Ankündigung

#1 2020-05-10 01:06:10

pimin
Mitglied
2020-05-10
3

Piwigo hacked?

Hallo,

habe gestern piwigo herunter geladen und auf einem Testsystem installiert, dabei da auch festgestellt, daß innerhalb einer Stunde zwei oder drei seltsame Mails darüber versendet wurden (API Key an eine russische Mailadresse), habe daher die komplette Installation gelöscht, völlig neu herunter geladen und neu installiert.

Gegen 21:52 habe ich dann auf der gestern auch zum Newsletter eingetragenen Mailadresse ein seltsames Mail von "Pierrick LE GALL" erhalten, welches auf einen Hack der install.php in der Version 2.10.2 verwies und die Installation nochmals komplett gelöscht sowie das ursprüngliche System aus einem Backup zurück gesichert. Seltam ist das Mail, weil mehrere (incl. meiner) Mailadressen als "cc" eingetragen waren, was ein weiterer (schlimmer) Leak wäre.

Einerseits ist das kein besonders erfreulicher Einstig in das Thema - andererseits kann natürlich auch beim best abgesichertsten System immer ein Problem "passieren", genau deshalb habe ich das ja auf einem Testsystem gestartet.

Meine Fragen - weiß jemand ob dieser "Pierrick LE GALL" (mit einer Gmail Mailadresse) plausibel ist, und wie kann ich sicher stellen, aktuell eine "unbefallene" Version zu erhalten?

Schöne Grüsse aus Wien

Offline

#2 2020-05-10 01:15:00

Pierrick
Gast

Re: Piwigo hacked?

Hi,

Yes, we’ve been hacked and I sent you the email.

Once you have downloaded the piwigo-2.10.2.zip file you can compare its md5sum with the one provided on the release notes (home > menu discover > versions > 2.10.2)

I have no idea why we’ve become a target for hackers. We’re trying our best to secure it.

Another tip : once you have installed Piwigo, install the plugin “Check Files Integrity” and run it. It will tell you if a file was modified.

#3 2020-05-10 01:55:01

pimin
Mitglied
2020-05-10
3

Re: Piwigo hacked?

Pierrick schrieb:

Once you have downloaded the piwigo-2.10.2.zip file you can compare its md5sum with the one provided on the release notes (home > menu discover > versions > 2.10.2)

Für andere, die hier landen und die deutsche Webseite besuchen: Auf https://de.piwigo.org/changelogs die Version auswählen, da steht dann die MD5 Checksum dabei ;)

@Pierrick: Thank you for the reply, maybe this could be mentioned on the download page itself (German: https://de.piwigo.org/piwigo-bekommen ), that would make it easier and more secure in the first step. Also netinstall oviousely does not check this, as this was what I have used.

Good luck in hunting down the hacker anyhow!

Beitrag geändert von pimin (2020-05-10 01:58:09)

Offline

#4 2020-05-10 09:17:10

plg
Piwigo Team
Paris, France, Europe
2002-04-05
7801

Re: Piwigo hacked?

The problem is also "how do we make sure the hackers don't also modify the md5sum registered on piwigo.org ?". We may have to register md5sum values somewhere else (like Github) and rely on it. But hackers could also have hacked the netinstall file to bypass this check... well, you understand! and I don't want to give too many ideas to hackers. They already have enough ideas...

Offline

#5 2020-05-10 09:26:14

pimin
Mitglied
2020-05-10
3

Re: Piwigo hacked?

plg schrieb:

I don't want to give too many ideas to hackers. They already have enough ideas...

Sadly enough you are fully right ...

Offline

Brett Fußzeile

Unterstützt von FluxBB

github twitter newsletter Spenden Piwigo.org © 2002-2024 · Kontakt