Trojanerpoblem - Sicherheitslücken in phpBB?

[Yaize]

Ich habe nun eine Antwort vom Webspacebetreiber Hetzner:

Sehr geehrter xxx,

Ihr Account wurde via FTP infiziert, d.h. Dritte sind an Ihr FTP-Passwort, etwa
durch einen Trojaner oder Keylogger auf Ihren Computer gelangt.

Der entsprechende FTP Benutzername ist: xxx
Die entsprechende IP war: xxx

Wir bitten Sie, Ihren Computer gründlich mit einem Antivirenprogramm zu
durchsuchen und zu reinigen, oder einen anderen Computer zu verwenden. Danach
loggen Sie sich bitte in die konsoleH ein und ändern Ihr FTP Passwort - dieses
haben wir aus Sicherheitsgründen bereits geändert.

Schlimmstenfalls hat der Angreifer Ihr konsoleH Passwort mitgeschnitten - auch
dieses sollten Sie ändern.

Bitte reinigen Sie Ihren Account nach ändern des FTP Passwortes gründlich und
schließen Sie alle Sicherheitslücken.

Damit dürfte geklärt sein, was passiert ist. Jetzt stellt sich mir die Frage, gibt es für mich noch ne Möglichkeit das Forum so wie es ist zu nutzen oder empfiehlt es sich wirklich alles runter zu schmeißen und neu zu installieren?

Was vom alten Forum könnte ich dann noch verwenden? Styles? Vielleicht nur die Grafikdateien davon? Die Datenbank?... was lässt sich noch retten bzw. ist ne Neuinstallation wirklich notwendig oder reicht ein Durchchecken? Gibt es da vielleicht Tools die mir behilflich sein können?

Vielleicht kann man mir hier auch noch zur Behebung der Schäden und den letzten Fragen Tipps geben? Ich möchte mich auf jeden Fall schon mal für die schnelle Hilfe bedanken, insbesondere bei hackepeter13, der sich ja sehr mit meinem Problem auseinandergesetzt zu haben scheint. =)

[mad-manne]

Ich habe jetzt nicht den gesamten Thread gelesen .. ABER hast du mal alle FTP-Kennwörter geändert ?? Evtl. gehen die Angriffe gar nicht von einem deiner Rechner aus ... wie auch immer andere an das Kennwort kamen

Jap, das war einer der Schritte die ich schon unternommen hatte um das auszuschließen.

Ich habe meinen Computer regelmäßig von Virensoftware scannen lassen, ebenso meine ein- und ausgehenden Verbindungen durch eine Firewall (zusätzlicher Software zu den Windows-Standards) und kann eigentlich nur vertrauen, dass diese zuverlässig arbeiten. Updates werden wenn vorhanden täglich aktualisiert. Und momentan wird mir gesagt, das System ist sauber.

Also irgendwie beißt sich da die Katze in den Schwanz

Entweder du hast einen CO-Admin, der ebenfalls FTP-ZUgang hatte und dessen PC ist/war infiziert oder es muss deiner sein ... ganz speziell, wenn nach einer Änderung der FTP-Kennwörter erneut Angriffe stattfinden!

Du solltest also zunächst einmal an dieser Quelle ansetzen um einen defintiv sauberen PC zu haben, ansonsten wird das eine unendliche Geschichte.

Dazu würde ich vorschlagen, dass du deinen PC mal mit einer der vielfach verfügbaren Linux-basierten AV-BootCDs startest und untersuchst! Ich will hier keine Empfehlung für so eine CD ausprechen ... aber mit Hilfe von Google wirst du da sicher einiges finden

Gruss,
Manne.

[Yaize]

Entweder du hast einen CO-Admin, der ebenfalls FTP-ZUgang hatte und dessen PC ist/war infiziert oder es muss deiner sein ... ganz speziell, wenn nach einer Änderung der FTP-Kennwörter erneut Angriffe stattfinden!

Es gab da eine heftigere Vireninfektion mit Raub von Bankdaten & Ähnlichem auf dem PC des Lebensgefährtens meines Co-Admis. Offenbar ist das der ursprüngliche Infektionsherd gewesen, über den sich wohl dann auch von außerhalb FTP-Zugang verschafft wurde. Der PC wurde inzwischen platt gemacht und komplett neu aufgezogen, die Rechner von mir und meinem Co-Admin stehen wie gesagt unter verstärkter Virenaufsicht durch Software. Wir hatten zwar das FTP-Kennwort geändert, nicht aber das Kennwort zum Zugangsbereich der Webspaceverwaltung, das wird nun auch noch einmal vorgenommen.

Du solltest also zunächst einmal an dieser Quelle ansetzen um einen defintiv sauberen PC zu haben, ansonsten wird das eine unendliche Geschichte.

Das werde ich tun. Danke da auch für deine Empfehlung.

Wenn dieser Schritt unternommen ist, was mache ich dann mit dem Forum? Wie gesagt, ist das noch zu retten bzw. irgendwas davon? Gerade um die SQL-Datenbank mache ich mir sorgen, wenn in einem Rollenspiel sämtliche Beiträge weg sind ist das ne halbe Katastrophe. =/

[hackepeter13]

So wie es aussieht wurde ja nur per FTP-Dateien bearbeiten, demzufolge sollte die Datenbank nicht betroffen sein.

