Fork me on GitHub
"XOOPS ist ein dynamisches OO (Objekt Orientiertes) open source Portal Script geschrieben in PHP. XOOPS ist ein ideales CMS (Content Management System) für den Aufbau von kleineren und grösseren Communities, Firmen-, Intra- und Internet-Portale, Web-Logs und vieles mehr."
forum
Bitte schaut in die DOKUMENTATION oder benutzt die SUCHFUNKTION bevor Ihr Eure Fragen im Forum stellt. Viele Fragen wurden bereits gestellt.

Leser in diesem Thema:   1 Anonyme(r)




3 Xoops Auftritte gehackt
#1
Benutzerinformationen
Hallo, mir wurden letzte Woche 3 von 4 Xoops-CMS auf dem selben Webserver gehackt. Der vierte Auftritt, der nicht gehackt wurde liegt in einem Unterverzeichnis, also nicht direkt im WWW-Root...
Die gehackten Daten lagen alle im /cache Ordner. Keine Ahnung über welches Modul die/der Hacker reinkam. Alle drei Versionen waren auf aktuellem Stand inkl. aller Module in den aktuellsten Versionen.

http://turk-h.org/defacement/list/filter/attacker/turkhackteam/1
(betrifft t-h-o-r.de, wendelsteinrundfahrt.de und ski-club-au.de)

I.M. überlege ich, ob ich nicht alle Systeme auf Typo3 umbauen soll, da ist mir bis jetzt noch nichts passiert....

Ciao,
Huaba

Geschrieben: 13.01.2008
_________________
.:This is UNIX-Land, in quiet nights you can hear only not-unix-machines reboot:.
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#2
Benutzerinformationen
Nachtrag: kamen anscheinend über die Xoops-Gallery! Die Tools waren:
HackTool.Linux.ProcHider.a
Backdoor.PHP.C99Shell.k
Backdoor.PHP.Rst.k
PHP/C99Shell.A
Exploit.Linux.Small.f
Backdoor.Linux.Iroffer.14b02

Die Dateien befanden sich in den Verzeichnissen:
/cache
/template
/upload
/modules/xoopsgallery/XXXXX << in allen cache-Verzeichnissen

U.a. waren/wurden folgende Dateien hinzugefügt/geändert:
.htaccess
class3.php
lang.php
poll.php
proc
xh
usw....

Geschrieben: 13.01.2008
_________________
.:This is UNIX-Land, in quiet nights you can hear only not-unix-machines reboot:.
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#3
Benutzerinformationen
Das ist korrekt. Es lag an diesem Modul. Du solltest öfter mal im XOOPS-magazine lesen dort schreibe ich öfter sollche wichtigen Ding rein. Übrigens findest Du in dem dortigen Kommentar auch die Lösung.

Grüßle, René

Geschrieben: 13.01.2008
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#4
Benutzerinformationen
Ah, da werd ich mal nachlesen.

Mir ist aber gerade aufgefallen, das in einem der drei Xoops-Systeme gar keine xoopsgallery installiert war, sondern die xcgal...
Da werd ich nochmals drüberschauen müssen.

Ciao,
Huaba

Geschrieben: 13.01.2008
_________________
.:This is UNIX-Land, in quiet nights you can hear only not-unix-machines reboot:.
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#5
Benutzerinformationen
[EDIT]Da war ich wohl zu langsam[/EDIT]

Geschrieben: 13.01.2008
_________________
if(ahnung == 0) {use SEARCH; use BRAIN; use GOOGLE; } else {make post;}
Wie man Fragen richtig stellt
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#6
Benutzerinformationen
Beliebt sind auch Angriffe auf den veralteten SPAW Editor. Durchforste mal Deine Module und im Root ggfs im Verzeichnis "Common" (falls vorhanden) und im Verzeichnis "class" mit allen seinen Unterordnern.

Geschrieben: 13.01.2008
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#7
Benutzerinformationen
Ich hab mir das gerade durchgelesen. Als das geschrieben wurde, war der Server schon gehackt.
Im übrigen konnte der Hacker durch dieses Leck auch Rechte über das System erhalten.

Um nicht nochmals durch dieses Leck angegriffen zu werden die Xoopsgallery 2.1 rc4 installieren? Wobei die aber noch nicht wirklich in Xoops implementiert ist, oder?
Vielleicht doch XCgal installieren.

