MyBB.de Forum
Diskussion: GitHub-Account kompromittiert - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+---- Forum: Ankündigungs-Diskussionen (https://www.mybb.de/forum/forum-49.html)
+---- Thema: Diskussion: GitHub-Account kompromittiert (/thread-30995.html)

Seiten: Seiten: 1 2 3 4 5


RE: Diskussion: GitHub-Account kompromittiert - Cybermonky - 16.11.2014

Hallo Liebe MyBB-Fans

Wäre/ist dieser Angriff trotz htaccess-Schutz des Admin-Bereichs möglich?

Lg Cybermonky


RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 16.11.2014

Da es von deinem eigenen Browser ausgeführt wurde, sind alle anderen Schutzmechanismen wirkungslos.

Das einzige was schützt ist ein so "sicher" konfiguriertes PHP daß der Versionscheck sowieso nicht funktioniert. (kein fetch_remote_file etc.)

Oder einfach die Nichtnutzung des ACP zu der betreffenden Zeit. Wink

Patch kommt noch, zumindest für 1.8 https://github.com/mybb/mybb/issues/1617


RE: Diskussion: GitHub-Account kompromittiert - Cybermonky - 16.11.2014

Oh ok danke für die Info!

Mein Forum ist ja Gott sei Dank nicht betroffen so wie es aussieht. Habe aber trotzdem sicherheitshalber das Passwort geändert!

Lg Cybermonky


RE: Diskussion: GitHub-Account kompromittiert - Falkenauge Mihawk - 16.11.2014

(15.11.2014, 23:43)frostschutz schrieb: Mit mybb.com kannst du das nicht machen, das ist ständig down, hinter der Cloudflare-Wall, etc. Wink

Also so wie ich das sehe, wird trotzdeme eine Datei von mybb.com geladen.


Zitat:$contents = fetch_remote_file("http://www.mybb.com/version_check.php");

Datei ./admin/modules/home/index.php, Zeile 42


RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 16.11.2014

Das sind aber trotzdem GitHub Pages. Schönes neues Web. Smile


RE: Diskussion: GitHub-Account kompromittiert - eisenherz - 16.11.2014

Hallo!
Ich lasse meine Updates von Hetzner automatisch jeden Tag erledigen. Im Admin CP ist nichts zu sehen.
Was sollte ich jetzt unbedingt tun, um Ungemach zu vermeiden.


RE: Diskussion: GitHub-Account kompromittiert - chrissio - 16.11.2014

Guten Morgen,

ein interessantes Phänomen. Seit Jahren versuchen kriminelle Subjekte, Foren zu kompromittieren und an deren Datenbanken zu kommen; zuerst, um (zu Spamzwecken?) Zugriff auf die Benutzeraccounts zu bekommen, derzeit aber eher, um an Mailadressen und zugehörige Benutzerdaten zu gelangen.

Nun wurde über die Leitung, über die MyBB "nach Hause telefoniert" dazu verwendet, Datenbankbackups der betroffenen Foren anzufertigen und zu dem betreffenden kriminellen Subjekt zu schicken.

MyBB ist damit in guter Gesellschaft, denn das alles ist (wenn auch in anderer Art) bereits Vbulletin, phpBB, und anderen Forenentwicklern wie auch andern Firmen wie M$ passiert.

Wenn ich dann Bemerkungen lese wie "Habe aber trotzdem sicherheitshalber das Passwort geändert!" , welche vermuten lässt, das der Poster sein Admin-Passwort meint, wird mir übel.

Wenn ich die Meldungen richtig interpretiere, wurde eine Kopie der Datenbank angefertigt und an "noch unbekannt" verschickt.

Dann sind neben dem Admin-Passwort doch auch alle User-Daten mit verschickt worden, Richtig?

Es müssen dann auch alle User zumindest ihr Passwort ändern!

Im Übrigen: Würde nicht jede Software selbsttätig nach Hause telefonieren, nur um zu sagen "Version 1.2 ist nicht mehr aktuell, Du solltest auf Version 2.7 updaten", gäbe es dieses Problem gar nicht.

Da bei meiner MyBB-Testinstallation das Forum sehr schnell zugespammt wurde, habe ich auf eine Verwendung von MyBB verzichtet.

Als Admin sollte man immer daran denken: Server und Websoftware wird gehackt, das ist normal. Der Trick bei der ganzen Sache ist, sich dagegen abzusichern und alle möglichen Türen zu schließen!

Gemein an dieser Sache ist, dass der rechtmäßige Forenadmin durch seinen administrativen Login das Datenbankbackup und den Versand desselben an den Hacker selbst ausgelöst hat mit der Abfrage, ob seine Forensoftware noch aktuell ist.

