Seite 1 von 1
Sicherheitslücke in phpbb (cache ordner) ? ? ?
Verfasst: 22.12.2007 11:36
von greezie
Hallo,
erstmal das lesen:
Hallo Herr/Frau XXXXXXX,
leider musste ich soeben feststellen das Ihre verwendeten PHP Scripte es Angreifern erlaubt Dateien auf Ihren Webspace zu laden, diese werden dann für Spam und Phishing missbraucht.
Die betroffenen Seiten befinden sich unter:
http://www.ajm-online.com/cache/a.php
Ich habe diese bereits abgeschaltet.
Wegen erneuten Wiederholungsfall mussten wir diesmal den gesamten Ordner "cache" per CHMOD 700 sperren, was unter Umständen einen Teil Ihrer Webseite nicht mehr richtigen arbeiten lässt.
Sie müssen aber bevor Sie den Ordner wieder freigeben Ihre Software auf den neuesten Stand der Versionen bringen, da wir weitere solche Spamattacken die über Ihre unsicheren eingesetzten Scripte nicht dulden können.
Mit freundlichen Grüßen
Oliver Händel
Support Team
Meine Phpbb Version ist 2.0.22 (also up2date)
Was ist der Fehler?
Verfasst: 22.12.2007 12:22
von gsxfan
Hallo.
Was macht denn das Script a.php?
Anscheinend hast Du eine htaccess-Datei in Deinem Cache-Verzeichnis, der Zugriff ist jedenfalls nicht erlaubt. Oder ist die neu? Wenn nicht, dann war wohl der Zugriff auf das Script trotzdem möglich.
Schon mal reingeschaut? Wie mache ich mein Board sicher.
Uwe
Verfasst: 22.12.2007 12:38
von UGC
Ich glaube, das is einfach irgend ne spammail.
Woher sollen die denn dein Forum sperren können, bzw. einen Ordner sperren?
Denen gehört ja nich mal die Homepage.
Oder kam diese Mail von deinem Anbieter?
Ansosnten nicht auf den Link klciken und gut is
Verfasst: 22.12.2007 15:38
von greezie
kam vom anbieter. ist keine spammail
Verfasst: 22.12.2007 19:07
von Boecki91
KB:gehackt
KB:sicher
Welche Mods waren installiert?
Verfasst: 22.12.2007 21:53
von cYbercOsmOnauT
UGC hat geschrieben:Ich glaube, das is einfach irgend ne spammail.
Behaupte nichts, ohne zu wissen, was Du sagst.
On Topic: Der Cache ist keine Sicherheitslücke. Jedoch ist es eines der wenigen Ordner, bei denen CHMOD 777 gesetzt ist und somit "jeder" dort Schreib-/Lese-Zugriff hat.
Der Hacker hat eine Lücke von irgendeinem Deiner Scripte verwendet und hat mittels dieser Lücke in den Ordner Cache sein Backdoor-Script (a.php) hochgeladen.
Das Script zu löschen bekämpft nicht die Ursache. Bevor Du es löschst, schau auf das Dateidatum um zu sehen, wann es hochgeladen wurde. Dieses Wissen kannst Du nutzen um wiederum in Deinem access.log nachzusehen wer da was "verbockt" hat.
Ne Menge Arbeit wartet da auf Dich. Jedenfalls ist es zu 99.99% sicher, dass Du zwar 2.0.22 verwendest, aber dies in der modifizierten Version. Oder aber andere PHP-Scripte noch laufen hast, die eine Lücke aufweisen.
Grüße,
Tekin