Heute abend wurde in unsem Forum (phpBB 2.0.8a) der Seitentitel geändert und in einem internen Moderatorenbereich eine neue Rubrik aufgemacht, ohne jedoch dort einen Text zu schreiben. Die neu geöffnete Rubril wies auf slackware.org hin und riet uns in Englisch, unsere phpBB-Version zu aktualisieren, was ja eigentlich ganz vernünftig ist.
Eine Durchsicht der Konfigdateien und der Datenbank ergab keine Spuren/Veränderungen (ausser den oben genannten). Die Site wird bei einem Provider gehostet, den ich morgen kontaktieren werde,
Soweit, so gut, die Frage ist natürlich, wie das geschehen kann. Auf die Datenbank und den Adminbereich haben nur 2 Leute Zugriff. Registrierte User können keine neuen Rubriken anlegen. Aber der Übeltäter muss auf Datenbank oder Adminpanel Zugriff gehabt haben.
wobo
Nachtrag: einer unserer User hat mittels nmap festgestellt, dass beim Hoster unserer Domain (also bei unserer Domain) der Port 3306 (MySQL) offen ist. Das könnte eine Erklärung sein.
Hack in phpBB 2.0.8a Forum
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
marino
woooooow du hast echt besuch von slackware bekommen ?? respekt ... mancher hoster würde sich freuen wenn die mal vorbei schaun *gg
die hersteller von slackware stellen unterandrem auch sicherheitspatches für linuxserver uä. her ...
die werden halt nur getestet haben ob du mindestens die letzten sicherheitspatches installiert hast .. da es ja die offizielle aufforderung dazu von phpbb.com diese zuinstallieren ( bzw komplett das backup auf 2.11. durchzuführen ) gibt
wenn du deinem hoster erzählst das die dich gehackt haben wird der dich auffordern deine page sofort zusichern *gg
die hersteller von slackware stellen unterandrem auch sicherheitspatches für linuxserver uä. her ...
die werden halt nur getestet haben ob du mindestens die letzten sicherheitspatches installiert hast .. da es ja die offizielle aufforderung dazu von phpbb.com diese zuinstallieren ( bzw komplett das backup auf 2.11. durchzuführen ) gibt
wenn du deinem hoster erzählst das die dich gehackt haben wird der dich auffordern deine page sofort zusichern *gg
Wieso? Ich konnte in den letzten 7-8 Jahren nicht feststellen, dass an Slackware so etwas Besonderes ist, was einen solchen Besuch zur "Ehre" machen würde.marino hat geschrieben:woooooow du hast echt besuch von slackware bekommen ?? respekt ... mancher hoster würde sich freuen wenn die mal vorbei schaun *gg
Na und? Das machen andere Distributoren auch, von denen hat uns auch noch keiner besucht.Sllackware stellt unterandrem sicherheitspatches für linuxserver uä. her ...
Tja, anscheinend, ist das Loch nicht auf phpBB zurückzuführen sondern auf den Server des Hosters. Und der hat SuSE als OS. Damit habe ich auch kein Problem, solange die Admins ihre Hausaufgaben machen.die werden halt nur getestet haben ob du mindestens die letzten sicherheitspatches installiert hast .. da es ja die offizielle aufforderung dazu von phpbb.com diese zuinstallieren ( bzw komplett das backup auf 2.11. durchzuführen )
Wohl eher nicht, denn die Sicherheitsmaßnahmen im Userspace habe ich getroffen, auf die Absicherung der Datenbank z.B. habe ich ausser dem Passwort keinen Einfluss.wenn du deinem hoster erzählst das die dich gehackt haben wird der dich auffordern deine page sofort zusichern *gg
Die config.php wurde nicht geändert (es sei denn, der Angreifer hat auch den Zeitstempel der config.php manipuliert). Das sind die beiden Angriffspunkte, die zu einem Erstellen einer Rubrik im Adminbereich führen können. Da ist von meiner Seite alles getan, was ich tun kann.
Natürlich werden wir unseren für Mitte Dezember geplantes Update auf 2.0.11 Anfang der Woche schon durchführen.
wobo
-
marino
als vor kurzem die site phpbb2.de gehackt wurde , links totgelegt wurde eine neue startseite angelegt wurde etc wurde die config.php auch nicht geändert .. der angriff erfolgte NUR über das script .. die warewn also absolut nicht an der datenbank .. die reaktion von phpbb.com darauf war sofort ein sicherheitspatch zuveröffentlichen .. und in einer fast rekordverdächtigenzeit ein neues "sicherheitsupdate" (2.0.11 ist nichts andres als ein sicherheitsupdate das gefundene löcher im script schliesst ) zuveröffentlichen .. (wobei es möglich ist das an dem update schon vor dem angriff auf phpbb.2 gearbeitet wurde .. dieser aber die arbeiten und die veröffentlichung extrem beschleunigt haben )
das ist ein widerspruch in sich ... da erst das update die sicherheitslücken schliesst
Wohl eher nicht, denn die Sicherheitsmaßnahmen im Userspace habe ich getroffen, auf die Absicherung der Datenbank z.B. habe ich ausser dem Passwort keinen Einfluss.............Natürlich werden wir unseren für Mitte Dezember geplantes Update auf 2.0.11 Anfang der Woche schon durchführen.
