Angriff auf das Rootforum

[captaincrunch]

Am 7.12. wurde das Rootforum Ziel eines Angriffs. Dem Angreifer ist es dabei über eine bislang anscheinend noch unbekannte Lücke gelungen, den auszuliefernden Seiten einen iFrame unterzuschieben, der im Hintergrund auf eine Malware-Seite verwiesen hat.

Glücklicherweise könnte der Einbruch dank geeigneter Konfiguration recht schnell bemerkt werden, woraufhin entsprechende Schritte eingeleitet werden konnten:
- Die Ananlyse des Einbruchs ist mittlerweile so gut wie abgeschlossen, die Lücke gestopft.
- Da der Angreifer es geschafft hat, eine r57shell ins Filesystem einzuschmuggeln, wurde der Server mittlerweile neu aufgesetzt.

Auch wenn ein versuchter Zugriff direkt auf die Datenbank fehlgeschlagen hat, war anscheinend die Umleitung auf die Mailware-Seite erfolgreicher. Aus diesem Grund bitten wir euch zu eurer eigenen Sicherheit, eure Clientsysteme gründlich zu untersuchen, und eure Passwörter hier zu ändern.

Die hierdurch entsehenden Unannehmlichkeiten bitten wir zu entschuldigen, halten eine offene Informationspolitik an dieser Stelle aber für sinnvoller als eine Vertuschung des Vorfalls.

Euer RootForum-Team

[daemotron]

Hallo CaptainCrunch,

danke für Deine offenen Worte - hoffentlich ist es denen eine Mahnung, die glauben "Mir passiert schon nix" (womit ich natürlich nicht Euch, das Admin- und Moderatoren-Team meine!)

Was den bösen iFrame angeht - Euer böser Bube war so genial, in den iFrame ungültigen XML-Code reinzuballern, sodass zumindest ein weit verbreiteter Browser einer Redmonder Software-Schmiede sich gar nicht erst genötigt sah, den Code zu rendern... leider ließ sich dann auch nicht auf's Forum zugreifen

[dawn]

Kann nur auch sagen das ich es sehr begrüsse das ihr so offen seid und zu diesem Vorfall steht. Ich denke das ihr euren Server durchaus im Griff habt und das zeigt meiner Meinung nach auch das ein sehr gut konfigurierter und gewarteter Server trotzdem auch mal Opfer werden kann.

phpBB ist halt leider immer wieder Opfer von solchen Angriffen.. :(

Gruss,
Dawn

[captaincrunch]

Erstaunlicherweise war es keine Lücke innerhalb des phpBB, sondern eine bis gestern wohl unbekannte SQL-Injection im Bereich der FAQ. Die Entwickler haben jedoch aufgrund Joe Users Hinweise direkt reagiert, und den Fehler behoben.

[twisterchen]

Hallo

Nachdem ich denke, dass Ihr sowieso mit dem Forum immer auf dem neusten Stand seit, nehme ich mal an, dass es sich hier um die Version 2.0.21 handelt.

Gibt es vielleicht hier schon einen Hinweis was mann fixen müsste, dass es nicht auch bei anderen Passieren könnte. Da ja erwähnt wurde, dass es mit dem FAQ zu tun hat und nicht direkt mit dem PHPBB ist es wohl Versions unabhängig.

Währe super wenn s hier eine Lösung dazu geben würde und ob das problem bei phpbb.com schon bekannt ist. ( vielleicht einen Link dazu )

Kann nur auch sagen das ich es sehr begrüsse das ihr so offen seid und zu diesem Vorfall steht. Ich denke das ihr euren Server durchaus im Griff habt und das zeigt meiner Meinung nach auch das ein sehr gut konfigurierter und gewarteter Server trotzdem auch mal Opfer werden kann.

Hier kann ich auch nur zustimmen und dazusagen, dass es keine Schande ist nur eine Erfahrung mehr.

[Joe User]

phpBB2 ist nicht betroffen, es war eine SQL-injection in phpMyFAQ <= 1.6.7, phpMyFAQ-1.6.8 wird in Kürze released. Über diese SQL-Injection konnte der Cracker, welcher einen russischen Server misbrauchte, die r57shell einschleusen und darüber den IFrame in die Index-Dateien (DocRoot, Forum, Wiki, FAQ) schmuggeln. Die IFrames wurden mir etwa 15 Minuten später von einem RF-User per PN gemeldet, woraufhin ich diese (nach Sicherung zur Analyse) entfernte.

Wir setzen ein stark modifiziertes phpBB2-2.0.21 ein.

