Ich setze mal bewußt obigen Titel als eine Frage hin, da ich mir im Moment nicht so recht schlüssig bin, wer und was wo und wie es angestellt hat, unseren Server mit all diesem Driss zu verseuchen. Angefangen hat es vorgestern, als ich diese EMail bekam...


Von: S-CERT@S-CERT.de [mailto:S-CERT@S-CERT.de]
Gesendet: Donnerstag, 22. Mai 2008 15:14
An: Michael.Dichte@gmx.de
Betreff: Hackerangriff auf www.honda-legend.com

Sehr geehrter Betreiber der Web-Seite "http://www.honda-legend.com",
wir, das Computer Notfallteam der Sparkassen, haben aus Spanien den Hinweis bekommen, dass Ihre Web-Seite gehackt wurde.

Unter: http://www.honda-legend.com/vbulletin/attachments/redirect.to/oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login.htm

wurden betrügerische Web-Seiten einer spanischen Bank, sogenannte Phishing-Seiten abgelegt. Wir erbitten eine Prüfung und um Entfernen der Inhalte. Bitte mailen Sie uns eine Kopie der betrügerischen Inhalte.

Mit freundlichen Grüßen
S-CERT Koordinierungsstelle
_______________________

SIZ Informatikzentrum der Sparkassenorganisation GmbH, Simrockstraße 4, 53113 Bonn
Tel. 0228/4495-432
Fax 0228/4495-431
E-Mail: cert-support@S-CERT.de
Internet: www.s-cert.de



Daraufhin hab ich mir mal das FTP Verzeichnis attachments angeschaut und bin fast vom Hocker gefallen (Anhänge 1-5). Gestern hab ich mir mal das Verzeichnis arcade angeschaut und hab in etwa den gleichen Mist dort vorgefunden (Bild 6)

So langsam frage ich mich, wie so etwas überhaupt möglich ist? Solche Probleme hab ich bisher noch niemals gehabt. Wie ist denn sowas überhaupt möglich, das ein Angriff außerhalb stattfindet, wo doch in der Regel die Server recht gut abgesichert sind? Und gerade im Bereich der Attachments frage ich mich, wie diese Dateien überhaupt dort hinein kommen. Gäste dürfen bei mir nur das sehen, was sie auch sehen sollen und die normalen Benutzer haben halt die Standard-Rechte. Insofern schliesse ich es aus, das Mitglieder beim Hochladen einiger Anhänge so etwas auslösen können, da diese FTP Zugang haben müssen, so das es letztendlich nur von außerhalb kommen kann. Diese Dateien sind mit einfachen Mitteln überhaupt nicht zu löschen und der Hoster, dem ich gestern per Support Ticket angeschrieben habe, hat sich bis heute nicht gerührt. Dabei hatte ich am Freitag vorgehabt, endlich auf das neue 3.7 aufzuspielen, was ich aber vorerst mal auf Eis gelegt habe :(

Fragen:
1. Hat jemand von Euch in etwas das gleiche Problem?
2. Wie sind solche Attacken überhaupt möglich?
3. Gibt es denn keinen wirksameren Schutz in Form von SSL? So wie bei den Banken oder PayPal?

Bin im Moment irgendwie ratlos. Vielleicht hat ja jemand von Euch einen wetrvollen Tipp, wie ich mich in Zukunft vor sowas schützen kann. Wenn überhaupt :(

vBulletin legt keine derartigen Unterverzeichznisse an.

Es müsste also eine Schwchstelle ausgenutzt worden sein, wobei ich die nicht unbedingt in vBuletin suchen würde - denn wie Du selbst schreibst ließen sich die Dateien nicht ohne weiteres löschen.

Wahrscheinlicher wäre da eher:
http://www.debian.org/security/2008/dsa-1576
http://www.debian.org/security/2008/dsa-1572

Was mich an der Sache etwas wundern würde, ist die Tatsache, dass die verwendeten Ordner allesamt Schreibrechte haben/haben müssen.

Hätte der Hacker wirklich ssh-Zugriff durch die Lücken gehabt, hätte er sich doch bessere Verstecke einfallen lassen können?!

Also ich bekomm hier kein Bein mehr auf die Erde und werde hier auf dem Server LAUFEND bombadiert! Heute morgen wieder so nen Gedöns im Verzeichnis attachments (Bild 1) und soeben bekam ich einen Anruf aus den USA (siehe EMail), der mir mitteilte, das der Server schon wieder mit Erfolg verseucht wurde (Bild 2+3)

-----Ursprüngliche Nachricht-----
Von: afcc@rsasecurity.com [mailto:afcc@rsasecurity.com]
Gesendet: Sonntag, 25. Mai 2008 17:46
An: Michael.Dichte@gmx.de
Betreff: RE: Fraudulent site - please shut down! [Hal 8447] - honda-legend.com

Dear Sir,
Thank you very much for your assistance. It has been very helpful.

