Hacker-Angriff über Forum/Uploadfunktion?

[Mike49509]

Hallo zusammen

Ich habe aktuell einen massiven Hacker-Angriff auf meinem höchst umfangreichen Server gehabt.
Auf diesem laufen insgesamt 8 Homepages in Unterordnerstruktur, vor etwa 3 Wochen habe ich ein phpBB3 neu installiert.

Meine Stamm-Domain und die das Forum betreffende kostenlose .de.vu-Umleitungsdomain sind aktuell von Google als infiziert erkannt und gesperrt, nach höchst aufwändiger Säuberung des Servers läuft der Antrag auf erneute Überprüfung zwecks Freigabe. Äußerst ärgerliche Sache. Alle weiteren Domains waren ebenfalls betroffen, bei Google aber offenbar noch nicht gelistet, die laufen also noch.

Ursachen und Hinweise:
Auf dem gesamten Server quer durch sämtliche Unterordnerstrukturen sind ALLE index-Dateien (html und php) infiziert worden.
Dort ist jeweils nach eigentlichem Ende des Quelltextes (also nach /body /html) ein Scriptcode eingefügt worden, der nach jetzigen Erkenntnissen auf eine russische Seite (wo ist meine Kalaschnikow?) weiterleitet.

Ich habe nun alles durchforstet, die Gelegenheit genutzt um viele ältere und ungenutzte Dinge rauszufegen, und die phpBB-Software vorerst mal gelöscht, einerseits um diese nicht auch noch per Hand in der gesamten Struktur durchsuchen zu müssen.

Andererseits habe ich nun einige Hinweise erhalten, daß phpBB für einige Sicherheitslücken, vorgeblich im Uploadbereich, bekannt sein soll.
Passende Auffäligkeit beim löschen der phpBB-Software:
Der Ordner "/images/avatar/upload" war sichtbar, aber weder zu öffnen noch zu löschen, ursächlich weil die Dateirechte "owner" nur auf "read&write", nicht aber auf "execute" standen. (Group und other: nur "read"). Ist diese Einstellung normal, oder wurde hier gefuckelt???

Ich denke, da wird ein Script über den Server gefegt sein und die index gezielt gesucht und infiziert haben.
Den eingefügten Code habe ich gespeichert.
Frage ist: ist das Script vielleicht noch irgendwo versteckt, und kann jemand mit dem Code (oder Erfahrung respektive Wissen ) etwas anfangen?

Ein geqälter
Mike

[redbull254]

Hallo erstmal,

Andererseits habe ich nun einige Hinweise erhalten, daß phpBB für einige Sicherheitslücken, vorgeblich im Uploadbereich, bekannt sein soll.

Aha, die Quellen wüsste ich gerne.

Also mir sind keine „Sicherheitslücken“ in der aktuellen phpBB 3.0.7 PL1 Version bekannt.

Dein Problem hört sich für mich eher danach an:

Hallo,

diese Art von "Virus" Problem liegt zu 99% am infizierten PC des Forenbetreibers.

Der Virus befällt alle PHP / HTML Dateien. Beim Hochladen der Dateien auf dem Webserver wird der Virus eingeschleust.

Scanne den PC also auf Viren/Root-Kit Befall.
Danach solltest Du alle PHP / HTML Dateien prüfen und ggf. säubern. (Meistens die overall_footer.html oder overall_header.html im im betroffenen Styles Ordner.

Quelle:
viewtopic.php?f=74&t=206259

[Mike49509]

Die 99% mögen stimmen... aber nicht in der AusführungWirkung.

PC-Scan ergab 2 Funde:
HEUR/HTML.Malware (bereits gestern gefunden und gelöscht), heute weiteres:
Malware.Trace , Datei User/AppData/Roaming/ avdrn.dat
im selben Ordner mit selben Speicherdatum und -Zeit: vqdlkr.dat (aber nicht gemeldet)

Reicht es, die zu löschen, oder gibts weitere Erkenntnisse darüber?

Sämtliche index auf meinem PC und auch die genannten im Style waren und sind sauber.
Die Ausführung muß also auf dem Server geschehen sein, sämtlichen gefundenen index-Dateien (html und php) den Schadcode anzuhängen,
grundsätzlich immer nach Ende des Quelltext hinter /body /html.

Sämtliche index auf dem Server habe ich gesondert gelöscht und neu hochgejagt, anschließend bleiben die ok!
Sieht also derzeit nach einer einmaligen aktiven Attacke aus.

Fragt sich nur, ob auf dem Server möglicherweise was abgelegt ist, was neu gestartet werden kann? *fürcht*
Da ich darauf eine mächtig komplexe Struktur mehrer Homepages liegen habe, ist komplettes fegen und neu aufdröseln wahrlich schwierig...

