Wie kommt der anonyme Admin "p1c2u" auf mein Board

smart · Beitrag von **smart** » 11.04.2005 11:15

Hilfe!
Habe mich gerade ziemlich erschrocken: Ich hatte einen neuen User, der "p1c2u" hieß. Kam mir komisch vor. Also habe ich einmal sein Profil angeklickt - und da stand ADMIN!!! Habe dann alle Angaben überprüft - sein Account war aktiviert, obwohl keine eMail-Adresse angegeben ist. Er hatte 94 Beiträge geschrieben (von denen aber nicht einer gefunden wird, wenn ich "Alle Beiträge anzeigen" anklicke. Und er hat nichts im Forum verändert - soweit ich das auf den ersten Blick erkennen kann. Habe ihn jetzt vorsichtshalber erst einmal noch nicht gelöscht, aber von Admin auf User umgestellt und "deaktiviert", damit ihr euch eventuell selbst davon überzeugen könnt:

direkt zum Forum

Bin über jeden Tipp dankbar, was das wieder einmal war. Mein Admin-Ordner ist per .htaccess geschützt!

Beitrag von **mad-manne** » 11.04.2005 11:23

Basiert denn dein Board auf einer 2.0.13er Erstinstallation oder hast du eine alte Version in letzter Zeit geupdated?

Wenn zweiteres der Fall ist: Lies mal diesen Artikel

Gruss,
Manne.

larsneo · Beitrag von **larsneo** » 11.04.2005 11:36

vielleicht solltest du einmal den einsatz des upload-skriptes überdenken

kontrolliere das entsprechende verzeichnis...

Beitrag von **mad-manne** » 11.04.2005 11:43

larsneo hat geschrieben:vielleicht solltest du einmal den einsatz des upload-skriptes überdenken
kontrolliere das entsprechende verzeichnis...

ABER UNBEDINGT !!!
Das ist eine riessengrosse Sicherheitslücke!

Schnell wegmachen dieses Upload-Skript und alles was dadurch hochgeladen wurde!! (Aber vorher ein Backup aller hocgeladenen dateien erstellen, zwecks späterer Fehleranalyse!)

Gruss,
Manne.

smart · Beitrag von **smart** » 11.04.2005 12:16

mad-manne hat geschrieben:
larsneo hat geschrieben:vielleicht solltest du einmal den einsatz des upload-skriptes überdenken
kontrolliere das entsprechende verzeichnis...
ABER UNBEDINGT !!!
Das ist eine riessengrosse Sicherheitslücke!

Schnell wegmachen dieses Upload-Skript und alles was dadurch hochgeladen wurde!! (Aber vorher ein Backup aller hocgeladenen dateien erstellen, zwecks späterer Fehleranalyse!)

Gruss,
Manne.

So ein Mist - ich brauche dieses Skript...

Habe es jetzt deaktiviert, alle Dateien im Upload-Ordner überprüft und nur JPEGs und GIFs dringelassen. Meint ihr, das ist okay so? Und: Soll ich den User löschen?

larsneo · Beitrag von **larsneo** » 11.04.2005 12:24

So ein Mist - ich brauche dieses Skript... Habe es jetzt deaktiviert, alle Dateien im Upload-Ordner überprüft und nur JPEGs und GIFs dringelassen. Meint ihr, das ist okay so? Und: Soll ich den User löschen?

'sichere' upload-skripte zählen definitiv zu den eher schwer umzusetzenden aufgaben (selbst im phpbb-core gab es beim avatar-upload ja bereits die ein oder andere schwachstelle).
solange du nicht wirklich sicherstellst, dass nur erlaubte dateitypen (und insbesondere auch erlaubte inhalte) auf deinen webspace gestellt werden solltest du auf diese funktionalität verzichten.

ich würde als erstes einmal empfehlen, die *.php skripte auszuwerten und dann anhand des serverlogfiles die zugriffe darauf zu analysieren (einer ist sicherlich von mir

) - erst danach kann man weitere schritte angehen (vielleicht hat der 'angreifer' ja nur einen bestehenden account umbenamt - er kannst sich aber zugriff zur datenbank oder die config.php informationen verschafft haben)

smart · Beitrag von **smart** » 11.04.2005 12:54

Habe gerade einmal spaßeshalber "p1c2u" bei Google eingegeben - man landet auf lauter polnischen Seiten. Kann zwar kein Polnisch, aber "Hack" verstehe ich...

Beitrag von **mad-manne** » 11.04.2005 13:15

larsneo hat geschrieben:ich würde als erstes einmal empfehlen, die *.php skripte auszuwerten und dann anhand des serverlogfiles die zugriffe darauf zu analysieren (einer ist sicherlich von mir )

Folgende zwei waren von mir ...

upload-online.php Erster Versuch mit falschem $phpbb_root_path
upload-online2.php Zweiter Versuch mit korrektem $phpbb_root_path

Beide Skipte waren unveränderte Kopien des viewonline.php Skripts, also auch ohne Schadroutine

--> Wollt' es einfach mal testen, um die von larsneo gefundene Lücke in Augenschein zu nehmen.

Ansonsten .. wie larsneo schon gesagt hat: Alles mal analysieren, und vorerst auf dieses Skript verzichten.
Hier nochmal der Link zum Artikel: Mein Forum wurde gecrackt - was nun?

Wie wär's denn mit dem Attachment-MOD?

Gruss,
Manne.

smart · Beitrag von **smart** » 11.04.2005 13:16

larsneo hat geschrieben:
ich würde als erstes einmal empfehlen, die *.php skripte auszuwerten und dann anhand des serverlogfiles die zugriffe darauf zu analysieren (einer ist sicherlich von mir ) - erst danach kann man weitere schritte angehen (vielleicht hat der 'angreifer' ja nur einen bestehenden account umbenamt - er kannst sich aber zugriff zur datenbank oder die config.php informationen verschafft haben)

Ich war natürlich so schlau, den Inhalt des Uplad-Ordners vorher nicht zu sichern. Trotzdem sehe ich nun einen Wahnsinn an Zugriffen auf den Upload-Ordner in den Logfiles. Da scheint ein ganzes Template installiert gewesen zu sein, eine redirect vom normalen Forum, ... Ich will gar nicht weiter reden, macht mir Angst!

Zumindest sind all diese Zugriffe von viertel vor 12 bis 12 Uhr erfolgt - ich scheine den Idioten also überrascht zu haben. Hat es einen Sinn, wenn ich ihn anzeige? Er hat ja nichts gemacht...

smart · Beitrag von **smart** » 11.04.2005 13:36

Bin der Sache schon wieder etwas näher gekommen:

Der Typ hat bei Google gezielt nach dem Upload-Skript gesucht. Ich habe in den Logs den Suchbegriff: "allinurl:/phpbb2/up.php" gefunden, diesen selbst einmal bei Google gesucht - und bin bei mir gelandet. Glückwunsch! Hatte mir so etwas damals bei der Installation des MODs sogar gedacht - und den Entwickler angemailt. "Nee, keine Sorge, der ist sicher", hieß es. Und ich Blödmann hab's geglaubt, weil ich's nicht besser wusste. So ein Scheiß!