phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Trojaner im Category Title

https://www.phpbb.de/community/viewtopic.php?t=153757

Seite 1 von 1

Trojaner im Category Title

Verfasst: 24.08.2007 08:19
von Yenky
Hallo,

ich habe beunruhigende Meldungen der Forennutzer erhalten, dass sie beim Surfen auf mein Forum eine Virusmeldung bekommen.

Nachdem ich das ganze untersucht habe, konnte ich folgende Modifikation feststellen:

An den Category Title eines internen Forums wurde folgende Code gestelllt:

Modifiziert, damits hier keinen Schaden anrichten kann;

Code: Alles auswählen

iframe src= http : // w w w . xxxx.up.htm width=50 height=0></iframe
Jetzt frage ich mich, wie das passieren konnte. Denn wie oben schon gesagt, wurde ein Kategorietitel verändert, der Intern ist.

Nach weiterem forschen, fand ich einen merkwürdigen User, der Adminrechte im Forum besaß.

Ich komme nun nicht umhin, die Schlussfolgerung aufzustellen, daß sich irgendwo ein Bug oder Exploit im Code befindet, der es einem User ermöglicht, Adminrechte zu erlangen.

Leider kann ich nicht nachvollziehen, wie er das gemacht hat.

Als Sofortmaßnahmen habe ich zunächst einmal den Kategorientitel wieder "normalisiert", den komischen User gelöscht, alle weiteren Kategorien überprüft, und CTracker im Forum installiert.

Trotzdem denke ich, sollte das ganze weiter Untersucht werden.

MfG Jens

PS: Die Account aktivierung ist auf Email gestellt.

Verfasst: 24.08.2007 08:37
von Boecki91
Welche phpBB Version verwendest du?
Mods installiert?
Welche
Dann alle Passwörter ändern und und und....

KB:gehackt

Verfasst: 24.08.2007 09:10
von larsneo
Trotzdem denke ich, sollte das ganze weiter Untersucht werden.
jau, und von daher solltest du flugs die logfiles des servers (sowohl access- als auch errorlog) auf verdächtige zugriffe hin untersuchen.
zusätzlich solltest du auf die aktuelle version updaten (was bei phpbb2 PLUS zugegebenermassen vielleicht nicht ganz einfach ist) und auch die generelle sicherheit via z.b. phpsecinfo prüfen und ggfs. optimieren.

Verfasst: 24.08.2007 09:49
von Yenky
Boecki91 hat geschrieben:Welche phpBB Version verwendest du?
Version 2.0.22
Boecki91 hat geschrieben:Mods installiert?
Nein

Verfasst: 24.08.2007 10:16
von larsneo
link zum forum?

Verfasst: 24.08.2007 10:25
von Yenky
Hier der Link

Habe auch den oben genannten Link durchlaufen lassen. Sieht soweit gut aus.

MfG Jens

Verfasst: 24.08.2007 11:05
von Boecki91
Was ist mit dem "DKP System" Das ist nicht von phpBB.

Vielleicht hat da jemand ein Loch gefunden und konnte dann im Forum den Code platzieren.

Edit:
Da sind/waren wohl einioge Löcher drin:
http://www.eqdkp.com/
http://www.eqdkp.com/?p=changelog

Verfasst: 24.08.2007 11:18
von larsneo
ohne analyse der logfiles wird man das wohl nicht herausfinden :roll:

Re: Trojaner im Category Title

Verfasst: 04.10.2007 14:09
von dopppeldecker
Yenky hat geschrieben:An den Category Title eines internen Forums wurde folgende Code gestelllt:

Modifiziert, damits hier keinen Schaden anrichten kann;

Code: Alles auswählen

iframe src= http : // w w w . xxxx.up.htm width=50 height=0></iframe
Wo oder wie genau war der Code denn da angehangen ?? Ich schlage mich gerade selbst mit einem solchen Problm rum...finde aber die Lösung nicht.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de