MyXoops Forum

Aw:: Server gehackt [Sicherheit von XOOPS] - myXOOPS German Support

  1. Board-Index
  2. Allgemeines Forum
  3. Sicherheit von XOOPS
  4. Server gehackt
Anmelden

anomm

"myXOOPs"-Neuling
Gepostet am:26.01.2010 06:14
anomm
anomm Offline (Show more)
"myXOOPs"-Neuling
Posts: 26
Since: 12.12.2005
#4

Aw:: Server gehackt

26.01.2010 06:14 @alfred: Danke für den Hinweis.
Natürlich hast du da Recht.
Der Server ist derzeit immer noch gesperrt (da bin ich schon zeitig aufgestanden...)

Was mich allerdings stark wundert ist die Verseuchung anderer Verzeichnisse auf den Server.
Auf dem Server liegen mehrere Verzeichnisse, in vielen davon xoops-Installationen auf welche verschiedene URL zeigen.
Nicht nur die Installation, in der der Shop verwendet wird ist betroffen, auch andere.

.../search.php
.../modules/profile/register.php

zum Beispiel aus anderen Verzeichnissen.

modules/icontent/include/wysiwyg/spaw_control.class.php

icontent habe ich nie installiert.
Auch betroffen ist

modules/tag/view.tag.php/6/xoops_lib/modules/protector/oninstall.php
(wird jedenfalls so gemeldet) protector wurde auch nicht installiert.

Sieht also richtig toll aus....

Grüße
Torsten

alfred

Administrator
Gepostet am:25.01.2010 21:55
alfred
alfred Offline (Show more)
Administrator
Posts: 7619
Since: 06.12.2004
#3

Aw:: Server gehackt

25.01.2010 21:55 nunja, hätte auch selbst drauf kommen können

Du verwendest eine unsichere version von ZENCART
dort existieren Exploids unter anderem der:
http://www.securityfocus.com/bid/35467

Das müsste gefixt werden (und andere Dinge auch).

siehe auch:
http://www.zen-cart.com/forum/showthread.php?t=130161

Advertisement

Gepostet am:0
Advertisement (Show more)
Posts: 0
Since: 0


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.

alfred

Administrator
Gepostet am:25.01.2010 21:47
alfred
alfred Offline (Show more)
Administrator
Posts: 7619
Since: 06.12.2004
#2

Aw:: Server gehackt

25.01.2010 21:47 na ich erst, weil:

Zitat:
Das folgende Skript hat den Angreifern als Einfallstor gedient: ../modules/shop/admin/record_company.php/password_forgotten.php


und das dürfte wohl nicht das aktuelle Core sein
und schon gar nicht geht das vom XOOPS aus
Was ist das für ein Shop und was für eine XOOPS-Version läuft da?

anomm

"myXOOPs"-Neuling
Gepostet am:25.01.2010 21:32
anomm
anomm Offline (Show more)
"myXOOPs"-Neuling
Posts: 26
Since: 12.12.2005
#1

Server gehackt

25.01.2010 21:32 Zur Info:

Mail 1: "Zurzeit versendet Ihr 1&1 Webspace eine große Anzahl von E-Mails an ungültige
Adressen."

30 min später...
Mail 2: "seit unserer letzten E-Mail versendet Ihr 1&1 Webspace weiterhin eine eine große
Anzahl von E-Mails an ungültige Adressen.

Aufgrund der hohen Anzahl der E-Mails gehen wir zurzeit davon aus, dass Hacker
Ihren 1&1 Webspace angegriffen haben und zum Versand von Spam missbrauchen."

Analyse:
"Ihr 1&1 Webspace ist über eine Sicherheitslücke in Ihrer Software von außen
angegriffen worden...

Das folgende Skript hat den Angreifern als Einfallstor gedient:

../modules/shop/admin/record_company.php/password_forgotten.php


Die folgenden schädlichen Dateien wurden auf Ihren Webspace geladen:

../search.php
../modules/profile/register.php
../themes/.../images/index.php
./modules/shop/htmlarea/plugins/SpellChecker/img/*
../modules/shop/htmlarea/plugins/TableOperations/lang/sent.php
../modules/shop/images/samples/mailer.php
../modules/shop/images/haru.php
../modules/shop/images/shbd
../modules/shop/images/2823f.php
../modules/shop/images/c86a7.php
../modules/shop/images/m.php
../modules/wordbook/include/mailer.php

Anschließend erfolgte für 10 min die Freigabe.
Nach diesen (ich hab derweil fleißig gelöscht..) wurde erneut gesperrt.

Auf dem Server sind mehrere Domains mit xoops. Zwei weitere sind ebenfalls in der Risikoliste.

Ich bin mal gespannt...

Grüße
Torsten

« 1 (2)
Diesen Thread durchsuchen:  1 Anonyme Benutzer

Aktuell aus dem Forum

Forum Thema Antworten Views Letzter Beitrag