Sicherheitsproblem im Forum

[ruhrpottforum]

Jemand hat sich unauthorisierten Zugang zum AdminCP (3.8.4pl2) verschafft und eine .js Datei in Templates hinzugefügt. Ein iFrame mit einem Werbebanner mit 0*0 Pixel.

Ferner waren im Apachelog Zugriffe von /stats.php auf folgende Dateien

/clientscript/vbulletin_global.js
/clientscript/vbulletin_menu.js

Von der selben IP wie von der "Eindringling" im ACP.

admincp dann per htaccess und htpasswd abgesichert und Passwörter von allen Admins geändert.

Ab dann waren keine Zugriffen mehr auf dem AdminCP auch habe ich vB 3.8.4 PL2 noch mal neu hochgeladen. Ferner läuft vBSEO 3.3.2 (aktuellste stable), vB CMPS 3.2.1 und sonst nicht viel an Spielereien.

Nach einigen Tagen ist das iFrame wieder aufgetaucht - es war per ASCII Codes in der vbulletin_global.js drinnen das wieder korrigiert und wenige Stunden später war die vbulletin_menu.js geändert ...

keine SSH oder FTP Zugänge wurden dafür gebraucht - es ist irgendwie anders "passiert" eine "/stats.php" wurde in keinem der Backups gefunden.

Bin für ein paar Tipps und Tricks dankbar.

[sammy1]

Hi ruhrpottforum,

ich kann dir zwar bei deinem Problem nicht direkt helfen, aber eine stats.php liegt im ACP - Verzeichnis.
Und das ACP sollte man eigentlich generell extra absichern und den Ordner wenn möglich umbenennen.
Dann nicht vergessen den neuen Verzeichnisnamen in der config.php anzupassen!

[StGaensler]

Hallo ruhrpottforum,

dann lösche doch die stats.php (bzw. schau sie dir davor mal an, was da drinnen ist) und ändere noch einmal alle Passwörter - dann sollte der Eindringling vorerst wieder ausgesperrt sein.

Wichtig wäre noch, herauszufinden, auf welchem Weg die stats.php auf den Server kam. Bevor die Lücke nicht geschlossen ist, ist der gleiche Angriffsweg wieder möglich.

Freundliche Grüße

Stefan

[ruhrpottforum]

Die /stats.php die laut Apachelog aufgerufen wurde, war nicht die im /admincp/ und die, die aufgerufen wurden, gibt es nicht mehr. Sie war auch in keinem der täglichen Backups - sie war wohl nur wenige Stunden auf dem Server.

Gibt es eine Übersicht welche Dateiberechtigungen es für welche Dateien/Ordner braucht?

[sammy1]

Hi ruhrpottforum,

Dateien: CHMOD 0644 ; Verzeichnis: CHMOD 0755
mit sehr wenigen Ausnahmen. Diese werden dann in aller Regel vom Programm explizit gefordert und benannt.
So z.B. in den Installationshinweisen.

[CThiessen]

Jemand hat sich unauthorisierten Zugang zum AdminCP (3.8.4pl2)

Moin,
vermutlich nicht. Ich denke das sind noch Probleme aus der zeit wo vBSEO ein Problem hatte.
Auch wenn die Lücke geschossen ist können noch Probleme aus der Zeit auf deinem Server sein.

Zum lesen:
http://www.vbseo.com/f5/vbseo-securi...eleased-38487/

Du solltest:
Alle Dateien neu hoch laden (Forum, vBSEO, Add-Ons)
Deine Bilder Ordner (Avatar, Profil, e.t.c) überprüfen ob dort etwas anders als Bilder drin sind.
Mit folgenden Befehlen nach "bösen" Scripten auf deinem Server suchen:

find . -regex '.*\.php$' -exec grep FilesMan {} \; -printf %p\\n
find . -regex '.*\.php$' -exec grep ZaCo {} \;-printf %p\\n

Gruß
Christian

PS:
Nicht die Templates wieder herstellen. In der Datenbank auch die Original Templates überprüfen. Es kann sein das der Code auch im "Orginal" vorhanden ist.

[ruhrpottforum]

Danke für die Tipps:

Code:

find . -regex '.*\.php$' -exec grep FilesMan {} \; -printf %p\\n

bringt nichts zurück

Code:

find . -regex '.*\.php$' -exec grep ZaCo {} \;-printf %p\\n 
find: missing argument to `-exec'

gibt nur den Fehler.

Sind die Befehle rekursiv auch für die Unterordner?

In Welcher Tabelle finde ich die Original Templates?

Das vBSEO habe ich sofort geupdated gehabt nach Veröffentlichung des Fixes.

Anhänge, Avatare, Signaturbilder sind in der Datenbank abgelegt.

Ich werde am Wochenende mal ein neuen Webfolder anlegen und dort ein 3.8.4pl2, neuste vBSEO 3.3.2 und die anderen Addons hochladen und dann einfach die Datenbank wieder rein hängen - hoffentlich bekomme ich die auch gescannt nach Ungereimtheiten.

[Mystics]

In Welcher Tabelle finde ich die Original Templates?

In der Tabelle template mit der styleid -1. Führe nach dem Hochladen der Originaldateien am Besten die /install/finalupgrade.php aus, dann werden alle Standard-Templates/-Phrasen wiederhergestellt.