Keyjockey Geschrieben 4. Mai 2011 Melden Share Geschrieben 4. Mai 2011 @Papa Schlumpf Endlich wieder Keywelt. ^^ Für mich wars aber nicht so schlimm - ein paar Tage nach dem Hack war ich erstmal ne Woche am Ballermann zum Saison Opening 2011. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
miro17 Geschrieben 4. Mai 2011 Melden Share Geschrieben 4. Mai 2011 @Papa Schlumpf, vielen Dank für Deine Ausführung! Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Gandalf Geschrieben 4. Mai 2011 Admin Melden Share Geschrieben 4. Mai 2011 Kann ich gerne beantworten die Fragen: 1. Ja, das Script gibt es schon lange, das Script ist aber nicht "der Hack", sondern die Installation des Scriptes auf dem Server. Dazu muss eine aktuelle Sicherheitslücke genutzt werden, von denen alle paar Wochen eine gefunden wird, sei es im Board, in mySQL, PHP oder dem IIS 7. 3. Leider konnte ich bisher nicht feststellen, durch welche Lücke das Script installiert werden konnte. Fest steht, dass das php-Script als "Avatar" einen Users hochgeladen wurde. Allerdings ist laut Board-Einstellungen als Board Avatar kein Upload von php erlaubt, sondern nur einige gängige Bildformate. Allerdings hat der Angreifer den Avatar nach der Installation wohl wieder gelöscht, zumindest ist er nirgends mehr eingestellt (und ein History-Log gibt es nicht für Avatare). Zu Punkt 1.) wäre noch zu sagen dass es nicht unbedingt mit der WEB-Engine zusammenhängt wenn eine Board-Software durch einen Expolit geknackt wird und daher auch viele Updates für das Server-BS und deren Teil-Applikationen (WEB-Server/DB-Engine) das eigentlich bestehende Problem gar nicht beheben können weil es sich in der Boardsoftware selbst befindet. Zu Punkt 2.) Die Sicherheitslücke wurde am 28.06.2010 erstmalig reportet und die einzige Frage die sich dazu stellt ist welche Version davon in der Boardversion werkelt, das würde ich mir mal genauer ansehen denn das beanstandete PHP-Script ist in vielen Board-Softwareprodukten auch zu finden und wird wohl vermutlich auch im IP-Board in ähnlicher oder sogar unveränderter Form drin sein mit dessen Hilfe sich dann die nötigen Rechte erlangen lassen um Installationen durchzuführen wie sie hier passiert sind, selbst der dazu nötige Expolit lässt sich mit ein wenig Wissen via Google finden und ist sehr leicht anzuwenden. Das vermeintliche Avatar muss nicht unbedingt gelöscht worden sein und war mit hoher Wahrscheinlichkeit gar keines sondern der Expolit inklusive des Schadcodes welcher als Dateiendung mit einem gültigen Bildformatnamen hochgeladen wurde und das vermeintliche "Avatar" hat dann sein Werk getan und danach löscht sich der verwendete Expolit selbst. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 4. Mai 2011 Admin Melden Share Geschrieben 4. Mai 2011 Zu Punkt 1.) wäre noch zu sagen dass es nicht unbedingt mit der WEB-Engine zusammenhängt wenn eine Board-Software durch einen Expolit geknackt wird und daher auch viele Updates für das Server-BS und deren Teil-Applikationen (WEB-Server/DB-Engine) das eigentlich bestehende Problem gar nicht beheben können weil es sich in der Boardsoftware selbst befindet. Zu Punkt 2.) Die Sicherheitslücke wurde am 28.06.2010 erstmalig reportet und die einzige Frage die sich dazu stellt ist welche Version davon in der Boardversion werkelt, das würde ich mir mal genauer ansehen denn das beanstandete PHP-Script ist in vielen Board-Softwareprodukten auch zu finden und wird wohl vermutlich auch im IP-Board in ähnlicher oder sogar unveränderter Form drin sein mit dessen Hilfe sich dann die nötigen Rechte erlangen lassen um Installationen durchzuführen wie sie hier passiert sind, selbst der dazu nötige Expolit lässt sich mit ein wenig Wissen via Google finden und ist sehr leicht anzuwenden. Das vermeintliche Avatar muss nicht unbedingt gelöscht worden sein und war mit hoher Wahrscheinlichkeit gar keines sondern der Expolit inklusive des Schadcodes welcher als Dateiendung mit einem gültigen Bildformatnamen hochgeladen wurde und das vermeintliche "Avatar" hat dann sein Werk getan und danach löscht sich der verwendete Expolit selbst. Danke für die weitern Ausführungen. Bzgl. der Symptome kann ich sagen, dass das r57-php-script selbst noch im Avatar-Upload Verzeichnis vorhanden war (und zwar mit der Endung .php). Ob es die angesprochene Lücke war, kann ich noch nicht sagen, muss ich mir dann bei Gelegenheit noch einmal im Detail anschauen... Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
