Am 25.12.2018 ist mir was komisches passiert. Ich flog als Admin laufend aus dem Forum und mir wurde der Zugriff zum Admin-Bereich verweigert, da ich angeblich keine Berechtigungen dazu hätte. Nach einer Weil funktionierte es wieder und ich konnte mich auch wieder in den Admin-Bereich einloggen.
Kurz ein paar Daten und Infos: Verwendete Forensoftware 3.2.2 (muss demnächst noch auf 3.2.5 updaten. Möglicherweise wird die Sicherheitslücke dann geschlossen?
Im Forum selbst gibt es einen öffentlich einsehbaren Bereich für alle aus dem Internet kommenden Gäste und Bots und einen Bereich, der nur für registrierte Mitglieder, Globale Moderatoren (1 an der Zahl) und ich als einzigster Admin einzusehen und darin zu schreiben ist. Nutzungsrechte sind entsprechend verteilt. Zu dem geschützten Bereich haben nicht mal Suchmaschinen-Bots Zugriff - auch keine Gäste.
Nun passierte es aber in der Vergangenheit auch oft, dass von mir und anderen eingeloggten Mitgliedern ein Gast entdeckt wurde, der sich im geschützten Bereich aufhielt und darin las. Am 25.12.2018 war eer auch da und kurzerhand später wurde wahrscheinlich von ihm meine Rolle als Admin wie oben beschrieben übernommen.
Gibt es da Erfahrungen oder bekannte Sicherheitslücken, wie so was passieren kann? Hat der dubiose Gast meine sid oder meine IP übernommen und sich dadurch unberechtigt Zugang zum Admin-Bereich und Forum verschafft?
Ich habe mal das komplette Forum - also das Verzeichnis auf dem Server - per ftp-Client runtergeladen. Dabei wollte der Client 3 Dateien überschreiben, die sich verändert hatten. Genau zu dem Zeitpunkt, als der Angriff erfolgte. Die veränderten Dateien nennen sich:
filesystem.php
RemoteObjectMethodTest.php
ResourceCheckerConfigCacheFactory.php
Es gibt da eine Original-Datei vom 15.02.2018 und eine neuere vom 25.12.2018. Hab den Inhalt der Dateien mal mit dem phase 5 HTML Editor verglichen. Die letzten beiden Dateien verfügen über die gleiche Anzahl an Kommandozeilen. Bei der RemoteObjectMethodTest.php sind es 116 und bei der ResourceCheckerConfigCacheFactory.php 51. Ob innerhalb des Codes der beiden Versionen etwas verändert wurde, kann ich noch nicht sagen.
Die filesystem.php Datei vom 25.12.2018 wurde aber verändert. Vielleicht von der Forensoftware, vielleicht aber auch durch den Angreifer? Die alte vom 15.02.2018 enthält 21 und die Neuere 916 Codezeilen.
Soll ich den Inhalt der beränderten Datei hier mal posten oder will sich das mal jemand ansehen? Meine Erfahrungen in Bezug auf php Programmierung sind nicht sehr ausgeprägt.
Nun meine Frage: Hat die Veränderung der Dateien etwas mit dem Angriff zu tun, ist diese Sicherheitlücke bekannt und wurde vielleicht schon anderswo behandelt oder was zum Geier war da letztens los?
Im Forum selbst geht es zumeist um politische, spirituelle, weltanschauliche, wirtschaftliche, alternative Medien ... und Themen, die woanders nicht besprochen werden dürfen. Aber immer im Bereich des gesetzlichen Rahmens - also nix verbotenes oder so.