Please note that the address http://www.honda-legend.com//vbulletin/arcade/tool/template/isec-halifax/www.halifax-online.co.uk/secure/_mem_/formslogin.asp/index.html is still online, and your assistance is needed with shutting it down as well. Please let us know when you were able to remove the fraudulent files, by replying to this email.


Thank you again,
And have a good evening,

RSA Anti Fraud Command Center

Tel: +44(0)800-032-7751 (UK)
Tel: +1-866-408-7525 (US)
Fax: +972-9-9566658 (EU)
Fax: +1-212-208-4644 (US)
E-mail: afcc@rsasecurity.com

http://www.rsa.com
For more information about RSA's AFCC http://www.rsa.com/node.aspx?id=3348

Er meinte am Telefon, das bei mir eine vB Schwachstelle ausgenutzt werden würde und derjenige sich so Zugriff verschafft zum Server verschafft. Damit bin ich im Moment irgendwie überfordert. Und auch hier bekomm ich diese Dateien wiedermal nicht gelöscht und der Hoster verhält sich so, als sei nix gewesen :mad:

Könnte mir jemand vom vB Support hier helfen? Ich komm hier echt nicht mehr weiter und bin im Moment wirklich ratlos :(

Hast du die aktuelle Version vom Arcade-Hack drauf? In der 2.6.7 ist laut Changelog eine Sicherheitslücke behoben...

Könnte mir jemand vom vB Support hier helfen?
Bin ich zwar nicht aber die einzig mögliche Antwort lautet:
- Auf die aktuellste Version (3.6.10/3.7.0) updaten
- Alle Dateien durch die Originale ersetzen
- Nicht-Original-Programmdateien (.php/.js) löschen
- Plugin-System deaktivieren
- Alle Templates wiederherstellen.

Das sieht in der Tat übel aus.
Klemm doch erstmal die Domaene ab!!!!!!!!!
Dann haste alle Zeit der Welt.

Hast du die aktuelle Version vom Arcade-Hack drauf? In der 2.6.7 ist laut Changelog eine Sicherheitslücke behoben...Du hast Recht. Hab immer noch die V2.6.4 Version drauf. Aber auch wenn Marcel seine Arcade Version mit speziell dieser Version ein kleines Leck hat, so frage ich mich: Wie kommt denn dann noch das ganze Pishing Gerdöns bei mir ins attachment Verzeichnis? Der einzigste Hack den ich benutze und der auch was mit den Attachments zu tun hat, ist der Highslide Hack. Hab aber noch nie gehört, das dieser eine Sicherheitslücke hat. Oder weißt Du was davon?

Bin ich zwar nicht aber die einzig mögliche Antwort lautet:
- Auf die aktuellste Version (3.6.10/3.7.0) updaten
- Alle Dateien durch die Originale ersetzen
- Nicht-Original-Programmdateien (.php/.js) löschen
- Plugin-System deaktivieren
- Alle Templates wiederherstellen.Daran hab ich auch schon gedacht, Andreas. Ich hab das alles bis auf Punkt 1 Deiner Liste gemacht. Ich hatte eigentlich noch vorgehabt, mit dem 3.7 Update zu warten, bis ich weiß, was da Sache ist. Aber das wäre wohl der falsche Weg, oder?

Das sieht in der Tat übel aus.
Klemm doch erstmal die Domaene ab!!!!!!!!!
Dann haste alle Zeit der Welt.Frag mich bitte was leichteres, wie das geht. Ich hab bei mir Plesk drauf. Wäre das darüber zu machen? Ich bin leider in solchen Server Sachen nicht gerade sehr bewandert :o

Über eine Plesk-Lücke ist das durchaus auch zu machen, ja.

Plugin-System ist definitiv aus und alle Dateien von Add-ons enternt?
(Dies kannst Du über Wartungsfunktionen / Diagnose / Dateiversionen anzeigen tlw. überprüfen).

Du hast immer noch fremdes Gedröhns drauf
Stand von soeben

http://www.honda-legend.com/vbulletin/attachments/redirect.to/oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login.htm

Über eine Plesk-Lücke ist das durchaus auch zu machen, ja.Apropo Plesk: Schau Dir mal bitte das Bild an. Ich bin ja nicht der Plesk Spezialist, aber ich dachte immer, das man auch so diese Dateien im dortigen Dateimanager löschen kann, was aber anscheinend auch wieder nicht geht. Ich kann noch nicht einmal eine scheiss Datei löschen :mad: Also das Spiel wird mir langsam echt zu bunt. Am besten ALLES REGELRECHT PLATT MACHEN!!!

Plugin-System ist definitiv aus und alle Dateien von Add-ons enternt? Ich hab diese nur deaktiviert und nicht entfernt. Falsch? Ja, das Plugin-System ist 100% deaktiviert.

Sag mal, Andreas: Wäre es nicht besser, alles auf dem Server platt zu machen und dann ein frisch aufgesetztes nagelneues vB 3.7 zu installieren?

