Spammen über PHPBB - index.php (v 2.0.21)

[Slayerwarp]

hallo,

ich durfte mich heute über folgende mail von meinem Hoster erfreuen:

Hallo Herr *****

soeben wurden Spammails von Ihrem Account aus verschickt, dies erfolgte durch die Übergabe eines externen Scriptes an Ihre index.php

http://www.*****.***/main.php?site=http://www.geocities.com/<spam-dir>/<Spam-txt>


Um erneuten Spam zu vermeiden wurde in Ihrem Startverzeichnis die .htaccess um folgendes erweitert, das die Übergeben von externen Links an sämtliche Dateien verhindert:


RewriteCond %{QUERY_STRING} (.*)=http(.*) [NC]
RewriteRule ^(.*) - [F]


Mit freundlichen Grüßen

wenn ein Entwickler den ganzen Pfad braucht, bitte um eine PM, da ich ja nicht will dass ich eine aufs Dach bekomme, weil ich spam urls poste *g*
(das spammerfile hab ich mir auch geladen, falls es zwischenzeitlich verschwinden sollte, komischerweise lag das in plaintext auf....)

Nun wie geschrieben hab ich schon auf die v 2.0.21 upgedatet, das admin Verzeichnis auch mit einer Passwort - .htaccess vermint, und die install-dirs gibts auch nimmer.

Nun bis auf das mit den zusatzeinträgen weiß ich nicht was ich am Forum machen soll damit sowas nimmer vor kommt.

lg Martin

[cYbercOsmOnauT]

Hallo Martin,

erst einmal möchte ich etwas klarstellen:

Deine Attacke ging nicht über die index.php vom phpBB, sondern von irgendeiner main.php von irgendeinem Mod den Du scheinbar eingebaut hast. Denn auch die Variable 'site' ist kein Bestandteil der index.php von phpBB.

Das was Du erlebt hast kennt man unter den Namen 'Remote Code Injection'. Solche Attacken funktionieren nur, wenn register_globals aktiv ist. Frag Deinen Hoster mal lieber, wie Du dies abstellen kannst.

Viele Grüße,
Tekin

P.S.: Der Ansatz Deines Hosters ist auch sehr interessant und nützlich für Leute, die nicht per .htaccess einfach die globals abstellen können. Ich werde ihn mir merken.

[Slayerwarp]

naja, ich hab meinen foren Ordner durchsucht (den ich als Backup kopiert habe) und 0 ergebnisse auf eine main.php bekommen (natürlich rekursiv gesucht)
auch in dem File: index.php hab ich den String: main.php nicht gefunden..

Das wird jetz doch misteriös...

Das die Mail von meinem Hoster kein Fake ist haben die 6500 Spam-Bounces / Mail Delayed in meinem Mailprogramm bestätigt...

[cYbercOsmOnauT]

Dann haben die wohl ein anderes Script ausgenutzt. Die Accesslogs zeigen ja auch Zugriffe auf Scripte, die auf Deiner Domain nicht existieren, aber der Angreifer versucht hat anzusprechen. Such mal weiter in Deinen Accesslogs nach der echten Attacke.

[larsneo]

ich durfte mich heute über folgende mail von meinem Hoster erfreuen:
[...]

mich amüsiert (besser gesagt verwundert) eher der lösungansatz des providers, der anstatt das problem zu beheben eine (von vielen) injection-möglichkeiten versucht zu beheben (anstatt z.b. restriktiv allow_url_fopen auf 'off' bzw. suhosin einzusetzen).

fakt scheint auf jeden fall zu sein, dass du einen spamzombie hast - und da sollte man schnellstens analysieren, wo das eigentliche problem liegt - mit anderen worten: logs (sowohl access als auch error) komplett auswerten und ggfs. noch einmal mit dem provider sprechen was er für anhaltspunkte hat.

btw: register_globals ist hoffentlich wenigstens auf 'off' gesetzt, oder?

[cYbercOsmOnauT]

btw: register_globals ist hoffentlich wenigstens auf 'off' gesetzt, oder?

Beim Angriff selber wie es scheint nicht.. vielleicht hat er es ja jetzt getan.

Falls nicht, hier eine kurze Anleitung. Folgende Zeile in die .htaccess im Domain Root reinschreiben:

Code: Alles auswählen

php_flag register_globals off

Sollte Dein Server das nicht zulassen, wirst Du ab dann nur noch HTTP 500 sehen. Dann musst Du diese Zeile wieder entfernen und umgehend mit Deinem Hoster telefonieren, damit die es von sich aus abstellen.