Trojanerpoblem - Sicherheitslücken in phpBB?

[Yaize]

Hallo liebe Community und Mods.

Ich nutze phpBB3 für ein privates Rollenspielforum, das unter folgender Adresse erreichbar ist:
http://www.widerstand-forum.de

Seit einiger Zeit haben wir immer wieder ein Problem mit Trojanern, die die Dateien des Forums infizieren, das heißt konkret es wird fremder Code in die .htm-Dateien einiger Ordner eingefügt (Java Script). Teilweise waren wir schon auf Grund von Malware auf Googles Roter Liste. Ich habe so ziemlich alle Maßnahmen unternommen die mir von unterschiedlichen Stellen empfohlen wurden um dieser Problematik Herr zu werden, habe letztendlich sogar den Webspace-Anbieter (Hetzner, kostenpflichtiger Webspace) kontaktiert. Dieser meinte er könne nicht helfen, so lange wir die beschädigten Dateien jedes Mal wenn sie infiziert sind wieder mit sauberen Backup-Dateien austauschen. Nichts tun und auf den Support warten mag ich eigentlich auch nicht unbedingt, dann müsste ich das Forum sperren (was nicht mehr geht, weil der gesamte Adminbereich bei Infektion leer ist) und würde womöglich Nutzer verlieren.

Eins hat mir der Webspace-Anbieter allerdings auch mitgeteilt, das möchte ich mal hier zitieren:

"Allerdings kann ich schwer vermuten, dass das Problem in phpBB liegt -
Erfahrungsgemäß hat dieses System einige Sicherheitslücken."

Nun hoffe ich hier vielleicht Hilfe zu finden. Um meinem Webspace-Anbieter das Problem darzulegen habe ich alles mal in Screenshots detailliert festgehalten, den Script-Code selbst herausgefischt, was wir jedes Mal temporär tun um das Forum wieder zum Laufen zu bringen und was allgemein schon unternommen wurde. Das PDF in dem ich das festgehalten habe befindet sich hier:
http://schneedorn.info/fehlerproblematik.pdf

Es ist im übrigen jedes Mal ein anderer Scriptcode und/oder Trojaner, der mir von meinem Avira Antivirus angezeigt wird wenn ich die infizierten Dateien downloade und von der Software scannen und bereinigen lasse.

Weiß irgendjemand Rat? Ich weiß nicht mehr, was ich noch tun kann und bin eigentlich kurz davor, auf einem anderen Webspace mit einer neuen Forensoftware von vorne anzufangen, ich werde diese andauernd immer wieder neuen Infektionen nicht mehr los. =/

Hilfe...

[Gast230305]

Les dir mal diese Artikel durch:

KB:gehackt
KB:36

Gruß Sonic

[modernist]

"Allerdings kann ich schwer vermuten, dass das Problem in phpBB liegt -Erfahrungsgemäß hat dieses System einige Sicherheitslücken."

Ah ja, welche Erfahrungen da wohl jemand von Hetzner hat.
phpbb selbst ist relativ sicher, Lücken können sich vor allem durch den Einbau von Modifikationen (und hier besonders nicht validierten) ergeben.

Wahrscheinlicher scheint mir, daß dein Computer infiziert ist und sich der Schädling infolgedessen auch auf deinem Webspace ausgebreitet hat.

dann müsste ich das Forum sperren (was nicht mehr geht, weil der gesamte Adminbereich bei Infektion leer ist) und würde womöglich Nutzer verlieren.

Dein Forum solltest du unbedingt deaktivieren, allein schon aus Verantwortung gegenüber Besuchern und Mitgliedern. Das bekanntermaßen verseuchte Forum weiterhin öffentlich zugänglich zu lassen, ist meiner Meinung nach unverantwortlich.

[Dr.Death]

Das Problem bei einen immer wieder verseuchtem phpBB Forum ist zu 98% der PC, der FTP Zugang zum besagten Forum hat.
Es gibt leider diverse Trojaner, die die lokalen phpBB Installationdateien/Sicherheitskopien usw. befällt und bei einer FTP Verbindung die modifizierten Dateien ganz einfach hochlädt.

