phpBB.de

Hallo,

wie heute auf heise geschrieben wurde, werde wohl phpbb Foren an gegriffen, siehe Heise-News

McAfee berichtet unterdessen von Massenhacks, bei denen Angreifer statt eines IFrames ein JavaScript in Seiten einbetten. Der Blogeintrag des Herstellers von Antivirenprodukten lässt aber offen wie die Angreifer das JavaScript in die Seiten injizieren. Allerdings soll es sich bei den manipulierten Seiten in der Mehrzahl um Seiten handeln, die auf phpBB beruhen. Seit dem Beginn der Attacken vor über einer Woche seien fast 200.000 Seiten kompromittiert worden. Dazu würden seit wenigen Tagen auch Seiten mit Active Server Pages (ASP) angegriffen, um deren Besucher zu infizieren.

Kann dazu jemand was sagen?

Darkmann

Vermutlich werden die Attacken auf ältere php Version gestartet, aus dem Text lässt sich nicht herraus lesen ob es ein Loch in einer aktuellen Version ist oder nicht. Ebenso werden auch ASP Anwendungen angegriffen.

Aber solange keine weiteren Infos darüber bekannt werden kann man nur Raten

Wenn man mal schaut, wieviele Foren noch auf phpBB2.0.4 oder so laufen, dann wird einem echt schwindelig.
Es verwundert nicht, dass viele dieser Boards bereits gehackt wurden.

...dabei gibt es doch so viele Dienstleister, die gerne auch zum Festpreis Updates fahren. Vielleicht sind sich die Webmaster dieser Foren nicht der Lage bewußt, das ein veraltetes System nicht nur die Daten des Forums sondern auch andere Anwendungen betreffen kann.

Ich frage mich auch, seitdem ich die Meldung geselen habe, worauf sich heise da bezieht...

Balint hat geschrieben:...dabei gibt es doch so viele Dienstleister, die gerne auch zum Festpreis Updates fahren. Vielleicht sind sich die Webmaster dieser Foren nicht der Lage bewußt, das ein veraltetes System nicht nur die Daten des Forums sondern auch andere Anwendungen betreffen kann.

Manche Forenbetreiber (von Admins kann man hier ja nicht sprechen) installieren sich einfach das Forum (häufig geht es auch mit einem einfachen Mausklick und man hat sein eigenständiges Forum lauffähig auf dem Webspace), kümmern sich dann aber nicht mehr um das System.
"Läuft doch, warum soll ich dann ein Update einspielen? Mir reichen die Funktionen."
Dass die Updates Sicherheitslücken schließen wissen viele nicht oder denken sich
"... mein Forum ist so klein und unbedeutend, da wird sich kein Hacker für interessieren."
Dass deren Server dann aber als SPAM-Schleuder oder Zombie für DDoS-Attacken dient kommt ihnen gar nicht erst in den Sinn.

Balint hat geschrieben:Ich frage mich auch, seitdem ich die Meldung geselen habe, worauf sich heise da bezieht...

Schreib doch einfach an Heise und frage mal nach, vielleicht bekommst du ja eine Antwort.

die injektion habe ich in der jüngeren vergangenheit des öfteren bei plain-phpbb und insbesondere in cms integrierten phpbb-modifikation gesehen und analysiert - letztendlich basierend auf einer recht alten code-injektion im adminbereich wird eine shell aufgesetzt über die dann entweder css-dateien oder aber templates um das iframe erweitert werden.

letztendlich basieren aber alle hacks die ich genauer angeschaut habe auf der kombination ungepatchtes phpbb und schlechte serverkonfiguration - ersteres hat jeder verantwortungsvolle webmaster ja selber in der hand, bei letzterem ist oftmals der provider gefordert. tools ala phpsecinfo können aber helfen das bewusstsein um das thema sicherheit zu schärfen...