spam-mails vom Webmaster-Account

[skeeter]

Hallo phpBB-Gemeinde!

Mein Forum läuft seit Jahren stabil, 2.xx und danach auch das 3.xx - zwischendurch mal ein paar spam-Beiträge von kuriosen neuen Mitgliedern, aber nichts ernstes.

Vor 2 oder 3 Wochen war mein Forum nicht zu erreichen, dafür bekam ich eine e-mail vom Hoster, er hat die ganze webseite (incl. Forum) mittels Verzeichnisschutz gesperrt, weil von dem webmaster-e-mail-account spam-mails verschickt wurden. (über die Nacht waren es mehrere Tausend...)
Habe zunächst das mail-account-Passwort geändert, daran lag es natürlich nicht.
Ich habe auf dem server dann im root-Verzeichnis irgendwelche php-Dateien gefunden, die da nicht hingehören, geschweige von mir hochgeladen wurden. Hab dann die FTP-log-Dateien kontrolliert, außer meine eigenen Zugriffe ist da nichts protokolliert. In weiteren log-Dateien habe ich dann den Zugriff auf eine weitere php-Datei gefunden. Diese liegt im Unterordner umil/language/zh_cmn_hant/.
Habe dann den Verzeichnisschutz auf den umil-Ordner gelegt und die ominösen php-Dateien gelöscht.

Es wurde dann täglich immer wieder versucht (immer von der selben IP) auf die php-Datei unter umil/language/zh_cmn_hant/ zuzugreifen, ging natürlich ins leere, also auch keine spam-mails mehr.

Seit gestern geht der Spuck aber wieder von vorn los, wieder php-Dateien, allerdings im anderen Ordner.

Nun bin ich bißchen ratlos. Hat jemand ne Idee was ich anstellen kann/muß um das ganze wieder loszuwerden?!

Danke und Gruß
Martin

ps: ich gehe davon aus das es was mit dem Forum zu tun hat, weil die ftp-logs sauber sind. Mein Forum läuft mit der 3.0.12 Version mit den neuesten Versionen von tapatalk-Mod, "Wer war da?"-Mod und phpBB Galerie.

[gn#36]

Das hört sich in der Tat nach einem Einbruch auf deiner Webseite an - ob das im Forum ist oder einem anderen Teil der Webseite kann ich nicht beurteilen. Geh' erst mal nach dieser Liste vor: KB:gehackt

Grundsätzlich bietet es sich auch an, auf alle Ordner und Dateien abgesehen von den Ordnern cache, storage und file Schreibschutz zu legen, so dass PHP dort nichts verändern kann. Das beschränkt die Möglichkeiten bei einer Sicherheitslücke doch schon arg, insbesondere wenn zusätzlich ein Zugriffsschutz den Direkten Zugriff auf cache, storage und alles außer der file.php in file blockiert.

Wenn die FTP Logs sauber sind würde ich an deiner Stelle auch noch mal die HTTP Logs kontrollieren. Da sind ja nicht nur die Zugriffe auf die seltsamen Unterordner, sondern da sollten dann ja auch die Angriffe und Angriffsversuche drin geloggt sein. Ich würde schauen ob da auch "seltsame" Zugriffe auf standardmäßig vorhandene Dateien drin sind. Es ist auch möglich, dass der eigentliche Angriff zeitlich zusammenhängt mit dem Beginn der Zugriffe auf den Unterordner. Es ist auch durchaus denkbar, dass der Angriff über eine andere vorhandene Seite erfolgte und die Daten nur im Forum "versteckt" wurden, damit man nicht sofort die Sicherheitslücke findet.

[regazer]

Hast Du mal vor mehreren Wochen (also bevor das losging) eine Modifikation installiert? Mir kommt das vor, als ob sich auf diese Weise jemand ein Hintertürchen eingebaut hat.

[skeeter]

Moin!

Geh' erst mal nach dieser Liste vor: KB:gehackt

Die Liste bin ich zu Anfang schonmal durchgegangen. Jetzt allerdings nochmal, hatte nicht an alle Passwörter gedacht...