Der Verursacher ist daher der eigene PC der FTP Zugang zum Webspace hat.

[Yaize]

Ah ja, welche Erfahrungen da wohl jemand von Hetzner hat.
phpbb selbst ist relativ sicher, Lücken können sich vor allem durch den Einbau von Modifikationen (und hier besonders nicht validierten) ergeben.

Ich gebe zu ich verwende einige Mods, allerdings nur welche, die ich auch auf phpbb.de gefunden habe. Gibt es hier denn welche die bedenklich sind?

Wahrscheinlicher scheint mir, daß dein Computer infiziert ist und sich der Schädling infolgedessen auch auf deinem Webspace ausgebreitet hat.

Ich habe meinen Computer regelmäßig von Virensoftware scannen lassen, ebenso meine ein- und ausgehenden Verbindungen durch eine Firewall (zusätzlicher Software zu den Windows-Standards) und kann eigentlich nur vertrauen, dass diese zuverlässig arbeiten. Updates werden wenn vorhanden täglich aktualisiert. Und momentan wird mir gesagt, das System ist sauber. Mehr als darauf verlassen kann ich mich nicht. =/ Was den Webspace betrifft, weiß ich es nicht, da kann ich nur Hoffen, dass Hetzner den sauber hält, immerhin bekommen die Geld für ihre Leistungen und nicht wenig...

Dein Forum solltest du unbedingt deaktivieren, allein schon aus Verantwortung gegenüber Besuchern und Mitgliedern. Das bekanntermaßen verseuchte Forum weiterhin öffentlich zugänglich zu lassen, ist meiner Meinung nach unverantwortlich.

Der Verantwortung bin ich mir bewusst, aus diesem Grund lasse ich das Forum regelmäßig von unterschiedlichen Diensten auf Malware überprüfen, unter anderem dem von Google der mich damals darauf hingewiesen hat. Aktuell besteht keine Gefahr, so lange ich zusehe, dass die veränderten Dateien regelmäßig wieder durch die Backup-Dateien ausgetauscht werde. Sollte sich an dieser Situation etwas ändern und eine kontinuierliche Gefahr für andere bestehen, würde ich das Forum natürlich sofort offline nehmen.

Allerdings ging es mir jetzt weniger darum moralische Debatten zu führen als zu versuchen die Quelle der immer mal wieder auftretenden Verseuchungen bzw. die Sicherheitslücke zu finden und zu schließen. Gibt es da Ideen, was die Ursache sein könnte, vielleicht ähnliche Fälle?

Das Problem bei einen immer wieder verseuchtem phpBB Forum ist zu 98% der PC, der FTP Zugang zum besagten Forum hat. Es gibt leider diverse Trojaner, die die lokalen phpBB Installationdateien/Sicherheitskopien usw. befällt und bei einer FTP Verbindung die modifizierten Dateien ganz einfach hochlädt. Der Verursacher ist daher der eigene PC der FTP Zugang zum Webspace hat.

Das würde einleuchten, aber irgendwie scheitert es da an meiner Logik wenn ich sehe dass Dateien zu Zeitpunkten verändert wurden, zu denen die Rechner der einzigen Menschen die den FTP-Zugang haben (ich und mein Co.-Admin) definitiv ausgeschaltet waren, weil wir auf der Arbeit oder an der Uni waren. Ich meine, mein Rechner wird sich doch dann nicht von alleine einschalten, das BIOS-Passwort überspringen, mit dem Internet connecten und dann irgendwelche Dateien hoch laden. Das erschließt sich mir nicht. =/ Ich gehöre noch zu den (vielleicht schon wenigen) Menschen die die Maschine richtig ausschalten (kein Standby), wenn sie nicht daran sitzen.

