phpBB.de

Hallo Leute,

haben gerade einen Anruf von unserem Provider bekommen, dass unser Forum http://forum.skoliose-op.info zum massenhaften Versenden von Spammails missbraucht wird.

Zwei der Dateien die beim Provider aufgefallen sind, sind z.B. die phpBB/includes/functions_portal.php und die phpBB/var_cache/mass.php. Es können auch noch andere betroffen sein.

Bin nun ziemlich ratlos, was ich machen kann um keine Spammails vom Forum versenden zu lassen. Es ist aber definitiv keiner der registrierten User, von dem die Mails kommen. Scheinen irgendwelche Hacker zu sein.

Update auf 2.0.0.23 habe ich am letzten WE gemacht.

Es wäre ganz hilfreich, wenn du die betroffenen Dateien auch noch verlinken (KB:datei) könntest.

Sorry, hatte ich vergessen.

mass.php

functions_portal.php

Ps: Wie bekomme ich heraus, welche Dateien noch betroffen sind, bzw. wo die Sicherheitslücke sein kann.

Gruß
Carsten

Verwendest du die mass.php überhaupt? Das sieht mir nämlich nach einer ziemlichen Spamschleuder aus. Wenn du sie sowieso nicht brauchst, würde ich sie einfach löschen, ansonsten zumindest vorerst per .htaccess absichern und dir langfristig ein besseres Script dafür suchen. Am besten sollte dieses in das phpBB eingebunden sein, damit du die Verwendung von außen unterbinden kannst (zum Beispiel als ACP-Modul).

Wo ist die Sicherheitslücke

http://www.securityfocus.com/bid/19979/info - und darüber vielleicht dann die mass.php als mail-knecht eingeschleust. auf jeden fall solltest du dir über die sicherheit der verbauten mods gedanken machen - eine gute php-konfiguration (tipp: phpsecinfo zur analyse) kann zusätzlich helfen.

S2B hat geschrieben:Verwendest du die mass.php überhaupt? Das sieht mir nämlich nach einer ziemlichen Spamschleuder aus. Wenn du sie sowieso nicht brauchst, würde ich sie einfach löschen, ansonsten zumindest vorerst per .htaccess absichern und dir langfristig ein besseres Script dafür suchen. Am besten sollte dieses in das phpBB eingebunden sein, damit du die Verwendung von außen unterbinden kannst (zum Beispiel als ACP-Modul).

Habe die mass.php erst mal vom Server genommen. Weiß leider nicht genau wofür sie überhaupt zuständig ist. Falls es mit Massenmail zu tun hat; diese versenden wir ca. 2 mal jährlich. Könnte die mass.php dann temporär hochladen und hinterher wieder löschen.

Für den Rest: ???

larsneo hat geschrieben:

Wo ist die Sicherheitslücke

http://www.securityfocus.com/bid/19979/info - und darüber vielleicht dann die mass.php als mail-knecht eingeschleust. auf jeden fall solltest du dir über die sicherheit der verbauten mods gedanken machen - eine gute php-konfiguration (tipp: phpsecinfo zur analyse) kann zusätzlich helfen.

Was die Mods betrifft, kann ich höchstens mal sehen, ob es Updates gibt.

Mit dem Rest kann ich nicht viel anfangen, schicke dir aus Sicherheitsgründen den Link von phpsec im Forum mal als PN. Vielleicht kannst du mir dann ja sagen, was ich tun kann.

Gruß
Carsten

zumindestens das mod rund um functions_portal.php ist schrott und hat höchstwahrscheinlich noch weitere probleme - insbesondere falls register_globals=on (aber das sollte eigentlich auch jeder halbwegs brauchbare provider grundsätzlich auf 'off' setzen...)

http://www.integramod.com/forum/viewtopic.php?t=1432

für die functions_portal.php