[godfather]

Wie kann das denn passieren?
Wenn ihr nicht mit nem Rootserver klarkommt solltet ihr besser erst mal zu Hause üben bevor ihr sowas ans Internet stellt.




Sorry aber ich konnte mir jetzt nicht verkneifen euch den gleichen grosskotzigen Ratschlag zu geben den ihr immer verteilt.

[chris76]

Wie kann das denn passieren?
Wenn ihr nicht mit nem Rootserver klarkommt solltet ihr besser erst mal zu Hause üben bevor ihr sowas ans Internet stellt.

Sorry aber ich konnte mir jetzt nicht verkneifen euch den gleichen grosskotzigen Ratschlag zu geben den ihr immer verteilt.

Du scheinst da etwas durcheinanderzubringen. Die Ratschläge beziehen sich meist darauf das die OP´s nicht mal wissen wie man Grundkonfiguration macht.
Die Lücke im RF war eine Unbekannte Sicherheitslücke. Und mit sowas muß man leben. Aber das die Lücke innerhalb kürzester Zeit bemerkt wurde sollte auch beachtet werden!

Aber kein Problem, ich kann mit deinem Kommentar leben ;).

[timeless2]

Wie kann das denn passieren?
Wenn ihr nicht mit nem Rootserver klarkommt solltet ihr besser erst mal zu Hause üben bevor ihr sowas ans Internet stellt.
Sorry aber ich konnte mir jetzt nicht verkneifen euch den gleichen grosskotzigen Ratschlag zu geben den ihr immer verteilt.

Wie das passieren konnte, wurde ja erläutert. Die Admins behaupten ja nicht, es gäbe die absolute Sicherheit. Aber im Gegensatz zu vielen anderen, haben sie professionell reagiert.

Wenn es dir hilft, sei dir deine Schadenfreude gegönnt, verstehen kann ich sie jedoch nicht.

[Joe User]

Wie kann das denn passieren?
Wenn ihr nicht mit nem Rootserver klarkommt solltet ihr besser erst mal zu Hause üben bevor ihr sowas ans Internet stellt.

Wenn ich soetwas nicht zuvor auf meinem Testsystem simuliert hätte, hätte weder ich noch jemand anderes die ausgenutzte Schwachstelle finden/eingrenzen können. Auch den entsprechenden Bugreport und den daraus resultierten Bugfix hätte es nicht (zumindest noch nicht) gegeben. Desweiteren hätte ich das RootForum unnötig lange offline nehmen müssen und hätte mein Sicherheitskonzept nicht entsprechend überarbeiten können. etc, etc...

Sorry aber ich konnte mir jetzt nicht verkneifen euch den gleichen grosskotzigen Ratschlag zu geben den ihr immer verteilt.

Es sei Dir Deine Schadenfreude gegönnt, sofern Du obiges in vergleichbarer Situation auch nur ansatzweise hättest umsetzen können...

[flo]

Da sieht man mal wieder den Unterschied zwischen Admins und Moderatoren - meine Antwort hätte da wohl anders ausgesehen und steht deshalb nicht da ...

:twisted:

LG,

flo.

[outofbound]

Ich denke wenn man sich Godfathers vorherige Posts anschaut...

<°)))o><


*g*

Btw, grats für das schnelle Fixen und die offene Reaktion. :)

Gruss,

Out

[Joe User]

Ich denke wenn man sich Godfathers vorherige Posts anschaut...

Welche er gestern bis auf wenige Ausnahmen editierte und durch jeweils zwei Punkte ersetzte. Diese Threads wurden von mir zur internen Diskussion "beschlagnahmt"...

[Joe User]

http://www.rootforum.org/forum/viewtopic.php?t=43936

[killerserver]

Diese blöden langweiligen leute, ständig suchen sie nach lücken um anderen zu schaden.... solche sollten die todesstrafe erhalten :evil:

[Anonymous]

Was Foren Sicherheit angeht ist http://www.cback.de/ einfach die Nummer 1
ich würde mich nie getrauen ein einfaches PHPBB zu benutzen :lol:

[Joe User]

Wer hat Dir denn den Müll erzählt? Dat Dingen hat mehrere bekannte und seit Monaten genutzte Sicherheitslücken...

[Anonymous]

Sicherheitslücken gibt es da nur wenn zusätsliche Hacks installiert werden :lol:
ich nutze Orion auf einem Root ohne Probleme
schau dich mal um auf cback.de :lol:

[Joe User]

Ich kenne den phpBB2-Plus-Fork und dessen Lücken sowie die Lernresistenz des "Entwicklers" sehr gut...