fl0ppy Geschrieben 4. Mai 2011 Melden Share Geschrieben 4. Mai 2011 Schadcode, Exploid...fehlt nurnoch das Wort Speicherdump irgendwie erinnert mich das an die gute alte Zeit ... Ach was ich eigentlich sagen wollte. Schon das das Keywelt-Board wieder online ist. Danke an alle die dazu beigetragen haben. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
arnaut Geschrieben 5. Mai 2011 Melden Share Geschrieben 5. Mai 2011 prima es geht wieder. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
rolu2 Geschrieben 5. Mai 2011 Melden Share Geschrieben 5. Mai 2011 kurze Info PNs und Benachrichtungen aus abonierten Thread geht wieder nicht Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 5. Mai 2011 Admin Melden Share Geschrieben 5. Mai 2011 Kurze Info noch: Dass die Seite ab und zu gar nicht erreichbar ist, liegt leider am DNS-Provider. Da gibt es aktuell offensichtlich ein paar Stabilitätsprobleme... Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
bobbi Geschrieben 9. Mai 2011 Melden Share Geschrieben 9. Mai 2011 Super das Ihr wieder da seid. Lob an die Admins Mein Problem: Mein Avatar ist weg Ich hatte bis dato ca 280 Beiträge,es werden aber nur 111 angezeigt. Gruß bobbi Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
bobbi Geschrieben 9. Mai 2011 Melden Share Geschrieben 9. Mai 2011 Super das Ihr wieder da seid. Lob an die Admins Mein Problem: Mein Avatar ist weg Ich hatte bis dato ca 280 Beiträge,es werden aber nur 111 angezeigt. Gruß bobbi Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
bobbi Geschrieben 9. Mai 2011 Melden Share Geschrieben 9. Mai 2011 Sorry für Doppelpost Fragen haben sich erledigt Lob bleibt bobbi Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Zapt Geschrieben 10. Mai 2011 Melden Share Geschrieben 10. Mai 2011 Bezüglich "just-in-time" Updates bei Sicherheitslücken werde ich mal sehen was man machen kann. Allerdings ist man da den (kommeziellen) Hackern immer einen Schritt hinterher, weil es immer 0-Day Lücken gibt. "Kommerzielle" Hacker greifen kein solches Board an. Hier gibts doch nichts zu holen... 0 Day Lücken wird es immer geben, das heisst aber nicht, dass man keine Patches installiert. Wäre ja als würde man sagen: "Ein Einbrecher kann immer durch die Fenster einbrechen, also machen wir es ihm einfacher und lassen das Fenster gleich gekippt." Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Admin Papa Schlumpf Geschrieben 10. Mai 2011 Admin Melden Share Geschrieben 10. Mai 2011 "Kommerzielle" Hacker greifen kein solches Board an. Hier gibts doch nichts zu holen... 0 Day Lücken wird es immer geben, das heisst aber nicht, dass man keine Patches installiert. Wäre ja als würde man sagen: "Ein Einbrecher kann immer durch die Fenster einbrechen, also machen wir es ihm einfacher und lassen das Fenster gleich gekippt." Hast Du überhaupt mitbekommen, was genau passiert ist? Die "Einbrecher" haben dafür gesorgt, dass bei jedem Aufruf des Boards der Aufruf von präperierten Seiten gestartet wurde, um bei den Nutzern des Board Scareware zu installieren (http://about-threats.trendmicro.com/malware.aspx?language=de&name=HTML_FAKEAV.SMME). Ziel dieser Attacken ist ja wohl Geld mit der Software zur Entfernung der Scareware zu verdienen, was für mich kommerziell ist. Wenn du eine andere Meinung dazu hast, darfst Du die auch gerne hier sagen, aber Du solltest Deine Aussagen schon auf die Fakten stützen. Bezüglich der Patches: Natürlich werden alle verfügbaren Patches zeitnah installiert, es kann aber durchaus mal vorkommen, dass zeitnah ein paar Wochen dauert, wenn ich zu sehr mit anderen Dingen (Arbeit/Familie) beschäftigt bin. mySQL 5.1.57 wurde z.B. am Releasetag (gestern) instaliitert. Link zu diesem Kommentar Auf anderen Seiten teilen More sharing options...
Empfohlene Beiträge
Archiviert
Dieses Thema ist jetzt archiviert und für weitere Antworten gesperrt.