Den Schreibschutz werd ich gleich mal einbauen. Bin z.Z. noch dabei, alles nach ominösen php-Dateien zu durchsuchen - ist ja in einem phpbb-Forum nicht so schnell gemacht...

Mit den http-logs meinst Du die access-logs auf die gesamte Seite? Da ist leider nicht viel zu erkennen, außer eben der direkte Zugriff auf die php-Dateien. Leider habe ich auch immer nur die access-logs vom Vortag zu Verfügung und diese auch nicht jeden Tag vom Server geholt :-/

Hast Du mal vor mehreren Wochen (also bevor das losging) eine Modifikation installiert?

Das letzte war die tapatalk-Mod, allerdings zeitlich weit vor den Angriffen. Sie wird von mir auch prompt aktuallisiert, wenn ein update ansteht.

Danke & Gruß
martin

[gn#36]

Bin z.Z. noch dabei, alles nach ominösen php-Dateien zu durchsuchen - ist ja in einem phpbb-Forum nicht so schnell gemacht...

U.a. deshalb steht in der Anleitung ja auch sinngemäß: Alles auf ein neu aufgesetztes phpBB aufbauen. Sprich, alle Mods neu in ein frisches phpBB einbauen, alle sonstigen vorhandenen Webseitenteile ebenso neu aufbauen, deinen Webspace komplett wipen und alles neu hochladen. Nur die Dateianhänge, den Avatarordner und die DB Backups solltest du behalten. Ansonsten übersiehst du garantiert was, mal ganz abgesehen davon, dass es auch eine Hintertür in irgend einer der vorhandenen Dateien geben kann, die sehr schwierig zu finden ist. Ich weiß, das ist viel Arbeit, aber eigentlich ist es der einzige Weg alles an Problemen loszuwerden. Ich bewahre, um mir das zu ersparen offline immer mehrere aktuelle Kopien der Webseite auf verschiedenen Geräten in einem Git Repository auf. Dann kann ich im Zweifel einfach wipen und neu aufspielen, selbst wenn ein lokaler Trojaner beim Upload der letzten Änderung meine Uploads manipulieren sollte.

Mit den http-logs meinst Du die access-logs auf die gesamte Seite? Da ist leider nicht viel zu erkennen, außer eben der direkte Zugriff auf die php-Dateien.

Ja, die meine ich. Es wäre möglich dass da seltsame Zugriffe aufbestehende Dateien erfolgen, die den Upload erst ermöglichen, wenn du sagst im FTP Log ist nichts ungewöhnliches.

[skeeter]

... Alles auf ein neu aufgesetztes phpBB aufbauen. Sprich, alle Mods neu in ein frisches phpBB einbauen, alle sonstigen vorhandenen Webseitenteile ebenso neu aufbauen, deinen Webspace komplett wipen und alles neu hochladen. ..

Ok, da hast Du wohl Recht. bevor ich noch lange hin und her und alles nochmal machen muß, dann gleich einmal ordentlich. Ich hatte es etwas verdrängt, weil ich so dann nicht rausbekomme wie es passieren konnte. Naja, die verdächtigen php-Dateien sehen inhaltlich eh sehr kryptisch aus, da seh ich kein Land...

Mit dem Schreibschutz bzw. Zugriffsschutz auf Ordner und Dateien bin ich gestern etwas ins rudern gekommen. Meinst Du per .htaccess oder per CHMOD?

[gn#36]

htaccess Schutz ist kein Schreibschutz. Aber der kann auch sinnvoll sein, hier musst du nur aufpassen, dass du z.B. keine Zugriffe auf den Style verbietest.

Im laufenden Betrieb ist es nicht notwendig, dass irgendwelche Änderungen an bestehenden PHP Dateien gemacht werden. Dementsprechend sollten auch alle vorgegebenen Dateien für den PHP User schreibgeschützt sein, am besten sollte er sich die Schreibrechte auch nicht besorgen dürfen. Natürlich gibt es davon ein paar Ausnahmen, z.B. soll das Forum ja Avatare und Dateianhänge speichern, daher musst du diese Ordner dann beschreibbar machen. Alles andere aber nicht. Das verhindert sowohl zusätzliche Dateien als auch die Manipulation von bestehenden per PHP.

