Guten Morgen,
ein interessantes Phänomen. Seit Jahren versuchen kriminelle Subjekte, Foren zu kompromittieren und an deren Datenbanken zu kommen; zuerst, um (zu Spamzwecken?) Zugriff auf die Benutzeraccounts zu bekommen, derzeit aber eher, um an Mailadressen und zugehörige Benutzerdaten zu gelangen.
Nun wurde über die Leitung, über die MyBB "nach Hause telefoniert" dazu verwendet, Datenbankbackups der betroffenen Foren anzufertigen und zu dem betreffenden kriminellen Subjekt zu schicken.
MyBB ist damit in guter Gesellschaft, denn das alles ist (wenn auch in anderer Art) bereits Vbulletin, phpBB, und anderen Forenentwicklern wie auch andern Firmen wie M$ passiert.
Wenn ich dann Bemerkungen lese wie "Habe aber trotzdem sicherheitshalber das Passwort geändert!" , welche vermuten lässt, das der Poster sein Admin-Passwort meint, wird mir übel.
Wenn ich die Meldungen richtig interpretiere, wurde eine Kopie der Datenbank angefertigt und an "noch unbekannt" verschickt.
Dann sind neben dem Admin-Passwort doch auch alle User-Daten mit verschickt worden, Richtig?
Es müssen dann auch alle User zumindest ihr Passwort ändern!
Im Übrigen: Würde nicht jede Software selbsttätig nach Hause telefonieren, nur um zu sagen "Version 1.2 ist nicht mehr aktuell, Du solltest auf Version 2.7 updaten", gäbe es dieses Problem gar nicht.
Da bei meiner MyBB-Testinstallation das Forum sehr schnell zugespammt wurde, habe ich auf eine Verwendung von MyBB verzichtet.
Als Admin sollte man immer daran denken: Server und Websoftware wird gehackt, das ist normal. Der Trick bei der ganzen Sache ist, sich dagegen abzusichern und alle möglichen Türen zu schließen!
Gemein an dieser Sache ist, dass der rechtmäßige Forenadmin durch seinen administrativen Login das Datenbankbackup und den Versand desselben an den Hacker selbst ausgelöst hat mit der Abfrage, ob seine Forensoftware noch aktuell ist.
Und da sollten die Boardentwickler mal ein paar Nächte drüber schlafen, und derartige Funktionen deinstallierbar bzw. abschaltbar machen.
Schönen Tag noch!
Wenn ich die Meldungen richtig interpretiere brauchst Du nichts zu machen. Schön dass nun jeder weiß in welchem Rechenzentrum Du hosten lässt.
Völlig korrekt!
Funktion, die kein Mensch braucht, öffnet Kriminellen das Tor...
Was wurde mit dem Javascript denn sonst noch alles auf dem Rechner der betroffenen Forenadmins angestellt? Weiß das jemand?
ein interessantes Phänomen. Seit Jahren versuchen kriminelle Subjekte, Foren zu kompromittieren und an deren Datenbanken zu kommen; zuerst, um (zu Spamzwecken?) Zugriff auf die Benutzeraccounts zu bekommen, derzeit aber eher, um an Mailadressen und zugehörige Benutzerdaten zu gelangen.
Nun wurde über die Leitung, über die MyBB "nach Hause telefoniert" dazu verwendet, Datenbankbackups der betroffenen Foren anzufertigen und zu dem betreffenden kriminellen Subjekt zu schicken.
MyBB ist damit in guter Gesellschaft, denn das alles ist (wenn auch in anderer Art) bereits Vbulletin, phpBB, und anderen Forenentwicklern wie auch andern Firmen wie M$ passiert.
Wenn ich dann Bemerkungen lese wie "Habe aber trotzdem sicherheitshalber das Passwort geändert!" , welche vermuten lässt, das der Poster sein Admin-Passwort meint, wird mir übel.
Wenn ich die Meldungen richtig interpretiere, wurde eine Kopie der Datenbank angefertigt und an "noch unbekannt" verschickt.
Dann sind neben dem Admin-Passwort doch auch alle User-Daten mit verschickt worden, Richtig?
Es müssen dann auch alle User zumindest ihr Passwort ändern!
Im Übrigen: Würde nicht jede Software selbsttätig nach Hause telefonieren, nur um zu sagen "Version 1.2 ist nicht mehr aktuell, Du solltest auf Version 2.7 updaten", gäbe es dieses Problem gar nicht.
Da bei meiner MyBB-Testinstallation das Forum sehr schnell zugespammt wurde, habe ich auf eine Verwendung von MyBB verzichtet.
Als Admin sollte man immer daran denken: Server und Websoftware wird gehackt, das ist normal. Der Trick bei der ganzen Sache ist, sich dagegen abzusichern und alle möglichen Türen zu schließen!
Gemein an dieser Sache ist, dass der rechtmäßige Forenadmin durch seinen administrativen Login das Datenbankbackup und den Versand desselben an den Hacker selbst ausgelöst hat mit der Abfrage, ob seine Forensoftware noch aktuell ist.
Und da sollten die Boardentwickler mal ein paar Nächte drüber schlafen, und derartige Funktionen deinstallierbar bzw. abschaltbar machen.
Schönen Tag noch!
(16.11.2014, 08:52)eisenherz schrieb: Hallo!
Ich lasse meine Updates von Hetzner automatisch jeden Tag erledigen. Im Admin CP ist nichts zu sehen.
Was sollte ich jetzt unbedingt tun, um Ungemach zu vermeiden.
Wenn ich die Meldungen richtig interpretiere brauchst Du nichts zu machen. Schön dass nun jeder weiß in welchem Rechenzentrum Du hosten lässt.
(15.11.2014, 20:47)frostschutz schrieb: In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen.
Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken...
Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist.
Völlig korrekt!
Funktion, die kein Mensch braucht, öffnet Kriminellen das Tor...
Was wurde mit dem Javascript denn sonst noch alles auf dem Rechner der betroffenen Forenadmins angestellt? Weiß das jemand?