phpBB.de

Moin zusammen,

Am 25.12.2018 ist mir was komisches passiert. Ich flog als Admin laufend aus dem Forum und mir wurde der Zugriff zum Admin-Bereich verweigert, da ich angeblich keine Berechtigungen dazu hätte. Nach einer Weil funktionierte es wieder und ich konnte mich auch wieder in den Admin-Bereich einloggen.

Kurz ein paar Daten und Infos: Verwendete Forensoftware 3.2.2 (muss demnächst noch auf 3.2.5 updaten. Möglicherweise wird die Sicherheitslücke dann geschlossen?

Im Forum selbst gibt es einen öffentlich einsehbaren Bereich für alle aus dem Internet kommenden Gäste und Bots und einen Bereich, der nur für registrierte Mitglieder, Globale Moderatoren (1 an der Zahl) und ich als einzigster Admin einzusehen und darin zu schreiben ist. Nutzungsrechte sind entsprechend verteilt. Zu dem geschützten Bereich haben nicht mal Suchmaschinen-Bots Zugriff - auch keine Gäste.

Nun passierte es aber in der Vergangenheit auch oft, dass von mir und anderen eingeloggten Mitgliedern ein Gast entdeckt wurde, der sich im geschützten Bereich aufhielt und darin las. Am 25.12.2018 war eer auch da und kurzerhand später wurde wahrscheinlich von ihm meine Rolle als Admin wie oben beschrieben übernommen.

Gibt es da Erfahrungen oder bekannte Sicherheitslücken, wie so was passieren kann? Hat der dubiose Gast meine sid oder meine IP übernommen und sich dadurch unberechtigt Zugang zum Admin-Bereich und Forum verschafft?

Ich habe mal das komplette Forum - also das Verzeichnis auf dem Server - per ftp-Client runtergeladen. Dabei wollte der Client 3 Dateien überschreiben, die sich verändert hatten. Genau zu dem Zeitpunkt, als der Angriff erfolgte. Die veränderten Dateien nennen sich:

filesystem.php
RemoteObjectMethodTest.php
ResourceCheckerConfigCacheFactory.php

Es gibt da eine Original-Datei vom 15.02.2018 und eine neuere vom 25.12.2018. Hab den Inhalt der Dateien mal mit dem phase 5 HTML Editor verglichen. Die letzten beiden Dateien verfügen über die gleiche Anzahl an Kommandozeilen. Bei der RemoteObjectMethodTest.php sind es 116 und bei der ResourceCheckerConfigCacheFactory.php 51. Ob innerhalb des Codes der beiden Versionen etwas verändert wurde, kann ich noch nicht sagen.

Die filesystem.php Datei vom 25.12.2018 wurde aber verändert. Vielleicht von der Forensoftware, vielleicht aber auch durch den Angreifer? Die alte vom 15.02.2018 enthält 21 und die Neuere 916 Codezeilen.

Soll ich den Inhalt der beränderten Datei hier mal posten oder will sich das mal jemand ansehen? Meine Erfahrungen in Bezug auf php Programmierung sind nicht sehr ausgeprägt.

Nun meine Frage: Hat die Veränderung der Dateien etwas mit dem Angriff zu tun, ist diese Sicherheitlücke bekannt und wurde vielleicht schon anderswo behandelt oder was zum Geier war da letztens los?

Im Forum selbst geht es zumeist um politische, spirituelle, weltanschauliche, wirtschaftliche, alternative Medien ... und Themen, die woanders nicht besprochen werden dürfen. Aber immer im Bereich des gesetzlichen Rahmens - also nix verbotenes oder so.

Hi,

woher weißt du denn, dass Gäste Zugriff hatten, wo sie nicht lesen können sollten?

Und pack die Dateien mal in die Pastebin und zeig uns den jeweiligen Pfad.

Grüße

Vielleicht kommt das in Frage: https://www.phpbb.de/kb/gast_pn

Na ja, die Gäste tauchen halt mit dem Gast-Status im geschützten Bereich auf - man sieht sie dort als Gast. Aber ich denke, der verlinkte Hinweis von schnagga klärt dieses Problem logisch auf. Besten Dank dafür.

Bleibt noch die Übernahme meines Admin-Staus.

Pfade zu den Dateien sind:

/phpbb/filesystem
/vendor/ocramius/proxy-manager/tests/ProxyManagerTest/ProxyGenerator/RemoteObject/MethodGenerator
/vendor/symfony/config

Dateien wurden in die Pastebin gepackt:

https://www.phpbb.de/pastebin/?mode=view&s=67
https://www.phpbb.de/pastebin/?mode=view&s=68
https://www.phpbb.de/pastebin/?mode=view&s=69

Merluza hat geschrieben:Na ja, die Gäste tauchen halt mit dem Gast-Status im geschützten Bereich auf - man sieht sie dort als Gast. Aber ich denke, der verlinkte Hinweis von schnagga klärt dieses Problem logisch auf. Besten Dank dafür.

Bleibt noch die Übernahme meines Admin-Staus.

