[erledigt] Wo ist die Sicherheitslücke?

the-boar · Beitrag von **the-boar** » 06.03.2008 18:54

Hallo Leute,

haben gerade einen Anruf von unserem Provider bekommen, dass unser Forum http://forum.skoliose-op.info zum massenhaften Versenden von Spammails missbraucht wird.

Zwei der Dateien die beim Provider aufgefallen sind, sind z.B. die phpBB/includes/functions_portal.php und die phpBB/var_cache/mass.php. Es können auch noch andere betroffen sein.

Bin nun ziemlich ratlos, was ich machen kann um keine Spammails vom Forum versenden zu lassen. Es ist aber definitiv keiner der registrierten User, von dem die Mails kommen. Scheinen irgendwelche Hacker zu sein.

Update auf 2.0.0.23 habe ich am letzten WE gemacht.

Beitrag von **S2B** » 06.03.2008 21:44

Es wäre ganz hilfreich, wenn du die betroffenen Dateien auch noch verlinken (KB:datei) könntest.

the-boar · Beitrag von **the-boar** » 06.03.2008 22:04

Sorry, hatte ich vergessen.

mass.php

functions_portal.php

Ps: Wie bekomme ich heraus, welche Dateien noch betroffen sind, bzw. wo die Sicherheitslücke sein kann.

Gruß
Carsten

Beitrag von **S2B** » 06.03.2008 22:40

Verwendest du die mass.php überhaupt? Das sieht mir nämlich nach einer ziemlichen Spamschleuder aus. Wenn du sie sowieso nicht brauchst, würde ich sie einfach löschen, ansonsten zumindest vorerst per .htaccess absichern und dir langfristig ein besseres Script dafür suchen. Am besten sollte dieses in das phpBB eingebunden sein, damit du die Verwendung von außen unterbinden kannst (zum Beispiel als ACP-Modul).

larsneo · Beitrag von **larsneo** » 07.03.2008 12:46

Wo ist die Sicherheitslücke

http://www.securityfocus.com/bid/19979/info - und darüber vielleicht dann die mass.php als mail-knecht eingeschleust. auf jeden fall solltest du dir über die sicherheit der verbauten mods gedanken machen - eine gute php-konfiguration (tipp: phpsecinfo zur analyse) kann zusätzlich helfen.

the-boar · Beitrag von **the-boar** » 07.03.2008 14:15

S2B hat geschrieben:Verwendest du die mass.php überhaupt? Das sieht mir nämlich nach einer ziemlichen Spamschleuder aus. Wenn du sie sowieso nicht brauchst, würde ich sie einfach löschen, ansonsten zumindest vorerst per .htaccess absichern und dir langfristig ein besseres Script dafür suchen. Am besten sollte dieses in das phpBB eingebunden sein, damit du die Verwendung von außen unterbinden kannst (zum Beispiel als ACP-Modul).

Habe die mass.php erst mal vom Server genommen. Weiß leider nicht genau wofür sie überhaupt zuständig ist. Falls es mit Massenmail zu tun hat; diese versenden wir ca. 2 mal jährlich. Könnte die mass.php dann temporär hochladen und hinterher wieder löschen.

Für den Rest: ???

the-boar · Beitrag von **the-boar** » 07.03.2008 14:19

larsneo hat geschrieben:
Wo ist die Sicherheitslücke
http://www.securityfocus.com/bid/19979/info - und darüber vielleicht dann die mass.php als mail-knecht eingeschleust. auf jeden fall solltest du dir über die sicherheit der verbauten mods gedanken machen - eine gute php-konfiguration (tipp: phpsecinfo zur analyse) kann zusätzlich helfen.

Was die Mods betrifft, kann ich höchstens mal sehen, ob es Updates gibt.

Mit dem Rest kann ich nicht viel anfangen, schicke dir aus Sicherheitsgründen den Link von phpsec im Forum mal als PN. Vielleicht kannst du mir dann ja sagen, was ich tun kann.

Gruß
Carsten

larsneo · Beitrag von **larsneo** » 07.03.2008 16:49

zumindestens das mod rund um functions_portal.php ist schrott und hat höchstwahrscheinlich noch weitere probleme - insbesondere falls register_globals=on (aber das sollte eigentlich auch jeder halbwegs brauchbare provider grundsätzlich auf 'off' setzen...)

John Doe · Beitrag von **John Doe** » 07.03.2008 21:38

http://www.integramod.com/forum/viewtopic.php?t=1432

für die functions_portal.php