Danke für die Hilfe.

Huaba

Geschrieben: 14.01.2008
_________________
.:This is UNIX-Land, in quiet nights you can hear only not-unix-machines reboot:.
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#8
Benutzerinformationen
Wenn Du mich persönlich fragst, würde ich das XCgal nutzen. Jedoch würde ich Dir bei diesem Modul empfehlen die Templates anzupassen und schöner zu machen.

Geschrieben: 14.01.2008
Erstelle PDF des Beitrags Drucke

Re: 3 Xoops Auftritte gehackt
#9
Benutzerinformationen
Zitat:

Mir ist aber gerade aufgefallen, das in einem der drei Xoops-Systeme gar keine xoopsgallery installiert war, sondern die xcgal...
Da werd ich nochmals drüberschauen müssen.

Ciao,
Huaba


Wäre nett, wenn Du uns auf dem laufenden hältst, xcGal nutze ich fast in jeder Installation, bisher ohne Probleme.

MfG

Geschrieben: 26.02.2008
Erstelle PDF des Beitrags Drucke







[Erweiterte Suche]


Fehler
Warnung: syntax error, unexpected END_OF_LINE, expecting '=' in /var/www/clients/client1/web3/security/myxoops/xoops_data/configs/xoRewriteHtaccess.ini.php on line 13 in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 32
Warnung: array_key_exists() expects parameter 2 to be array, boolean given in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 34
Warnung: XoSmartyPlugin : section [xoRewriteHtaccess] does not exist in /configs/xoRewriteHtaccess.ini.php in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 42
abgelehnt
Abfragen
0.000112 - SET NAMES 'utf8'
0.000074 - SET SQL_BIG_SELECTS = 1
0.000150 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '1') ORDER BY conf_order ASC
0.000287 - SELECT sess_data, sess_ip FROM session WHERE sess_id = 's0lohkpplb8gj6vg16q9cdcr42'
0.000082 - SELECT * FROM modules WHERE dirname = 'newbb'
0.000075 - SELECT COUNT(*) FROM group_permission WHERE (gperm_modid = '1' AND (gperm_groupid = '3') AND gperm_name = 'module_read' AND gperm_itemid = '2')
0.000109 - SELECT * FROM config WHERE (conf_modid = '2') ORDER BY conf_order ASC
0.000095 - SELECT * FROM modules WHERE dirname = 'protector'
0.000375 - DELETE FROM protector_access WHERE expire < UNIX_TIMESTAMP()
0.000270 - SELECT COUNT(*) FROM protector_access WHERE ip='54.235.29.110' AND request_uri='/forum/viewtopic.php?post_id=51002'
0.000230 - SELECT COUNT(*) FROM protector_access WHERE ip='54.235.29.110'
0.000199 - INSERT INTO protector_access SET ip='54.235.29.110',request_uri='/forum/viewtopic.php?post_id=51002',expire=UNIX_TIMESTAMP()+'60'
0.000099 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000074 - SELECT * FROM modules WHERE dirname = 'umfrage'
0.000866 - SELECT t.* FROM bb_topics t, bb_posts p WHERE t.topic_id = p.topic_id AND p.post_id = 51002
0.000083 - SELECT * FROM bb_forums WHERE forum_id = '72'
0.000096 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000148 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_access')
0.000180 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_view')
0.000866 - SELECT COUNT(*) FROM `bb_posts` WHERE (topic_id = '10035' AND approved = '1')
0.000278 - SELECT COUNT(*) FROM bb_posts AS p WHERE p.topic_id=10035 AND p.approved = 1 AND p.post_id < 51002
0.001034 - SELECT p.*, t.* FROM bb_posts p, bb_posts_text t WHERE p.topic_id=10035 AND p.post_id = t.post_id AND p.approved = 1 ORDER BY p.post_id ASC LIMIT 0, 10
0.000243 - UPDATE bb_topics SET topic_views = topic_views + 1 WHERE topic_id =10035
0.000089 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '3') ORDER BY conf_order ASC
0.000082 - SELECT DISTINCT gperm_itemid FROM group_permission WHERE gperm_name = 'block_read' AND gperm_modid = 1 AND gperm_groupid IN (3)
0.000079 - SELECT b.* FROM newblocks b, block_module_link m WHERE m.block_id=b.bid AND b.isactive=1 AND b.visible=1 AND m.module_id IN (0,2) AND b.bid IN (31,30,29,28,27,26,25,24,23,22,21,18,17,16,49,15,14,13,10,7,5,3,2,20,19,48,38,37,36,41,40,35,45,44,46,47,50,51,52) ORDER BY b.weight, m.block_id
0.000218 - DELETE FROM lastseen WHERE (uid<1 AND time<=1413964401) OR (uid>0 AND time<=1413359901)
0.000139 - UPDATE lastseen SET online=0 WHERE uid>0 AND time< 1413964401
0.000077 - SELECT * FROM modules WHERE dirname = 'onlinehistory'
0.000073 - SELECT * FROM config WHERE (conf_modid = '7') ORDER BY conf_order ASC
