15.11.2014, 19:51
15.11.2014, 19:59
Das sind aber schlechte Neuigkeiten. Zum Glück bin ich nicht betroffen, werde aber sicherheitshalber alles ändern.
Danke für die Info.
Danke für die Info.
15.11.2014, 20:09
Betrifft das nur die Datenbank-Backup Funktion?
Ich habe nämlich die backupdb.php in meinen Foren seit Langem komplett entfernt.
Ich habe nämlich die backupdb.php in meinen Foren seit Langem komplett entfernt.
15.11.2014, 20:13
(15.11.2014, 20:09)waldo schrieb: [ -> ]Betrifft das nur die Datenbank-Backup Funktion?Das eingebundene Skript hat ausschließlich das Datenbankbackup aufgerufen.
15.11.2014, 20:18
Alles klar, danke Michael.
Passwortwechsel kann trotzdem nie schaden
Passwortwechsel kann trotzdem nie schaden
15.11.2014, 20:23
Nichts erkennbar, das Admin-CP aber auch das letzte Mal um 00:40 Uhr genutzt.
Also wohl nicht angegriffen?
Passwort habe ich trotzdem angepasst. Danke!
Also wohl nicht angegriffen?
Passwort habe ich trotzdem angepasst. Danke!
15.11.2014, 20:29
Betrifft das alle MyBB Versionen und konnte der Angriff nur durchgeführt, wenn der Versionscheck aufgerufen wurde?
15.11.2014, 20:36
Seid ihr euch sicher, dass ein Nichterscheinen des Backups im ACP eine Entwarnung ist?
15.11.2014, 20:43
Schau dir die Admin Logs an.
15.11.2014, 20:47
Danke für die Information, bei uns war niemand eingeloggt.
Wenn ich das JS richtig interpretiere und es seitdem nicht geändert wurde, dann hat es nur die users-Tabelle erwischt. In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen.
Kommt dann irgendwann noch ein Sicherheitsupdate für MyBB 1.6 und 1.8?
Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken...
Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist.
Wenn ich das JS richtig interpretiere und es seitdem nicht geändert wurde, dann hat es nur die users-Tabelle erwischt. In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen.
Zitat:Für den betroffenen Account bei GitHub wurden bereits Vorsichtsmaßnahmen aktiviert, um solch einen Zwischenfall in Zukunft zu verhindern.
Kommt dann irgendwann noch ein Sicherheitsupdate für MyBB 1.6 und 1.8?
Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken...
Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist.