Sicherheitslücke in phpbb (cache ordner) ? ? ?

greezie · Beitrag von **greezie** » 22.12.2007 11:36

Hallo,

erstmal das lesen:

Hallo Herr/Frau XXXXXXX,

leider musste ich soeben feststellen das Ihre verwendeten PHP Scripte es Angreifern erlaubt Dateien auf Ihren Webspace zu laden, diese werden dann für Spam und Phishing missbraucht.

Die betroffenen Seiten befinden sich unter:
http://www.ajm-online.com/cache/a.php

Ich habe diese bereits abgeschaltet.

Wegen erneuten Wiederholungsfall mussten wir diesmal den gesamten Ordner "cache" per CHMOD 700 sperren, was unter Umständen einen Teil Ihrer Webseite nicht mehr richtigen arbeiten lässt.

Sie müssen aber bevor Sie den Ordner wieder freigeben Ihre Software auf den neuesten Stand der Versionen bringen, da wir weitere solche Spamattacken die über Ihre unsicheren eingesetzten Scripte nicht dulden können.

Mit freundlichen Grüßen
Oliver Händel
Support Team

Meine Phpbb Version ist 2.0.22 (also up2date)

Was ist der Fehler?

gsxfan · Beitrag von **gsxfan** » 22.12.2007 12:22

Hallo.

Was macht denn das Script a.php?
Anscheinend hast Du eine htaccess-Datei in Deinem Cache-Verzeichnis, der Zugriff ist jedenfalls nicht erlaubt. Oder ist die neu? Wenn nicht, dann war wohl der Zugriff auf das Script trotzdem möglich.

Schon mal reingeschaut? Wie mache ich mein Board sicher.

Uwe

UGC · Beitrag von **UGC** » 22.12.2007 12:38

Ich glaube, das is einfach irgend ne spammail.
Woher sollen die denn dein Forum sperren können, bzw. einen Ordner sperren?
Denen gehört ja nich mal die Homepage.

Oder kam diese Mail von deinem Anbieter?
Ansosnten nicht auf den Link klciken und gut is

greezie · Beitrag von **greezie** » 22.12.2007 15:38

kam vom anbieter. ist keine spammail

Beitrag von **Boecki91** » 22.12.2007 19:07

KB:gehackt
KB:sicher

Welche Mods waren installiert?

Beitrag von **cYbercOsmOnauT** » 22.12.2007 21:53

UGC hat geschrieben:Ich glaube, das is einfach irgend ne spammail.

Behaupte nichts, ohne zu wissen, was Du sagst.

On Topic: Der Cache ist keine Sicherheitslücke. Jedoch ist es eines der wenigen Ordner, bei denen CHMOD 777 gesetzt ist und somit "jeder" dort Schreib-/Lese-Zugriff hat.

Der Hacker hat eine Lücke von irgendeinem Deiner Scripte verwendet und hat mittels dieser Lücke in den Ordner Cache sein Backdoor-Script (a.php) hochgeladen.

Das Script zu löschen bekämpft nicht die Ursache. Bevor Du es löschst, schau auf das Dateidatum um zu sehen, wann es hochgeladen wurde. Dieses Wissen kannst Du nutzen um wiederum in Deinem access.log nachzusehen wer da was "verbockt" hat.

Ne Menge Arbeit wartet da auf Dich. Jedenfalls ist es zu 99.99% sicher, dass Du zwar 2.0.22 verwendest, aber dies in der modifizierten Version. Oder aber andere PHP-Scripte noch laufen hast, die eine Lücke aufweisen.

Grüße,
Tekin