Vulnerabilidad en Coppermine Gallery – 0xv0.zip

Al parecer el 17 de Abril del 2008 fueron atacadas un sin numero de galerías de Coppermine con este exploit, mi galería se cayo ese dia, sin motivo alguno.

Cuando entre por ftp vi que todos los archivos de Coppermine tenían permisos de 777, inmediatamente renombre el directorio y empece a investigar.

Encontré este archivo:

/albums/userpics/10001/0xv0.zip

Al parecer este es un php, que ejecuta ciertos comandos, y entre ellos es cambiar los permisos a 777, para que puedan sobre escribir cualquier php o html en el servidor. Luego de esto, el “hacker” sobre escribe los php y redirecciona a paginas, ya sea paginas porno, o alguna pagina donde muestra información del hacker, simplemente el muchacho quiere enseñar su trofeo.

Les recomiendo que actualicen su Coppermine a la ultima versión.

Si buscan en Google el nombre del archivo 0xv0.zip, podrán ver un gran listado de sitios infectados. Hasta el día de hoy salen estos:

Results 1 – 10 of about 2,090 for 0xv0.zip.

Este archivo puede tener cualquier nombre, me imagino que este fue el que usaron algunos atacantes, les recomiendo que revisen la carpeta /albums/userpics/10001/ y ahi solo tienen que haber imágenes y 1 index.html.

También usando phpmyadmin, yo borre la entrada 0xv0.zip en la tabla cpg_pictures.

Tienen que re configurar el Coppermine, ya que este php lo des configura, literalmente a todos los campos de albums, thumbnails etc les pone de valor 1.

Lo ideal seria tener backup, pero creo que por lo general este no va a ser el caso para muchos usuarios.

La versión de mi galería era Coppermine Photo Gallery 1.4.12 (stable).