Hallo,
ist jemanden eine sicherheitslücke in der Privaten Nachrichten Funktion
vom phpBB 2.0.22 bekannt?
Folgendes ist passiert:
Es sind eine große Anzahl an Spam Nachrichten an eine vielzahl von
Usern verschikt wurden. Dieses geschah durch verschiedene Accounts
anderer User die nichts miteinander zu tun haben.
Der Betreff war immer:
Viele Grüße aus "eine Stadt" diese Stadt stand immer im Profiel des Users über den die PM versandt wurden ist.
Sie änderte sich also öfters.
Habe die Serverlogs durchgeschaut und habe festgestellt das jede PM von ein und der selben IP geschikt wurde.
ca 1500 PMs in 1,5 stunden also nicht möglich das das einer manuell gemacht hat.
folgende einträge sind in den serverlogs
"GET /profile.php?mode=viewprofile&u=11870 HTTP/1.1" 200 7968 "http://www.domain.de/memberlist.php?mod ... start=2700" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
"POST privmsg.php HTTP/1.1" 200 6547 "http://www.domain.de/privmsg.php?mode=post&u=11870" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322
"GET /privmsg.php?mode=post&u=11870 HTTP/1.1" 200 11432 "http://www.domain.de/profile.php?mode=v ... le&u=11870" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
solche einträge wiederholen sich bei allen möglichen user id's
und immer die selbe ip adresse.
die frage ist nur wie hat er es geschaft den login zu umgehen zum PM verschiken ...
mfg
doggo
Sicherheitslücke in phpBB 2.0.22 ?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Hallo punkface
also ein spam boot war es nicht aber änlich nach nun eingehender recherche.
es ist auch keine sicherheitslücke sondern einfach eine geplante
durchdachte spamattacke einer firma aus deutschland. (konkurenzseite)
also es wurden 5 accounts benutzt
3 von diesen accounts haben bereits ein paar sinnvolle beiträge geschrieben und sind seit knapp 3 monaten aktive.
2 sind ganz neu angemeldet.
obwohl alle 5 user angeblich aus unterschiedlichen regionen stammen in deutschland konnte ich feststellen das auch die 3 die schon geschrieben haben alle öfters mit der gleichen ip von der telekom geschrieben haben die immer wieder aus dem raum köln kommen.
die telekom hat zwar dynamische ip adressen aber sie nutzt bestimmte adressen für bestimmte regionale bereiche.
gestern haben sich dann alle 5 accounts mit der gleichen ip eingeloggt und dann ging die spamattacke los mit vermutlich einen botsscript da so viele pm's nicht in so kurzer zeit manuell geschrieben werden können.
wie gesagt alle zugriffe kommen aus der region köln und die seite für die geworben wird ist eine kommerzielle seite die ihren sitz in köln hat.
ich werde auf jeden fall versuchen den urheber habhaft zu werden und
bin bereits mit der kripo hier am reden.
in wie weit es eine straftat ist kann man noch nicht sagen aber auf jeden fall wollen die die verbindungsdaten sichern. so das selbst wenn nichts strafrechtliches vorliegt ich eventuell eine unterlassungsklage führen kann.
wie und ob das alles klapt muss man schauen .. auf jeden fall halte ich solch ein vorgehen nur um werbung für seine seite zu machen für das
allerletzte.
aber ein gutes hat es .. es gibt keine sicherheitslücke.
mfg
doggo
also ein spam boot war es nicht aber änlich nach nun eingehender recherche.
es ist auch keine sicherheitslücke sondern einfach eine geplante
durchdachte spamattacke einer firma aus deutschland. (konkurenzseite)
also es wurden 5 accounts benutzt
3 von diesen accounts haben bereits ein paar sinnvolle beiträge geschrieben und sind seit knapp 3 monaten aktive.
2 sind ganz neu angemeldet.
obwohl alle 5 user angeblich aus unterschiedlichen regionen stammen in deutschland konnte ich feststellen das auch die 3 die schon geschrieben haben alle öfters mit der gleichen ip von der telekom geschrieben haben die immer wieder aus dem raum köln kommen.
die telekom hat zwar dynamische ip adressen aber sie nutzt bestimmte adressen für bestimmte regionale bereiche.
gestern haben sich dann alle 5 accounts mit der gleichen ip eingeloggt und dann ging die spamattacke los mit vermutlich einen botsscript da so viele pm's nicht in so kurzer zeit manuell geschrieben werden können.
wie gesagt alle zugriffe kommen aus der region köln und die seite für die geworben wird ist eine kommerzielle seite die ihren sitz in köln hat.
ich werde auf jeden fall versuchen den urheber habhaft zu werden und
bin bereits mit der kripo hier am reden.
in wie weit es eine straftat ist kann man noch nicht sagen aber auf jeden fall wollen die die verbindungsdaten sichern. so das selbst wenn nichts strafrechtliches vorliegt ich eventuell eine unterlassungsklage führen kann.
wie und ob das alles klapt muss man schauen .. auf jeden fall halte ich solch ein vorgehen nur um werbung für seine seite zu machen für das
allerletzte.
aber ein gutes hat es .. es gibt keine sicherheitslücke.
mfg
doggo