Wenn es nur die index.htm Dateien waren, die betroffen sind/waren, sollte der Rest, also alle PHP Dateien, sowie die Style-Dateien unbetroffen sein.

An deiner Stelle würde ich dann aber erst einmal alle Dateien des Forums durchchecken, weil es bringt nichts, wenn du jetzt nur sämtliche Passwörter änderst und am Ende beim Aufrufen des Forums oder bearbeiten von Foren-Dateien sich wieder etwas auf dein PC einschleicht und wieder das Passwort beim nächsten Login ausließt oder so.

Der sicherste Weg ist wohl immer alle Passwörter ändern und das Forum neu aufzusetzen (kannst es ja mit der selben Datenbank probieren) und die Modifikationen neu einzubauen.

[Elsensee]

Ich denke, die Datenbank kannst du noch übernehmen, allerdings würde ich das phpBB erst einmal ohne irgendwelche Mods oder ähnliches aufsetzen und du solltest noch folgendes beachten:

[...]
Gleiches gilt natürlich auch für die Datenbank. Bevor Ihr diese Zurücksichert solltet Ihr diese akribisch auf Hintertüren untersuchen:

Hat sich der Cracker vielleicht ein neues Profil mit Admin- oder zumindestens Mod-Rechten angelegt?
Hat er die Passwörter von bestehenden Mods oder Admins geändert?
Hat er sich zugriff auf interne Mitarbeiter-Foren verschafft?
Hat er sich in eine Gruppe eingetragen, in die er nicht gehört?

Nachdem du phpBB dann vollständig neu installiert hast, spielst du das evtl. bereinigte Backup wieder ein.

Du kannst also die Datenbank übernehmen - Styles und die alten Dateien würde ich nicht übernehmen, daher ja auch die Neuinstallation (siehe oben). Vielleicht hat der Hacker sich ja dort eine "Hintertür" eingebaut. Wenn die Styles von phpBB.com sind, kannst du sie ja wieder erneut herunterladen und installieren.

Du musst du leider auch mit den MODs von vorne beginnen - beachte, dass du nur MODs verwenden solltest, die von phpBB.com oder phpBB.de validiert wurden. Genauso bei Styles.

[mad-manne]

Wir hatten zwar das FTP-Kennwort geändert, nicht aber das Kennwort zum Zugangsbereich der Webspaceverwaltung, das wird nun auch noch einmal vorgenommen.

Also ich will jetzt keine Pferde scheu machen ... ABER das bedeutet ja im schlimmsten Fall durchaus, daß der/die Angreifer auch direkten Zugang zur Datenbank hatten!

Ich habe eben mal testweise in einem Forum von mir mittels phpmyadmin Javascript in einen Beitrag eingeschleust, welches dann auch tatsächlich zur Ausführung kommt. Ich habe dazu einfach nur folgendes in den Beitragstext eingefügt:

Code: Alles auswählen

<script type="text/javascript">alert("Hello!");</script>

Ich kann leider nicht abschätzen, was man an gefährlichem JS-Code einschleusen könnte, und ob dafür auch noch andere Tabellen ausser der phpbb_posts in Frage kämen.

Meinen "JS-infizierten" Beitrag kann man so mit phpmyadmin finden:

Code: Alles auswählen

SELECT *  FROM `phpbb_posts` WHERE `post_text` LIKE '%<script%'

BITTE BEACHTEN:
Ich will hier wirklich keine Panik verbreiten und würde mich freuen, wenn jemand mit mehr Erfahrung auf diesem Gebiet sich mal dazu äussert. Ich wollte aber darauf hinweisen, daß im hier geschilderten Fall eben evtl. auch die Datenbank auf "Verseuchungen" geprüft werden sollte.

In der Hoffnung, daß ich mich evtl. ja irre,
Manne.

[Yaize]

Ich danke noch einmal für die viele Hilfe von allen hier. Wir haben jetzt alles uns mögliche gemacht. Sollte nun noch irgendetwas passieren, wissen wir, dass es eigentlich nur noch in der Datenbank stecken kann und dann ja auch, was als nächstes zu tun ist.

Die Vermutung von Hetzner, dass eine Sicherheitslücke in phpBB vorliege wurde nicht bestätigt, es war mal wieder menschliches Versagen an einer ungünstigen Stelle mit weitreichenden Folgen die nun aber vorerst behoben sind. An sich kann dieser Beitrag dann geschlossen bzw. das Problem als gelöst gekennzeichnet werden. Wieder eine Bestätigung dass die Entscheidung phpBB zu nutzen richtig war, Support bzw. Community funktionieren super! =)

Danke danke danke!

[Dr.Death]

Das Problem bei einen immer wieder verseuchtem phpBB Forum ist zu 98% der PC, der FTP Zugang zum besagten Forum hat.
Es gibt leider diverse Trojaner, die die lokalen phpBB Installationdateien/Sicherheitskopien usw. befällt und bei einer FTP Verbindung die modifizierten Dateien ganz einfach hochlädt.

Der Verursacher ist daher der eigene PC der FTP Zugang zum Webspace hat.

Nur gut das der eigentliche "Brandherd" gefunden wurde.

Auch das Feedback Deinerseits trägt zum Schutz anderer bei.
Vielen Dank.