Diskussion: GitHub-Account kompromittiert - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html) +--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html) +---- Forum: Ankündigungs-Diskussionen (https://www.mybb.de/forum/forum-49.html) +---- Thema: Diskussion: GitHub-Account kompromittiert (/thread-30995.html) |
RE: Diskussion: GitHub-Account kompromittiert - Michael - 15.11.2014 (15.11.2014, 20:29)Jockl schrieb: Betrifft das alle MyBB Versionen und konnte der Angriff nur durchgeführt, wenn der Versionscheck aufgerufen wurde?Ja und ja. (15.11.2014, 20:36)DerMauch schrieb: Seid ihr euch sicher, dass ein Nichterscheinen des Backups im ACP eine Entwarnung ist?Ja. Der Angriff wurde durch Ausführen des Backups über die Oberfläche des ACPs durchgeführt, wobei ein Logeintrag erstellt wird. (15.11.2014, 20:47)frostschutz schrieb: Kommt dann irgendwann noch ein Sicherheitsupdate für MyBB 1.6 und 1.8?Dazu ist mir derzeit nichts bekannt, wahrscheinlich kann Stefan da mehr zu sagen. RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 15.11.2014 ...und wenn ich das JS weiter richtig interpretiere, dann wurde das Backup nicht als Datei gespeichert, sondern vom JavaScript heruntergeladen und dann wieder zum Angreifer hochgeladen. Und das auch noch unkomprimiert. Also ich hab jetzt ja kein besonders großes Forum (~5000 Mitglieder). Aber bei mir sind das schon 7.2MB. Bis das herunter- und dann noch wieder heraufgeladen ist, vergeht schon eine Weile. Ich hab ja auch nur 16MBit-DSL. Das JS dürfte aber nur auf der Indexseite laufen und meistens macht man ja gleich was anderes wenn man ins ACP geht. Und sobald man sich von der Indexseite weiterklickt (zu den Plugins oder Settings wo man hinwollte) läuft das doch wohl nicht weiter? Ich frage mich wieviel Erfolg der Angreifer mit dem Ding da letztendlich hatte... Edit: Hab mich beim englischen Blog verlesen, von einer Datei war keine Rede sondern vom Logeintrag. Edit2: Gut, die Uploadzeit ist wohl nicht so entscheidend da der Angreifer auch mit einem unvollständigen Upload schon wertvolle Teildaten hat... RE: Diskussion: GitHub-Account kompromittiert - MrBrechreiz - 15.11.2014 Werden eigentlich die GitHub Accounts von MyBB gestellt oder sind es die eigens erstellten ? RE: Diskussion: GitHub-Account kompromittiert - Trommler - 15.11.2014 Ich hatte heute mittag mein Admin-CP genutzt, um auf 1.8.2 upzudaten. Vor dem Update habe ich selbst eine Sicherung erzeugt. Wenn jetzt vom heutigen Datum also nur eine Sicherung existiert, kann ich dann sicher sein, nicht Opfer der Attacke zu sein? Gibt es noch eine andere Möglichkeiten, das zu prüfen? Die Admin-Log-Daten von heute weisen nur meinen Namen und meine IP aus. RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 15.11.2014 Auf GitHub ist normal jeder mit seinem eigenen Account unterwegs. Dieser kann dann Mitglied in verschiedenen Gruppen/Projekten sein... also ein gehackter GitHub-Account ist schon nicht schön. Ich geb auch ehrlich zu die 2-Faktor-Auth selbst nicht zu nutzen. Ist mir zu umständlich. @Trommler: JavaScript wird ja von deinem Browser ausgeführt, ergo ist dein Name und deine IP dran auch wenns vom Angreifer kam. Im Log steht dann was von "hat ein Backup heruntergeladen". (Englisch: <name> <date> Downloaded a backup of the current database). RE: Diskussion: GitHub-Account kompromittiert - dodo51 - 15.11.2014 Mir ist heute folgendes passiert, da ich das neue Update auf 1.8.2 demnächst machen wollte, habe ich im acp heute morgen um 7.13 Uhr eine Datenbanksicherung durchgeführt. Es hat aber nicht geklappt, keine Rückmeldung und eine komische Seite mit Fehlermeldungen erschien, ich ging auf zurück und war wieder im acp, hatte aber kein backup. In Admin-log erscheint mein Name und ip ......download der Sicherung der aktuelllen Datenbank um 7.13 Uhr, nur ich habe nichts. Hat das eine Bedeutung, dass meine Sicherung nicht geklappt hat? RE: Diskussion: GitHub-Account kompromittiert - Bogus - 15.11.2014 Also ich hab zwei Foren laufen, eins davon sogar noch mit 1.6er Version. Beide Foren, soweit ich sehen konnte, hat sich keiner da einloggen können Finde ich aber bisschen heftig, das sowas überhaupt möglich ist. Ein kleines Armutszeugnis für die Entwickler. Von Mybb und auch von Github. von Github hätte ich sogar erwartet, das das der Service besser abgesichert ist. Aber denke keine Software ist davor gefeiht, sieht man ja bei Windows und auch bei anderen Betriebssystem etc. Hoffe die machen diese Sicherheitslücke bald dicht .. RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 15.11.2014 @Bogus: GitHub kann wohl am wenigsten dafür... Große Sorgen muß man sich aber anscheinend nicht machen, wenn der Hacker mit seinem Namen hausieren geht... RE: Diskussion: GitHub-Account kompromittiert - Falkenauge Mihawk - 15.11.2014 Wieso wird die Datei, die die Antwort für den Versioncheck liefert, auf Github gehostet und nicht auf dem mybb.com Server? RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 15.11.2014 Mit mybb.com kannst du das nicht machen, das ist ständig down, hinter der Cloudflare-Wall, etc. |