das ist ein widerspruch in sich ... da erst das update die sicherheitslücken schliesst
Hmm, bin ich so blind? Ich habe nichts von einem Sicherheits-Alert gelesen. Natürlich schaue ich nicht jeden tag hier vorbei, da bisher meine Anfragen nach bestimmten Sachen leider ins Leere liefen. Entweder war das, was ich mit phpBB machen wollte nicht möglich oder nicht interessant.marino hat geschrieben: die reaktion von phpbb.com darauf war sofort ein sicherheitspatch zuveröffentlichen ..
Habe aber heute, aus aktuellem Grund nochmal gesucht und keinen Alert für 2.0.8a gefunden. Nur den Hinweis auf die HTML-Funktion, die aber laut Text nur Zugang zu den Cookies erlauben würde, falls sie aktiviert ist.
Das Update wird nicht deswegen ausgeführt, um Löcher zu schließen, da keine Informationen über Löcher vorliegen (wenn, dann irgendwo in den Forumsnachrichten versteckt), sondern erstens, weil es sowieos geplant war und zweitens für den Fall, dass ich etwas übersehen habe und der Besucher doch was hinterlassen hat.
wobo
-
marino
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513wobo hat geschrieben:Hmm, bin ich so blind? Ich habe nichts von einem Sicherheits-Alert gelesen.marino hat geschrieben: die reaktion von phpbb.com darauf war sofort ein sicherheitspatch zuveröffentlichen ..
und dieses zitat:
solltest du dich wieder mal fragen ob du blind bist wende dich vertrauensvoll an uns *gggphpBB 2.0.11 released, Critical Update !
phpBB 2.0.11 released !
Some Minutes ago phpBB 2.0.11 was released by the phpBB Group. This Update fixes a number of issues, introduces visual confirmation as standard and addresses a potentially serious exploit. We encourage everyone to update as soon as possible. We also encourage any hosting providers out there to contact and/or update users copies of phpBB to this latest version.
Please spread news of this release far and wide.
This is the full changelog:
Changes since 2.0.10
Fixed vulnerability in highlighting code (very high severity, please update your installation as soon as possible)
Fixed unsetting global vars - Matt Kavanagh
Fixed XSS vulnerability in username handling - AnthraX101
Fixed not confirmed sql injection in username handling - warmth
Added check for empty topic id in topic_review function
Added visual confirmation mod to code base
We have made available manual Update Instructions to upgrade from 2.0.10 to 2.0.11:
Download Manual Upgrade Instructions from phpBB 2.0.10 to phpBB 2.0.11
ps der alert gilt für ALLE phpbb-versionen vor 2.0.11
und da einige deutsche hoster jetzt anfangen siten mit nicht upgeadeten phpbb-foren zusperren ( sicherheitssperrungen) oder von sich aus anfangen die boards der kunden wenigstens durch einspielen der obigen patches halbwegs sicherer zumachen ( beispiel netroom.de wo ich hier sogar ein extra thread gestern geschrieben hab ) wirst du sicher auch irgendwann merken das dies alles kein witz ist
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
nicht wirklich - ein potentielles problem in der highlight-behandlung wurde von jessbunny bereits am 21. september gemeldet (und leider von der phpbb-group in der tragweite unterschätzt). erst pokleyzz's POC (und ein ganze menge script-kiddies) sorgten dann am 18. november für das update.marino hat geschrieben:und in einer fast rekordverdächtigenzeit ein neues "sicherheitsupdate" (2.0.11 ist nichts andres als ein sicherheitsupdate das gefundene löcher im script schliesst ) zuveröffentlichen ..
mein tip um über wichtiges updates etc informiert zu sein: einfach das phpbb-filepackage bei http://sourceforge.net/projects/phpbb monitoren
-
marino
danke für die infolarsneo hat geschrieben:nicht wirklich - ein potentielles problem in der highlight-behandlung wurde von jessbunny bereits am 21. september gemeldet (und leider von der phpbb-group in der tragweite unterschätzt). erst pokleyzz's POC (und ein ganze menge script-kiddies) sorgten dann am 18. november für das update.marino hat geschrieben:und in einer fast rekordverdächtigenzeit ein neues "sicherheitsupdate" (2.0.11 ist nichts andres als ein sicherheitsupdate das gefundene löcher im script schliesst ) zuveröffentlichen ..
mein tip um über wichtiges updates etc informiert zu sein: einfach das phpbb-filepackage bei http://sourceforge.net/projects/phpbb monitoren
und dank an die die eben letzte woche ( vorallem wohl auch aufgrund des gewaltigen einbruchs bei phpbb2) das update massivst forciert und entwickelt haben 