Beunruhigende Dateien im Foren-Folder! Sicherheitslücke?

[Scheibenwischer]

Grüß Euch!

Habe heute wieder mal seit langem per FTP in den phpbb-Ordner auf meinem Server geschaut und dabei ist mir etwas seltsames/beunruhigendes aufgefallen:
Vor wenigen Tagen wurde dort fast zeitgleich ein neuer Ordner und ein neues ausführbares Unix-File erstellt, beides leer, letzteres ist berechtigungsmäßig auf 777 gesetzt.
Wie aber schon erwähnt habe ich aber schon seit Ewigkeiten nicht mehr direkt auf den Server zugegriffen und ich bin der einzige, der entsprechende Berechtigungen hat (zumindest sollte ich das sein!
).
Meine Frage: Kann es theoretisch sein, daß jemand eine Sicherheitslücke von phpbb ausnutzt, um (ausführbare) Dateien am Filesystem zu erstellen und zu starten? Ist das vielleicht das Symptom eines bereits dokumenterten Bugs? Konnte dahingehend leider nirgends Infos finden.

Wäre Euch für jeden Tipp dankbar!

Gruß,
sw

[PhilippK]

Welche Version von phpBB verwendest du denn? Sind Mods eingebaut?

Gruß, Philipp

[Scheibenwischer]

Verwende 2.0.10 und wollte eben gerade ein paar Updates einspielen.

Mods hab ich auch einige installiert.
-) Easy Mod
-) Attachment Mod
-) Photo Album (smartor)
-) Hierarchy Mod
-) Portal

[PhilippK]

Dann führ mal schleunigst das Update auf 2.0.13 durch, check alle Dateien des Forums (und lösch dabei die von dir genannte Datei).
Zusätzlich würde ich prüfen, ob es weitere Admin-User auf dem Board gibt und ggf. das DB-Passwort ändern.

Gruß, Philipp

[Scheibenwischer]

Danke für die Tipps!
3 Fragen dazu:

-) Was meinst Du mit "alle Dateien des Forums checken"? Sind ja wohl ein bissl viele. Worauf ist da zu achten?

-) Wie kann ich checken, ob es weitere Admin-User gibt? Einfach die Mitgliederliste durchackern und auf den Status schauen oder gibt's da eine einfachere Möglichkeit?

-) Ist es nur registrieren Benutzern möglich irgendwelche kritischen Sicherheitslücken auszunutzen? Oder kann das grundsätzlich jeder?

[BraveEagle]

bei der 10er kann das jeder (Santy Wurm) Ich würde den Admincheck direkt in der DB machen. Dazu einfach die Tabelle "Users" durchschauen und bei user_level darf dann nur bei dir eine 1 stehen. Mods haben ne 2 normale User ne 0

[PhilippK]

-) Was meinst Du mit "alle Dateien des Forums checken"? Sind ja wohl ein bissl viele. Worauf ist da zu achten?

-) Wie kann ich checken, ob es weitere Admin-User gibt? Einfach die Mitgliederliste durchackern und auf den Status schauen oder gibt's da eine einfachere Möglichkeit?

-) Ist es nur registrieren Benutzern möglich irgendwelche kritischen Sicherheitslücken auszunutzen? Oder kann das grundsätzlich jeder?

Zu 1.: schau nach, ob sich Dateien auf dem Server befinden, die nicht zu phpBB gehören. Wenn du keine Mods eingebaut hast, dürfte es das einfachste sein, wenn du alle Dateien außer der config.php löschst (vorher sichern ) und anschließend ein neues phpBB-Paket hochlädst (auch wieder ohne die config.php). Ansonsten dürfte manuelle Arbeit notwendig sein.

Zu 2.: Geh mit phpMyAdmin in die Tabelle phpbb_users und lass dir alle Benutzer mit user_level = 1 anzeigen. Das sind die Admins.

Zu 3.: Das kann - je nach Sicherheitslücke und Boardkonfiguration - jeder.

Gruß, Philipp

[Scheibenwischer]

Herzlichen Dank für die Hilfe!

Noch eine Frage nebenbei:
Gibt es eine Möglichkeit ALLE IP-Adressen mitzuloggen, über die auf das Forum zugegriffen wird? In meinem Forum ist die Userbasis und der Bekanntheitsgrad eher bescheiden, von daher sollte so eine Liste überschaubar sein. Auf diese Weise könnte ich ja dann theoretisch potentielle Unruhestifter zumindest per IP identifiieren, oder?

[BraveEagle]

das müsste normal auch dein Provider dir anbieten (logfiles). Wird dir aber nicht viel bringen. Solche Angriffe sind meißtens von Würmern