Siehe auch KB:sicher

[skeeter]

Habe gestern alles platt gemacht und neu installiert - so kommt man wenigstens nicht aus der Übung

Beim aufräumen habe ich dann noch weitere php-Dateien gefunden, teils im Forum, teils auf der homepage...
Bin dann die log-Dateien nochmal durchgegangen, das ist der erste auffällige Eintrag:

Code: Alles auswählen

146.xxx.xxx.xxx - - [25/Oct/2014:10:18:16 +0200] "POST /forum/umil/language/zh_cmn_hant/.db73.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.0) Gecko/20100101 Firefox/26.0"

Wie schon geschrieben, ich habe leider nicht die logs von allen Tagen.
Später sind diese Einträge auffällig:

Code: Alles auswählen

178.xxx.xxx.xxx - - [03/Dec/2014:15:10:23 +0100] "GET / HTTP/1.0" 401 1127 "http://topsat.pl/?option=com_k2&view=itemlist&task=user&id=911" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 YaBrowser/14.7.1916.15705 Safari/537.36"

immer gleiche IP, aber unterschiedliche Referer-Adressen...
Habe nun erstmal die mir bekannten IPs per htaccess von der gesamten Seite geblockt.

Nochmal eine Frage zum Schreibschutz, standartmäßig sind die phpbb-Ordner und Dateien doch per 755 und 644 geschützt, nur wenn ich eigene Dateien hinzufüge muß ich es gegebenenfalls anpassen?! Nach der Neuinstallation sah alles ok aus.

[gn#36]

Richtig, der Schreibschutz sollte in der Regel schon da sein. Allerdings würde ich noch darauf achten, dass der Benutzer, in dessen Kontext der Webserver ausgeführt wird nicht der Besitzer der Dateien ist, sonst kann sich nämlich ein eingeschmuggeltes Skript selber die Schreibrechte geben. Idealerweise ist der FTP Nutzer, der die Daten hochläd also ein anderer als der http Nutzer.

Ich würde im Zweifel nach dem upload aller Komponenten noch mal rekursiv alle Schreibrechte entfernen und nur bei den bekannt notwendigen Ordnern (KB:rechte) wieder explizit setzen. Offensichtlich waren nämlich z.B. vorher die Schreibrechte für deinen umil Ordner nicht eingeschränkt (wobei ich nicht genau weiß, ob der als Teil des Automod tatsächlich Schreibzugriff braucht). Auf keinen dieser beschreibbaren Ordner muss man aber direkt per HTTP zugreifen können (es sei denn ich habe gerade was wichtiges übersehen), deshalb kannst du per HTACCESS den Zugriff auf diese Ordner problemlos verbieten.

Bzgl. Logs: Die Einträge die interessant sind sind ja nicht die, die auf die bereits illegal hochgeladene Datei zugreifen, sondern die, die vorher auf eine ungewöhnliche Datei mit kryptischen Parametern zugreifen.

[skeeter]

... deshalb kannst du per HTACCESS den Zugriff auf diese Ordner problemlos verbieten.

Hab ich dann mal gemacht.

Das Forum läuft soweit. In den aktuellen logs kommen nun auch keine Zugriffversuche auf die alten verseuchten php-Dateien, da bin ich schonmal froh. Das einzige was immer noch auftaucht, sind die Versuche von Seitenaufrufen über wilfremde Seiten von immer der selben IP - die ich ja schon geblockt hatte. Da dürfte nix passieren.

Bzgl. Logs: Die Einträge die interessant sind sind ja nicht die, die auf die bereits illegal hochgeladene Datei zugreifen, sondern die, die vorher auf eine ungewöhnliche Datei mit kryptischen Parametern zugreifen.

Die paar logs die ich von der verseuchten Seite habe, sind frei von kryptischen Parametern. Das einzige was da auffällt, und jetzt auch noch, es wird versucht sich zu registrieren. Also register, confirm und login - allerdings ohne das ein neuer user auftaucht! Ich habe die Benutzerkonten-Aktivierung nun erstmal auf Administrator umgestellt. Mal sehen was da bei rauskommt.