[Anonymous]

Orion hat sich von phpbb sehr entfernt und wird in der Version 3.0 nichts
mehr gemeinsam haben :lol:

Das mit dem phpbb Plus gebe ich dir voll und ganz recht wenn man mal sieht wie
oft den Ihr Server gehackt wird .

Orion hat den CT-Tracker drinn das Teil ist genial wenn ich sehe was da manschmal in den Logdateien drinn steht :lol:

[Joe User]

Junge, Junge, Junge... Bist Du so blöd, oder tust Du nur so?
phpBB2-Plus ist ein (zu) stark gemoddetes phpBB2 mit etlichen bekannten und aktiv ausgenutzten Sicherheitslücken. Orion ist ein nochmals stark modifiziertes phpBB2-Plus und hat die gleichen und weitere Sicherheitslücken. Die meisten dieser Sicherheitslücken wurden durch "cback" verursacht, insbesondere durch seinen CrackerTracker. Lies und verstehe den Source, dann weisst Du wo von ich schreibe.

So und nun musst Du ab ins Bettchen, ist schon spät...

[schrottie]

wollen wir nicht lieber zurück zum Topic kommen?


Ich finde die Entscheidung richtig die User zu informieren das was passiert ist. Des weiteren bin ich der Meinung das dem Rootforum keine Schuld trifft, da man nur auf Sicherheitslücken reagieren kann, wenn Sie bekannt sind. Es sei den man hat zu viel Zeit und sucht selber.

Was mich aber besonders freut und ich dem Team hoch anrechne, ist die Tatsache wie schnell gehandelt wurde und das bei einem NON-Profit Projekt. Wenn ich mir dagegen T-System mit dem A2ll aus fällen anschaue scheint die Welt Kopf zu stehen.

Schrottie

[Anonymous]

Es wurde aber noch kein Orion Forum gehakt :!: wenn hier einer Blöd ist dann bist es DU besserwisser müssen immer gleich beleidigen
und ausfallend werden auf jeden Fall habe ich hier nicht mehr verloren es gibt
noch andere Server Foren im Google ein Stock höher da sind Leute die wirklich
Ahnung haben .

Für Leute die ein gutes Server Forum suchen schaut mal in Google und
gib server forum ein das was ganz oben steht ist spitze

da wird niemand beleidigt oder angefahren :lol:

[flo]

Das waren wohl schon etliche Viertel nach 2, kann das sein? :-)

[blnsnoopy26]

Ich nutze das WBB2 in zusammenhang mit cback und seitdem kann ich auch ruhiger schlafen. Hat bisher alle Angriffe ohne Probleme abgefangen.

Man findet dann in den logs sowas:

Code: Select all

1||03.11.2006-06:39:36||84.144.22.13||chr(test)||||Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1) Gecko/20061010 Firefox/2.0||
1||11.11.2006-00:22:49||201.93.242.158||threadid=http://yem.wpc.or.kr/event_popup/2000603Japan/0603J apan.files/slide0013_image112.jpg?&cmd=id||||Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)||
1||11.11.2006-00:22:50||201.93.242.158||postid=http://yem.wpc.or.kr/event_popup/2000603Japan/0603Jap an.files/slide0013_image112.jpg?&cmd=id||||Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)||
1||15.11.2006-04:28:57||213.203.223.57||threadid=http://busca.uol.com.br/uol/index.html?&cmd=id& page=1&sid=195d3dd88c3bd44a3548fac9cd0c8d4b||||||
1||15.11.2006-04:29:04||213.203.223.57||threadid=2&page=http://busca.uol.com.br/uol/index.html?& cmd=id&sid=http://busca.uol.com.br/uol/index.html?&cmd=id95d3dd88c3bd44a3548fac9cd0c8d4b||||||
1||15.11.2006-04:29:07||213.203.223.57||threadid=2&page=1&sid=http://busca.uol.com.br/uol/in dex.html?&cmd=id||||||
1||30.11.2006-06:27:24||201.43.54.60||threadid=http://yem.wpc.or.kr/event_popup/2000603Japan/0603Jap an.files/slide0013_image112.jpg?&cmd=id||||Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)||
1||19.12.2006-18:50:06||163.27.117.193||site=http://busca.uol.com.br/uol/index.html?&cmd=id||||||
1||20.12.2006-06:53:16||201.43.54.179||threadid=http://yem.wpc.or.kr/event_popup/2000603Japan/0603Ja pan.files/slide0013_image112.jpg?&cmd=id||||Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)|| 

Aber da lache ich :D Das was ich habe ist ein modifiziertes cback system speziell für das wbb2. Der Angreifer schaut immer dumm aus der wäsche :-D