Riesenproblem mit eingeschleusten iframes

[fossi]

Letzte Woche gab es eine Attacke auf mein Forum, wo einige hundert Forendateien mit einem zusätzlichem iframe ausgestattet wurden, der eine Spamseite laden sollte.

Der "cybercosmonaut" (Mod hier) machte stundenlang sauber, sämtliche FTP-Passwörter wurden geändert (obwohl das eh in regelmässigen Abständen passiert) und heute der selbe Mist schon wieder!

Meine Rechner sind definitiv "clean" und das Forum mit Version 3.08 eigentlich auch auf dem neusten Stand.
Aber wo steckt der Fehler?

[DeepSurfer]

Wer nutzt denn alles einen FTP Zugang der auch auf den Forenpfad zugriff hat ? (brauch ja kein Moderator sein, sondern auch jemand der nichts mit dem Forum zu tun hat)
Wenn Deine Rechner definitiv "Clean" sind, stellt sich die Frage ob von dem Moderator seine Rechner auch Definitiv "Clean" sind.

und heute der selbe Mist schon wieder!

Klären wer die letzten 48 Stunden am System gearbeitet hat.

[fossi]

Geändert wurde in den letzten Tagen nichts.

Den FTP-Zugang nutze nur ich, sowie der "cybercosmonaut" als technischer Helfer.
Passwörter wie gesagt vor kurzem nach der letzten Attacke nochmals gewechselt.
Moderatoren etc haben keinen Zugriff per FTP.
Meine Firmen-PC`s sind ebenfalls save.

Ich vermute wirklich eine Lücke im Forenscript oder eine Serverseitige Einstellung...

[Mahony]

Hallo

Aber wo steckt der Fehler?

Hm...das lässt sich so pauschal nicht sagen.
Vielleicht hast du einen unsicheren MOD (MOD mit einer Sicherheitslücke) installiert?
Vielleicht hat noch jemand Zugriff auf den Server (das kannst wohl nur du beantworten) und derjenige hat sich einen Virus eingefangen?
Vielleicht läuft noch andere, potentiell unsichere, Software auf dem Server?
Eventuell wurde aber auch der gesamte Server Kompromittiert?

Am besten du bittest deinen Hoster sich mal die Server-Logs anzusehen, um das Einfallstor ausfindig machen zu können.


Grüße: Mahony

[DeepSurfer]

Ich vermute wirklich eine Lücke im Forenscript oder eine Serverseitige Einstellung...

- Welche Modifikationen sind denn eingebaut ?
- Läuft PHP im "Safe-Mode" und "register_globals off"
- Sind in Forumpfad fremdartige Scripte eingebunden ?
- Ist das Forum incl. dessen Pfad in einer Bridge am laufen ?, also Wordpress/Joola/ oder ähnlich geartete Software drumherum ?
- Wer war die letzten 48 Stunden per FTP Verbunden (FTP Logfiles gegen darüber auskunft)

PS: Mahony war etwas schneller

[fossi]

Sache hat sich aufgeklärt.

Kurze Aufklärung, falls noch Jemand plötzlich diese Probleme hat:

Meine Firmenrechner waren sauber, aber auf dem Home-Laptop fand sich dank "Malwarebytes` Anti-Malware" nette Spyware auf meiner Festplatte. Antivir etc erkannten diese nicht!
In Kombination mit dem Filezilla FTP-Client (welcher die Passwörter recht ungeschützt speichert) war so der Zugang frei. Selbst ein Wechsel der FTP-Passwörter brachte in dem Fall recht wenig...

Bei der Recherche im Web stellte sich heraus, daß nicht nur phpbb-Foren betroffen waren, sondern auch zig andere Sites mit z.B. Joomla, Wordpress-Blogs, xt-Commerce-Shopsysteme etc.
Die letzten Tage macht das Problem wie eine richtige Seuche die Runde!

Immer die selbe Nummer mit zigfach eingemogelten iframes in php-Dateien, Weiterleitungen auf "bali-planet.xxx" oder "googlestats.xxx" und erstaunlicherweise nutzten die Betreiber hauptsächlich Filezilla.

Die werden echt immer raffinierter: darauf muss man erstmal kommen.
Nunja. Jetzt sind Antivir und Filezilla erstmal von der Platte geflogen und die "geheimnisvolle Lücke" erstmal dicht.