0.000440 - SELECT count(uid) as cuid FROM lastseen WHERE uid=0 AND ip='54.235.29.110'
0.000229 - UPDATE lastseen SET time = 1413964701, ip='54.235.29.110' ,uagent='CCBot/2.0 (http://commoncrawl.org/faq/)', username='Besucher', module=2, online=1 WHERE uid=0 AND ip='54.235.29.110'
0.000206 - SELECT COUNT(uid) as count FROM lastseen WHERE (online > '0' AND uid > '-1')
0.000132 - DELETE FROM bb_online WHERE online_updated < 1413964401
0.000127 - DELETE FROM online WHERE online_updated < 1413964401
0.000203 - SELECT COUNT(*) FROM online WHERE online_uid=0 AND online_ip='54.235.29.110'
0.000170 - UPDATE online SET online_updated=1413964701, online_module = 2 WHERE online_uid = 0 AND online_ip='54.235.29.110'
0.000161 - SELECT COUNT(*) FROM bb_online WHERE online_uid=0 AND online_ip='54.235.29.110'
0.000197 - UPDATE bb_online SET online_updated= '1413964701', online_forum = '72', online_topic = '10035' WHERE online_uid = 0 AND online_ip='54.235.29.110'
0.000351 - DELETE FROM bb_online WHERE ( online_uid > 0 AND online_uid NOT IN ( SELECT online_uid FROM online WHERE online_module =2 ) ) OR ( online_uid = 0 AND online_ip NOT IN ( SELECT online_ip FROM online WHERE online_module =2 AND online_uid = 0 ) )
0.000172 - SELECT * FROM bb_online WHERE online_topic = '10035'
0.000073 - SELECT cat_title, cat_id FROM bb_categories WHERE cat_id = '2'
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_post')
0.000128 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.007161 - SELECT * FROM `users` WHERE uid IN (5541,8067,7492,9634)
0.000089 - SELECT * FROM smiles
0.000211 - SELECT online_uid FROM bb_online WHERE online_uid IN (5541, 7492, 8067, 9634)
0.000075 - SELECT * FROM ranks
0.000636 - SELECT user_digests, uid FROM bb_user_stats WHERE uid IN( 5541, 7492, 8067, 9634)
0.000122 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000132 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000260 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000224 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000154 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000142 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000144 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000135 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000134 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000130 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000132 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000245 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000230 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000252 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000222 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000177 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000148 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000171 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000117 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000135 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000118 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000141 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000140 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000125 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000130 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000092 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000138 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000147 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000099 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000078 - SELECT `cat_id`, `cat_order`, `cat_title` FROM `bb_categories` WHERE cat_id IN (9, 20, 12, 17, 19, 21, 2) ORDER BY cat_order ASC
0.000130 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
Zusammen: 82
Blöcke
Online Historie Zählblock: nicht zwischengespeichert
Zusammen: 1
Extras
plugin smarty for xoops => xoRewriteModule : Loaded
plugin smarty for xoops => xoRewriteModule : Loaded
inbegriffene Dateien: 157 Dateien
Speicher: 12416336 bytes
Zeitmessung
XOOPS brauchte 0.595 Sekunden zum laden.
XOOPS Boot brauchte 0.029 Sekunden zum laden.
Module init brauchte 0.072 Sekunden zum laden.
XOOPS output init brauchte 0.014 Sekunden zum laden.
Module display brauchte 0.462 Sekunden zum laden.
Page rendering brauchte 0.018 Sekunden zum laden.