Du hast immer noch fremdes Gedröhns drauf
Stand von soeben

http://www.honda-legend.com/vbulletin/attachments/redirect.to/oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login.htmDas darf doch wohl nicht wahr sein!!! Diesen Scheiss hatte ich am Freitag doch gelöscht (siehe 1. Beitrag). Und jetzt ist der Mist schon wieder drauf? Ich glaub ich bin im falschen Film :mad:

Trotzdem Danke für Deinen Tipp :)

Also sollte sich jemand damit auskennen und mir eventuell helfen möchte (was anscheinend EVANZO nicht kann oder will oder was auch immer), dem gebe ich sämtliche Daten, die er benötigt. Im Moment bin ich damit hoffnungslos überfordert. Hab soeben im Verzeichnis attachments sage und schreibe wieder 9 Unterverzeichnisse mit all diesem Scheiss gefunden :mad: So schnell kann ich nicht gucken, was da hinter meinem Rücken passiert :(

... Am besten ALLES REGELRECHT PLATT MACHEN!!!

So hart es klingt ... und Datenbank in Sicherheit bringen.
vB (Original aus dem Kundenbereich) wieder frisch hochladen (Deine jetzige vB-Version) ist dann noch die kleinste Uebung.

Klingt nicht Hart, sondern Du hast absolut Recht :)

Na wenn due die Files von Add-ons nicht gelöscht hast brauchst Du dich nicht wundern ;-)

Und ja, komplett platt und dann das aktuellste Debian etch drauf ist sicherlich nicht verkehrt :-)

Na wenn due die Files von Add-ons nicht gelöscht hast brauchst Du dich nicht wundern ;-)Wäre das so ok? Also auf Dein TMS kann ich aber hier nicht verzichten. Zumal ich auch nicht davon überzeugt bin, das dies eine Sicherheits Lücke hat. Glaub ich einfach nicht.

Muss denn PhotoPlog wirklich raus? Wenn ja, hätte ich dann ein echtes Problem :(

Bin soeben die Dateien der AddOns am löschen...

Muss denn PhotoPlog wirklich raus? Wenn ja, hätte ich dann ein echtes Problem :(
Ist weiss es nicht. Benenne es wenigstens temporär um.

Bin soeben die Dateien der AddOns am löschen...
Ok, scheint tatsächlich weg zu sein.

Ist die DB in Sicherheit?

Bevor Du wieder neu aufrüstest, sollte die Ursache dieser Scheisse wirklich geklärt sein.

Tipp: Eine Mini-Homepage als index.html für Deine User, damit sie wissen was los ist, wäre sicherlich eine gute Idee. Aber nur wenn es nicht zuviel Stress ist ...:)

Vor allem würd ich mir die Logfiles vom Apache und von anderen Server-Diensten aufheben/sichern vorm Plattmachen.

@MikeD
TMS hat keinerlei Funktionen zum anlegen von Dateien oder Verzeichnissen, auch keine exec(), include() oder ähnliche Aufrufe über die so etwas ggf. möglich wäre.
Insofern dürfte da kein Problem bestehen.

"domain abklemmen" oder ähnlicher unfug, hat keinen sinn. auf dem system wurde zu 99,9% ein irc-bot (psybnc) installiert, über den sich das system kontrollieren lässt. dateien löschen, etc. ist ebenfalls unfug, weil diese nachgeladen werden können. zuerst müssen die entsprechenden prozesse auf dem server gefunden und beendet und sichergestellt werden, dass diese nicht durch cronjobs oder andere verseuchte services überwacht und neu gestartet werden.

wenn sowas auf meinen kisten passieren würde: sämtliche services stoppen (ausser ssh) und logs analysieren (ursache des einbruchs finden). ob das neu aufsetzen des servers auf dauer erfolg bringt, ohne die ursachen des einbruchs zu kennen, mag ich anzweifeln. hier bieten vor allem die vielzahl an hochgeladenen dateien anhaltspunkte für die recherche, zb.

find /var/log/ -type f -print | xargs grep -i cbk.tar.gz

also in allen logs (apache, ftp, ...) nach vorkommen der merkwürdigen dateien suchen. falls diese dateien nicht gefunden werden in den logs, dann können diese möglicherweise über ein leck per http-dateiupload ins system gelangt sein. in diesem fall ist es ein bisschen aufwendiger, weil man dann in den web-logs den entsprechenden zeitraum des einbruchs einkreisen und dann den upload finden muss (POST-Methode). dann könnte man zumindest feststellen, ob über original-vbulletin-dateien oder frickel-hacks eingebrochen wurde.

wenn du die ursache gefunden hast, dann sichere die datenbanken und dateien von vbulletin; server komplett neu installieren; dateien wieder einspielen und anschliessend die originaldateien von vbulletin nochmal drüberkopieren - und selbstverständlich die erkenntnisse aus der logsuche beachten und nicht wieder den gleichen mist ermöglichen beim installieren ;)