=http://www.***.de/1cms/&abspath=/www/htdocs/***/1cms" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:13.0) Gecko/20120605 Firefox/13.0"

www.***.de***46.143.204.41 - - [12/Jul/2012:13:07:49 +0200] "GET /1cms/images/ksadvertiser/U264/shell.php.gif HTTP/1.1" 200 1265 "http://www.***.de/1cms/components/com_ksadvertiser/imgselector.php?fieldname=ad_image&formname=adminForm&imgelement=adimg&imagedir=images/ksadvertiser/U264&size=450&ugroup=18&livesite=http://www.***.de/1cms/&abspath=/www/htdocs/***/1cms" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:13.0) Gecko/20120605 Firefox/13.0"

Es geschah also durch eine Lücke in der Komponente com_ksadvertiser. Diese sollten Sie deaktivieren oder wenn möglich aktualisieren.

Bei weiteren Fragen stehen wir Ihnen gern zur Verfügung.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Powered by Kunena Forum
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Des Weiteren benutzen wir Google Analytics und Google Fonts, um das Nutzererlebnis auf dieser Seite zu verbessern. Hierbei wird möglicherweise Ihre IP-Adresse an Google-Server in den USA übermittelt. Wenn Sie auf 'Akzeptieren' klicken, erklären Sie sich damit einverstanden. Wenn Sie dies nicht wünschen, klicken Sie auf 'Ablehnen'.