Und da sollten die Boardentwickler mal ein paar Nächte drüber schlafen, und derartige Funktionen deinstallierbar bzw. abschaltbar machen.

Schönen Tag noch!

(16.11.2014, 08:52)eisenherz schrieb: Hallo!
Ich lasse meine Updates von Hetzner automatisch jeden Tag erledigen. Im Admin CP ist nichts zu sehen.
Was sollte ich jetzt unbedingt tun, um Ungemach zu vermeiden.

Wenn ich die Meldungen richtig interpretiere brauchst Du nichts zu machen. Schön dass nun jeder weiß in welchem Rechenzentrum Du hosten lässt. Wink

(15.11.2014, 20:47)frostschutz schrieb: In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen.

Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken...

Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist.

Völlig korrekt!

Funktion, die kein Mensch braucht, öffnet Kriminellen das Tor...

Was wurde mit dem Javascript denn sonst noch alles auf dem Rechner der betroffenen Forenadmins angestellt? Weiß das jemand?


RE: Diskussion: GitHub-Account kompromittiert - Trommler - 16.11.2014

Hallo,

ich scheine hiervon leider betroffen zu sein.

Allerdings verstehe ich nicht, was der Angreifer jetzt mit den Daten anfangen kann und ob eine große "Achtung-Angriff- alle Passwörter ändern-Aktion" in meinen Fall überhaupt angebracht ist.

1. Wenn der Angfreifer jetzt durch das Backup alle Forenbeiträge mitlesen will: Viel Spaß, da sorgt mich höchstens die Zeitverschwendung des Hackers, da wir nichts geheimes oder auch nur irgendwie peinliches diskutieren (Sportspartenvereins internes Forum mit wenigen Usern).

2. Jetzt hat der Hacker alle Mail-Adressen, die er für SPAMs nutzen kann: Das lässt sich sowieso nicht mehr ändern.

3. Er greift jetzt mit User-Accounts auf das Forum zu: Auch da sehe ich höchsten Raum für Irritationen und keinen Nutzen für den Angreifer und keine echte Gefahr für mein Forum. Aber: Kann er das überhaupt? Wo soll der die User-Passwörter her haben? Sind die nicht verschlüsselt gespeichert?

Vielleicht bin ich etwas naiv, vor allem bin ich in diesen Sicherheitsaspekten nur sehr oberflächlich kundig.

Schätze ich die Gefahr also korrekt als sehr gering ein (in meinem Fall) oder unterschätze ich das?


RE: Diskussion: GitHub-Account kompromittiert - MrBrechreiz - 16.11.2014

Klar sind die Passwärter verschlüsselt, und sollten so ohne weiteres aucxh nicht knackbar sein. Trotzdem kann es nicht Schaden, dem Angreifer dies so schwierig wie möglich zu machen. Ausserdem lebt man generell auf dünnem Eis, wenn man Seine Benutzerdaten nicht hinundwieder ändert. Gilt auch für empfindliche Daten wie, Zugangsdaten der Datenbankserver und des Admin Accounts auf seinem Forum. Dies sollte genauso als selbstverständlich erachtet werden, wie das regelmäßige Ändern seines Passwortes auf seinem Online Banking Accounts.


RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 16.11.2014

@Trommler: Wenn du betroffen bist, dann ändere zumindest die loginkeys von allen. Denn um gültige Session--Cookies zu erzeugen, braucht der Angreifer das Passwort gar nicht unbedingt solange der loginkey passt.

Code:
UPDATE mybb_users SET loginkey='';
# oder wenn paranoid:
UPDATE mybb_users SET loginkey=SHA1(CONCAT(RAND(),UUID(),loginkey));

Danach sollten sich alle neu einloggen müssen.

Admins/Mods sollten trotzdem ihr Passwort ändern, und den restlichen Usern sollte das zumindest empfohlen werden. Die Passwörter in der Datenbank sind gesalzen, was Bruteforce einzelner User-Passwörter aufwendiger, aber nicht unmöglich macht.


@chrissio:
Als unnötig würde ich die Funktion nicht bezeichnen. Eigentlich soll die Funktion ja die Admins dazu bringen mal ihr MyBB upzudaten, und das ist normalerweise um Sicherheitslücken aus der Welt zu schaffen... daß es jetzt so mißbraucht wurde ist eine sehr unglückliche Geschichte Wink aber das kann man fixen und wird wohl auch gemacht https://github.com/mybb/mybb/issues/1617