Wieso glaubst du das? Allein das "Rausfliegen" heißt gar nichts. Das kann auch ein Session-Timeout, falsche Cookie-Einstellung oder Browser-Problem sein.

Merluza hat geschrieben: Pfade zu den Dateien sind:

/phpbb/filesystem
/vendor/ocramius/proxy-manager/tests/ProxyManagerTest/ProxyGenerator/RemoteObject/MethodGenerator
/vendor/symfony/config

Dateien wurden in die Pastebin gepackt:

https://www.phpbb.de/pastebin/?mode=view&s=67
https://www.phpbb.de/pastebin/?mode=view&s=68
https://www.phpbb.de/pastebin/?mode=view&s=69

Ich denke du verwechselst da was:

• \phpBB-3.2.2\phpBB3\phpbb\filesystem\filesystem.php vs. phpBB-3.2.2\phpBB3\phpbb\filesystem.php
• Deine in die Pastebin gepackte Datei stimmt mit Ersterer 1:1 überein.

\phpBB-3.2.2\phpBB3\vendor\ocramius\proxy-manager\tests\ProxyManagerTest\ProxyGenerator\RemoteObject\MethodGenerator\RemoteObjectMethodTest.php und deine stimmen 1:1 überein, ebenso die\phpBB-3.2.2\phpBB3\vendor\symfony\config\ResourceCheckerConfigCacheFactory.php

Grüße

Crizzo hat geschrieben:

Merluza hat geschrieben:Bleibt noch die Übernahme meines Admin-Staus.

Wieso glaubst du das? Allein das "Rausfliegen" heißt gar nichts. Das kann auch ein Session-Timeout, falsche Cookie-Einstellung oder Browser-Problem sein.

Wenn ich mich am Dienstag vormittag ohne Probleme in meinen Account und auch in die Admin-Oberfläche/Bereich, einloggen kann und das kurze Zeit später für 30-60 Minuten nicht mehr möglich ist bzw. ich immer wieder rausgeworfen werde und beim Versuch, mich in den Admin-Bereich einzuloggen den Hinweis erhalte: Du hast keine Berechtigung für diesen Bereich. Der Zugriff wurde verweigert (oder so ähnlich), dann habe ich nicht nur das Passwort falsch eingegeben. Nach 1 Stunde funktionierte alles wieder wie gewohnt. Das ist dann nach meinem Verständnis zu technischen Fragen der Sicherheit nicht nur ein Problem abgelaufener Session-ID's oder falscher Cookie-Einstellungen im Browser.

Vorher hatte ich wie geschrieben seit Februar 2018 (Installation des phpBB Forums) nie solche Probleme bemerkt.

Ich weiß jetzt nicht, inwieweit der Code einzelner Dateien meiner phpBB Forensoftware verändert oder ergänzt wurde, aber ist es empfehlenswert, dass Forum in der neuesten Version auf- und ein Datenbank-Backup einzuspielen?

Aber das mit dem Browser brachte mich auf eine weitere Idee. Vielleicht wurde ja mein Firefox-Browser über die IP oder anderer Backdoors zu dem Zeitpunkt manipuliert? Wenn das Problem nochmal auftriit, versuche ich mich mit dem Internet-Explorer, Opera oder dem Chrome-Browser in den Admin Bereich einzuloggen. Vielleicht kann man das Problem ja dadurch eingrenzen.

Mein Rechner ist laut adwcleaner und anderer Sicherheitsprogramme sauber - zumindest soweit das adwcleaner einschätzen kann. Eine hundertprozentige Sicherheit kann und wird es nie geben. Keine Software ist frei von Sicherheitslücken oder eingebauten Backdoors.

OK, an den 3 veränderten und hier hochgeladenen Dateien hat es anscheinend nicht gelegen bzw. daran wurde nicht herumgefummelt. Danke für das Anschauen.

Es ist ebensogut möglich, dass der Server "gehustet" hat, auf dem dein Board liegt. Über die Feiertage haben die meisten Anbieter Wartungsarbeiten durchgeführt, Sicherungen gefahren, Updates eingespielt und dergleichen. All-inkl zum Beispiel. Da hatten einige ähnliche Probleme mit dem Seitenaufruf.

Ja, Mylady, dass wäre auch eine Möglichkeit. Danke für den Hinweis. Werde mal bei hosteurope nachfragen oder die Mails durchschauen, ob sie da irgendwas in dieser Richtung mitteilten.

Waren halt nur einige viele Zufälle auf einmal , die mich stutzig machten. Der dubiose Gast war wieder da (was ja durchaus nicht menschlicher Natur oder wie von schnagga mitgeteilt andere Gründe haben kann) und wir haben uns in einem Faden zu dieser Zeit über den dubiosen Gast lustig gemacht und ihn ein wenig verhöhnt.

Dann kurze Zeit darauf mein versperrter Zugang zum Admin-Bereich. Da macht man sich so Gedanken ...

Achso, noch vergessen: Im Administrations-Protokoll wurde zu dem Zeitpunkt auch nichts aufgezeichnet (oder nachbearbeitet oder gelöscht oder nie aufgetaucht )