Gibt es denn jemanden mit ein wenig Erfahrung in diesem Bereich? Würde es vielleicht helfen das Forum komplett neu aufzusetzen? Kann es denn vielleicht doch am Webspace liegen dass ein Wechsel Abhilfe verschaffen könnte? Irgendwelche konstruktiven Vorschläge? =/ Vielleicht jemanden der bereit wäre mit Firebug mal ein bisschen in den Code zu spähen ob da ein Problem vorliegt? Wäre wirklich für Hilfe von hier sehr Dankbar.

[mad-manne]

Irgendwelche konstruktiven Vorschläge?

Ich habe jetzt nicht den gesamten Thread gelesen .. ABER hast du mal alle FTP-Kennwörter geändert ??

Evtl. gehen die Angriffe gar nicht von einem deiner Rechner aus ... wie auch immer andere an das Kennwort kamen.

Gruss,
Manne.

[hackepeter13]

Irgendwas psst da bei dir aber dennoch nicht.

In deiner PDF-Zusammenstellung zeigst du an Hand der Screenshots und schreibst dazu, das z.B. dein Admin-Bereich durch den Javascript-Befall nicht mehr nutzbar ist.
Anschließend schreibst du, das in einigen Ordner die "index.htm" mit dem genannten Javascript-Code infinziert wurden und das wenn du diesen aus allen entfernst, alles im Forum wieder ordnungsgemäß funktioniert, also auch dein Adminbereich.

Komisch ist nur das die index.htm Datei rein gar nichts mit dem Aufrufen deines Adminsbereich oder sonstiges zu tun haben.

Die werden nur geladen, wenn man direkt in einen der von dir genannten Ordnern im Browser aufruft.
Sprich, ruft man den Adminbereich (über den Link im Footer) auf, lädt man normalerweise die "www.ddeinedomain.de/phpbb3/adm/index.php" dabei wird keine index.htm aus irgendeinem Ordner geladen (generell wird das nicht getan).
Die index.htm Datei in einem Ordner wird nur geladen, wenn du den im Browser direkt den Ordner aufrufen willst, wie z.B. www.deinedomain.de/phpbb3/language/.
Dann wird normalerweise die index.htm (ohne Content-Inhalt) geladen und erst dann wird auch der Javascript-Code geladen und sonst nicht.

Dein Problem mit einem Javascript-Trojaner/Maleware/Whatever kann mit deinem Zusammenhang der Forumprobleme irgendwie gar nicht stimmen.


PS: Hast du dir auch mal den Quelltext im Browser von einer Fehlerhaften Seitendarstellung angesehen, ob da auch dieser Code vorkommt oder ob es vllt. was anderes ist?
Wenn ja, dann liegt der Code nicht nur in den index.htm Dateien.

[Yaize]

Ich habe jetzt nicht den gesamten Thread gelesen .. ABER hast du mal alle FTP-Kennwörter geändert ?? Evtl. gehen die Angriffe gar nicht von einem deiner Rechner aus ... wie auch immer andere an das Kennwort kamen

Jap, das war einer der Schritte die ich schon unternommen hatte um das auszuschließen.

In deiner PDF-Zusammenstellung zeigst du an Hand der Screenshots und schreibst dazu, das z.B. dein Admin-Bereich durch den Javascript-Befall nicht mehr nutzbar ist.
Anschließend schreibst du, das in einigen Ordner die "index.htm" mit dem genannten Javascript-Code infinziert wurden und das wenn du diesen aus allen entfernst, alles im Forum wieder ordnungsgemäß funktioniert, also auch dein Adminbereich. Komisch ist nur das die index.htm Datei rein gar nichts mit dem Aufrufen deines Adminsbereich oder sonstiges zu tun haben.

Der Screenshot des Admin-Bereichs ist genau so wie es mir angezeigt wurde als die Webpage infiziert war. Als sie bereinigt war, ging es wieder. Um genau zu sein hat das austauschen der infizierten .htm-Dateien allerdings nicht gereicht die Fehler zu beheben, ich musste jedes Mal auch über den FTP-Client den kompletten Inhalt des Cache-Ordners löschen, erst dann tauchten die Inhalte des Admin-Bereichs wieder auf und die Verzerrungen im Forum verschwanden. Das heißt allerdings nicht, dass ich mir das besser erklären kann oder dass das mehr Sinn macht. =/

Dein Problem mit einem Javascript-Trojaner/Maleware/Whatever kann mit deinem Zusammenhang der Forumprobleme irgendwie gar nicht stimmen.

