PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Webspace/FTP-Account gehackt


Sergej
2007-03-11, 10:28:31
Hi Leute,

ich hab da anscheinend ein kleines Problem mit der Sicherheit meines Webspace. Hoster ist all-inkl.com. Auf dem Space liegen hauptsächlich ein phpBB-Board und eine Joomla-Seite.

Vor ca. zwei Wochen funktionierten plötzlich alle datenbankbasierten Anwendungen nicht mehr, irgend ein Datenbankfehler. Allerdings hatte ich keine Zeit, mich darum zu kümmern. Vorgestern habe ich dann eine Mail von all-inkl.com erhalten, die mir sagte, dass von meinem Webspace aus Phishing-Mails versendet werden?! Passiert ist dies wahrscheinlich über die Avatar-Upload-Funktion des phpBB-Boards; Die besagten Files habe ich dann auch im Avatar-Folder gefunden ...

Das Datenbank-Problem resultierte daraus, dass die in den PHP-Configfiles hinterlegten Passwörter allesamt geändert wurden! Außerdem wurde große Teile des Codes der Configfiles ebenfalls gelöscht.

Nun meine Fragen:

Ist es möglich, Sicherheitslücken im Board zu nutzen, um diesen Unfug anzustellen?

Wie sicher ist es überhaupt, DB-Passwörter in den PHP-Files zu hinterlegen? Das phpBB-Board erfordert es ja nun mal so?!

darph
2007-03-11, 10:37:36
Wie sicher ist es überhaupt, DB-Passwörter in den PHP-Files zu hinterlegen? Das phpBB-Board erfordert es ja nun mal so?!
Das ist normal und üblich. Irgendwoher muß die Software ja die Zugangsdaten haben. Und wo sollte sowas sonst gespeichert werden, wenn nicht in einer config-Datei?

Das Problem ist aber nicht, daß irgendein pöser Hacker diese auslesen kann. Das Ganze lief höchstwahrscheinlich automatisiert ab und dein PW hat nie jemand zu Gesicht bekommen. Das Problem ist, daß die verwendete Software Zugriff auf die Datenbankverbindung hat (muß sie ja auch - ist ja Sinn und Zweck der Übung).

Und dann kann man es dem Hoster vorwerfen, daß man als nichtprivilegierter User die Möglichkeit hat, per SQL sein Kennwort zu ändern (prinzipiell geht das schon: Das ist ja auch alles in der user-table gespeichert. Nur sollte sowas per Benutzergruppen unterbunden werden).



Ist es möglich, Sicherheitslücken im Board zu nutzen, um diesen Unfug anzustellen? Eh. Ja nun. Offensichtlich schon.

Es ist allgemein bekannt, daß das phpBB Sicherheitslücken hatte und vermutlich noch immer hat. Wann hast du das letzte Mal ein Update der Forumssoftware gemacht?

Black-Scorpion
2007-03-11, 14:26:25
Die Ausrede ich hatte keine Zeit um mich darum zu kümmern kann ganz schnell sehr teuer werden.
Du bist für die Sicherheit deines Forums verantwortlich.
Wenn jemand auf eine Mail reingefallen ist die von deinem Webspace versendet wurde bist du der erste der den Kopf hinhalten muss.

/dev/NULL
2007-03-11, 14:31:12
Wenn man Software auf seinem Webspace installiert muß man sich auch um Updates kümmern, sei es Forum oder CMS, aber auch Chatscripte, Gästebücher und eigene (schlecht)programmierte Seiten können Sicherheitslücken beinhalten. Deshalb regelmäßig informieren ob es updates (bei Hersteller) gibt oder Sicherheitslücken gefunden wurden (bugtraq oder full-disclosure).
Ungepatchte Syteme und weit verbreitete Software wird immer häufiger Ziel von automatisierten Botangriffen.
Da hilft nichts außer schneller mit dem Patchen sein.

Darph hat schon recht phpBB hatte in der Vergangenheit oft Sicherheitslücken auch Joomla (und deren diverse Erweiterungen) wurden häufig getroffen, je verbreiteter die Software, desto lohnenswerte und damit wahrscheinlicher ist es das sich jemand da eine Lücke sucht.. gleichzeitig wird aber bei solcher Software aktive Pflege betrieben und erkannte Lücken relativ schnell gepatcht.

Sergej
2007-03-11, 14:41:25
Danke für eure Antworten.

Es waren wohl keine Phishing-Mails, sondern Phishing-Seiten. Hier ein Ausschnitt der Mail von all-inkl.com:

"Hallo Herr ...,

ich habe unter ....de Phishingseiten abschalten müssen und bitte Sie, diese zu entfernen. Sollte das nicht möglich sein, geben Sie uns bitte Bescheid, damit wir diese Seiten entfernen.

Die betroffenen Dateien / Ordner sind: http://....de/htdocs/.../phpbb2/images/smileys/.cgibin/update.htm"

Wie genau hat/hätte diese Phishing-Seite funktioniert?

/dev/NULL
2007-03-11, 15:52:19
Wie Phishingseiten halt funktionieren.. sie sehen aus wie nachgemachte Bankseiten und hätten die eingegebenen Daten und Passwörter an einen anderen Server/Emailaccount geschickt.

Leute lockt man normalerweise über Email oder Trojaner (vgl Pharming (http://de.wikipedia.org/wiki/Pharming) ) auf deinen Server.

Also für die Zukunft: Software aktuell halten

hyperterminal
2007-03-11, 18:56:33
Du solltest deine Software immer aktuell halten. Wenn dir der Updatevorgang beim phpBB zu kompliziert ist könntest du auch auf das kostenlose SMF (http://www.simplemachines.org) umsteigen. Da kann man mit einem Klick im Admin Panel das Update starten und der Server lädt und installiert dann das Update von selbst.

Außerdem hilft es auch oft, einfach die Versionsnummer im Footer rauszunehmen. Hacker suchen nämlich meistens nach "Powered by phpBB 2.0.x". Wenn du keine Versionsnummer im Footer hast, dann wissen die Hacker nicht, welche Exploits bei deinem Forum gehen und haben mehr Arbeit. Außerdem finden sie das Forum über die Suche vielleicht auch garnicht.