[Frank1604]

Aktuelle Sicherheitslücken in phpBB 3.0.7-PL1 sind mir auch nicht bekannt. Für die generelle Sicherheit deines Servers musst du natürlich selber sorgen.
Du solltest erstmal herausfinden wie weit dein Server betroffen ist. Da ich nun aber nicht weiß was für ein System du hast, kann ich dazu auch nichts sagen.

Ich denke, da wird ein Script über den Server gefegt sein und die index gezielt gesucht und infiziert haben.

Du kannst ja für den Anfang mal nach nem Rootkit ausschau halten, vielleicht hast du da dann schon einen Treffer.

Den eingefügten Code habe ich gespeichert.
Frage ist: ist das Script vielleicht noch irgendwo versteckt, und kann jemand mit dem Code (oder Erfahrung respektive Wissen ) etwas anfangen?

Zumindest könnte mann damit evtl. die Art des Angriffs herausfinden.

[bantu]

Passende Auffäligkeit beim löschen der phpBB-Software:
Der Ordner "/images/avatar/upload" war sichtbar, aber weder zu öffnen noch zu löschen, ursächlich weil die Dateirechte "owner" nur auf "read&write", nicht aber auf "execute" standen. (Group und other: nur "read"). Ist diese Einstellung normal, oder wurde hier gefuckelt???

Das liegt an deinem Webserversetup. Die PHP-Skripte laufen vermutlich unter dem Webserverbenutzer und der ist nicht der gleiche wie der, mit dem du versuchst zu löschen (vermutlich per FTP?). Das solltest du wissen, wenn das wirklich dein Server ist.

Ich denke, da wird ein Script über den Server gefegt sein und die index gezielt gesucht und infiziert haben.
Den eingefügten Code habe ich gespeichert.

In dem meister solcher Fälle ist es ein Virus/Trojaner/Whatever für Windows, der über den Rechner des Betreibers der Websoftware (meistens via FTP) auf den Server kommt.

Für mich hört sich das hier ziemlich ähnlich wie das hier an: viewtopic.php?f=74&t=206259

[Mike49509]

stimmt Bantu,

ist zwar ein anderes Script und anders als jetzt eingebaut, aber per FTP und sämtliche index passt.

Gut, da dort - wie bis jetzt nach Säuberung auch bei mir - sich das (auf dem Server) nicht mehr wiederholt hat,
ist das zumindest eine kleine Beruhigung, daß auf dem Server nix abgelegt wurde.
Wäre ja supiii, wenn Du alles mühsam fegst, den Besen in die Ecke stellst, und dann holt da was auf dem Server die index-Sprüdose raus...

Der Hackererfolg ist eigentlich nachvollziehbar, über erspähte weitverbreitete kostenlose FTP-Zugänge die Standard-index angreifen!
Guter Tip für alle ist sicher auch, die Passwörter nicht mehr im FTP abzuspeichern.
Daraus lernt man, NIE MEHR mit index-Dateien zu arbeiten! (Wo's geht...) Weils eben STANDARD ist!
"start", "Anfang" oder "1".html/php einrichten und die Domain darauf zeigen lassen!
Das eliminiert zumindest diese Gefahr! *daumenhoch*

So, ich hoffe ich hab nun alles wieder im Griff, jetzt aber hier nochmal eine spezielle Frage:
Die Forensoftware habe ich aufgrund des Umfangs und dewr vorrangig anderen Säuberungen erstmal komplett vom Server gelöscht.
Die Datenbank ist aber noch da.
Kann ich die Software nun unfallfrei wieder aufspielen und die Datenbank wieder nutzen, oder gibts dabei irgendwelche Probleme?

[franki]

Hallo

Du kannst die phpbb-Software (3.0.7_PL1) wieder aufspielen.
Nur die config.php muß Du bearbeiten damit sie die Datenbank erkennt (https://www.phpbb.de/kb/config_30)

[bantu]

Der Hackererfolg ist eigentlich nachvollziehbar, über erspähte weitverbreitete kostenlose FTP-Zugänge die Standard-index angreifen!
Guter Tip für alle ist sicher auch, die Passwörter nicht mehr im FTP abzuspeichern.
Daraus lernt man, NIE MEHR mit index-Dateien zu arbeiten! (Wo's geht...) Weils eben STANDARD ist!
"start", "Anfang" oder "1".html/php einrichten und die Domain darauf zeigen lassen!
Das eliminiert zumindest diese Gefahr! *daumenhoch*

Naja, das mit dem "nicht mehr Index verwenden" ist ja quatsch. Das ist genauso gut wie "nie mehr einen PC verwenden". Kümmere dich einfach ordentlich um die Sicherheit deiner Rechner. FTP sollte man auch nicht verwenden, da der Transfer unverschlüsselt ist. Besser SFTP oder FTPS.