Ich kann nur beschreiben was ich mitbekommen habe und was bisher gereicht hat um die Funktionalität des Forums wiederherzustellen und die Seite bei etwaigen Diensten als Malwarefrei angezeigt zu bekommen. Das sind allein meine Beobachtungen. Ob ich dabei alle Infektionsherde ausfindig gemacht habe oder den Kern des Problems erkannt habe kann ich bei weitem nicht beurteilen, mir erschließt sich momentan überhaupt nicht, wie das alles passiert.

PS: Hast du dir auch mal den Quelltext im Browser von einer Fehlerhaften Seitendarstellung angesehen, ob da auch dieser Code vorkommt oder ob es vllt. was anderes ist?
Wenn ja, dann liegt der Code nicht nur in den index.htm Dateien.

Das habe ich noch nicht gemacht, danke für den Hinweis! Beim nächsten Mal wenn wieder was nicht stimmt werde ich das mal probieren und mir den Quelltext ansehen. Wenn der schädliche Code nicht nur in die index.htm's eingeschleust wird, dann habe ich die anderen veränderten Dateien bisher noch nicht entdeckt.

[hackepeter13]

Um genau zu sein hat das austauschen der infizierten .htm-Dateien allerdings nicht gereicht die Fehler zu beheben, ich musste jedes Mal auch über den FTP-Client den kompletten Inhalt des Cache-Ordners löschen, erst dann tauchten die Inhalte des Admin-Bereichs wieder auf und die Verzerrungen im Forum verschwanden. Das heißt allerdings nicht, dass ich mir das besser erklären kann oder dass das mehr Sinn macht.

Wenn du im ACP -> Serverlast -> Rekompilieren veralteter Style-Komponenten auf "Nein" eingestellt ist, werden alle Style-Änderungen immer erst nach leeren des "cache" Ordners aktiv, solange das nicht geschieht, lädt das Forum immer alles aus dem cache Ordner, da kannst dann quasi unendlich an den Style rumbasteln wie du willst ohne das man es beim Aufrufen des Forums mitbekommt.

Heißt demzufolge, das selbst wenn alle index.htm Dateien mit gecached werden würden, müsste ja auch der cache nach dem Ändern aller index.htm Dateien geleert worden sein, damit die geänderten index.htm Dateien neu gecached werden.
Also muss jemand direkten Zugriff auf dein FTP gehabt haben, um die Dateien zu bearbeiten und den cache-Ordner zu leeren und/oder auch Zugriff in dein ACP gehabt haben, um von dort aus per Klick den Cache zu leeren.

Also ich würde behaupten, das die Style-Verzerrungen und das mit dem ACP-Bereich an irgendwelche anderen Änderungen lag, da die "index.htm" in sämtlichen Ordnern nicht zum Style gehören und auch nicht gecached werden.

Da du schreibst, das du an deinem Forum Modifikationen vorgenommen hast, könnte es durchaus möglich sein, das du nach einer Modifikation evtl. mal vergessen hattest dein Cache zu leeren oder so.

Folglich hättest du dein Style-Problem auch mit einfach nur mit leeren des Caches beheben können ohne die alle index.html Dateien zu bearbeiten.

Wenn du noch den javascript-Code hast, füge ihn doch einfach nochmal in eine index.htm Datei ein und schau ob du dann wieder deine Style-Probleme hast - ich denke die wirst du nicht haben.

Es ergibt einfach keinen Zusammenhang.

Wenn dein Forum mit einem Virus infiziert ist und das beim Aufrufen des Forums ersichtlich ist, dann liegt das nicht an den index.htm Dateien in einigen Ordnern, sondern in einer PHP-Datei oder HTML-Datei im Style.
Weil wie gesagt die index.htm Dateien werden beim Forum aufrufen nicht geladen.

