MyBB.de Forum

Normale Version: Sicherheitsproblem?
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Seiten: 1 2
Heute stellte ich fest, dass eine unerwünschte Weiterleitung aktiv geworden ist: Sucht man mein Forum mit einer Suchmaschine, klickt auf den Ergebnislink in der Trefferliste, dann landet man nicht im Forum, sondern wird sofort weitergeleitet nach [http://www.pillendienst.com/?wbm=362&promoid=MAR] - der übliche miese Sexpillendreck.

Mies. Also bin ich der Sache auf den Grund gegangen und habe mir die Forendatenbank direkt angesehen. Darin tauchte in der Tabelle "mybb_templates" in den Feldern "footer" und "showthread" folgendes auf:

PHP-Code:
<script type='text/javascript'> <!--
if(
document.referrer.indexOf("google")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
if(
document.referrer.indexOf("yahoo")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
if(
document.referrer.indexOf("live")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
if(
document.referrer.indexOf("web.de")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
if(
document.referrer.indexOf("lycos")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
if(
document.referrer.indexOf("t-online")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
if(
document.referrer.indexOf("altavista")>-1document.write("<meta http-equiv='refresh' content='0.1; URL=http://www.pillendienst.com/?wbm=362&promoid=MAR'>");
//-->
</script

Wie kommt das da rein? Ich habs mal von Hand gelöscht. Ist das ein Sicherheitsproblem von sql oder von Mybb?
Hallo,

hast Plugins aus "unseriösen" Quellen installiert?

Hat sonst noch jemand Zugriff auf FTP/DB bzw. AdminCP?
Nein, keinerlei Plugins installiert. Nur das deutsche Sprachpaket, ansonsten die neueste Mybb-Version "wie geliefert". Keine Zugriffe über ftp, das wäre in den Logs aufgetaucht. Die Kennworte für Datenbank und Webserver sind nicht so leicht ausspähbar, da ich grundsätzlich lange zufällig zusammengewürfelte Ketten aus Buchstaben und Zahlen verwende. Der Webhoster macht ansonsten auch einen zuverlässigen Eindruck, ist keine Einmannbude.

Was mich etwas beunruhigt, ist die Tatsache dass sich solche Spammerhütten wie pillendienst nicht mit langsamen Hacks von Hand abgeben, um ihren Müll zu verbreiten. Das passiert normalerweise mindestens halbautomatisch und massenhaft unter Ausnutzung irgendwelcher Sicherheitslöcher.
Aktuell ist kein schwerwiegendes Sicherheitsproblem bekannt, das so etwas ermöglichen könnte.

1. Kannst du ganz ausschließen, dass jemand Zugriff auf die Datenbank hatte?
2. Kannst du ganz ausschließen, dass jemand Zugriff aufs ACP hatte?
3. Laufen noch andere Skripte auf deinem Webspace (möglicherweise auch mit der gleichen Datenbank)?
4. Hast du Zugriff auf die Access-Logs des Webservers? Falls ja, schicke bitte die Logs aus dem betroffenen Zeitraum an support[at]mybboard[punkt]de.
Zugangsdaten zur Datenbank habe nur ich. Kennwort ist ebenfalls eine lange Zufallskette aus Buchstaben und Zahlen. Ich habe seit der MyBB-Installation nicht mehr direkt auf Datenbank zugegriffen (dafür gibts ja normalerweise auch keinen Grund), schon deswegen ist ein Lauscher nach den Zugangsdaten wenig wahrscheinlich. Hab das Kennwort ja nie mehr eingegeben. Mein Rechner läuft unter MacOS X und ist gut gesichert, da gibts keine Spyware.

Die Datenbank wird über die übliche Confixx-Oberfläche des Webhostingproviders verwaltet. Dafür habe keine Logfiles, ich weiss also nicht ob es ein Dritter darüber versucht hat.

Zugriff auf die Logs des Webservers habe ich. Ich kann den Zeitraum des Einbruchs auf fünf Tage plus heute morgen eingrenzen, das letzte Datenbankbackup ist nämlich noch frei von Sexpillenmist. Selbst komprimiert sind die Logfiles für diesen Zeitraum aber >2mb gross. Ich schicke sie nachher mal in fünf Einzelmails.
Du kannst die Server-Logs ja mal nach "pillendienst" durchsuchen. Wink Hast du mal die Admin-Logs angeschaut?
Dein Kennwort im Forum ist auch wirklich sicher?
Ich habs gefunden - die Typen sind tatsächlich übers ACP gegangen. Anbei die entsprechenden Logfileeinträge. Sie sind sehr knapp und zielgerichtet vorgegangen. Die Forendatenbank haben sie auch runtergeladen. Sind damit die Mitgliederaccounts auch gefährdet?

Wie die allerdings an das Admin-Kennwort gekommen sind, ist mir ein Rätsel. Oder doch ein Bruch? Was bedeuten die Javascript-Abrufe im Logfile?
Sind das alle Einträge mit dieser IP-Adresse?
Suche auch Punkt 3: https://www.mybb.de/forum/thread-20177.html
Ja, das sind alle und die einzigen Zugriffe von dieser IP aus innerhalb zwei Wochen. Wenn ich das Admin-Verzeichnis umbenenne, dann muss ich das nach jedem mybb-Update wiederholen?
Ja, ein Passwort-Schutz bleibt aber ewig.
Seiten: 1 2