[Yaize]

Also muss jemand direkten Zugriff auf dein FTP gehabt haben, um die Dateien zu bearbeiten und den cache-Ordner zu leeren und/oder auch Zugriff in dein ACP gehabt haben, um von dort aus per Klick den Cache zu leeren.

Aktuell (in genau diesem Moment) ist mein Forum wieder verseucht bzw. Dateien auf dem Webspace wurden wiederum verändert, offenbar irgendwann heute Nacht... ich habe Hetzner gleich kontaktiert, immerhin wurde mir gesagt sie können mir nicht helfen wenn ich jedes Mal versuche die Fehler wieder zu bereinigen. Schauen was sie sagen wann dort etwas passiert ist und von wo aus. Das Ändern des FTP-Passwortes hatte nichts gebracht. Nun bin ich auf ihre Antwort gespannt. Das was du beschreibst klingt mir mit am Plausibelsten.

Also ich würde behaupten, das die Style-Verzerrungen und das mit dem ACP-Bereich an irgendwelche anderen Änderungen lag, da die "index.htm" in sämtlichen Ordnern nicht zum Style gehören und auch nicht gecached werden.

Klingt genau so plausibel und bedeutet doch quasi, dass ich es zwar bisher immer irgendwie geschafft habe die Folgen der Infektion kurzzeitig rückgängig zu machen, dass die Verseuchung dennoch die ganze Zeit irgendwo geschlummert hat, wenn ich dich richtig verstehe, ja?

Da du schreibst, das du an deinem Forum Modifikationen vorgenommen hast, könnte es durchaus möglich sein, das du nach einer Modifikation evtl. mal vergessen hattest dein Cache zu leeren oder so.

Das ist möglich und kann ich nicht ausschließen, allerdings begreife ich da den Zusammenhang noch nicht ganz wie das die Ursache für irgendwas sein kann. =/

Es ergibt einfach keinen Zusammenhang. Wenn dein Forum mit einem Virus infiziert ist und das beim Aufrufen des Forums ersichtlich ist, dann liegt das nicht an den index.htm Dateien in einigen Ordnern, sondern in einer PHP-Datei oder HTML-Datei im Style. Weil wie gesagt die index.htm Dateien werden beim Forum aufrufen nicht geladen.

Ich verstehe, was du meinst. Fakt ist, dass die index.htm's in Folge der Infektion verändert wurden, aber offenbar waren die dann nicht Auslöser dafür, dass die Anzeige einiger Foreninhalte nicht korrekt funktioniert hat, das erschließt sich mir. In Folge dessen muss der Fehler selbst in einer PHP-Datei oder einer HTML-Datei im Style liegen wie du sagst, richtig? Nur noch mal zum Verständnis für mich. Angenommen ich sehe jetzt keinen anderen Weg als das Forum neu aufzusetzen, von Grund auf neu zu installieren, dann hätte ich zwei Fragen:

1. Könnte ich denn gefahrlos den alten Style wiederverwenden? Dem obigen zufolge doch eigentlich nicht, oder?
2. Kann sich so eine Infektion auch in die Datenbank fressen, oder kann ich zumindest diese sichern und in einem neu aufgesetzten Forum bedenkenlos wiederverwenden?

Ich habe mir jetzt auch mal den Quelltext der Seite im infizierten Zustand angeschaut. Das verdächtige Script findet sich gleich im Header der Seite wieder. Das heißt ich müsste wenn ich den Style wiederverwenden mag dort noch einmal alle HTML- und PHP-Dateien am Besten manuell durchsuchen und bereinigen, oder würde das nicht reichen?


P.S.:Noch eine Information des infizierten Zustands: Nach Aufrufen der Seite hatte meine Antivirensoftware sofort einen Fund und musste diesen entfernen: HTML/IFrame.agp. Dieser wird offenbar von dem Script der Seite auf den Rechner gespielt. Der Code wurde also vermutlich (laut Googleergebnissen) via IFrame oder SQL-Injection eingebaut (was mir beides nichts sagt .__.).