15.11.2014, 19:51
Diskussion zu: GitHub-Account kompromittiert
Gruß,
Michael
![[Bild: banner.png]](https://www.mybb.de/files/images/banner.png)
Bitte gelöste Themen als "erledigt" markieren.
Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht.
Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)
Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste
|
Diskussion: GitHub-Account kompromittiert
|
 Gruß, Michael Bitte gelöste Themen als "erledigt" markieren. Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht. 
15.11.2014, 19:59
Das sind aber schlechte Neuigkeiten. Zum Glück bin ich nicht betroffen, werde aber sicherheitshalber alles ändern.
Danke für die Info.
Mit freundlichen Grüßen
MrBrechreiz 
15.11.2014, 20:09
Betrifft das nur die Datenbank-Backup Funktion?
Ich habe nämlich die backupdb.php in meinen Foren seit Langem komplett entfernt.
15.11.2014, 20:13
(15.11.2014, 20:09)waldo schrieb: Betrifft das nur die Datenbank-Backup Funktion?Das eingebundene Skript hat ausschließlich das Datenbankbackup aufgerufen. Gruß, Michael Bitte gelöste Themen als "erledigt" markieren. Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht.
15.11.2014, 20:18
Alles klar, danke Michael.
Passwortwechsel kann trotzdem nie schaden 
15.11.2014, 20:23
Nichts erkennbar, das Admin-CP aber auch das letzte Mal um 00:40 Uhr genutzt.
Also wohl nicht angegriffen? Passwort habe ich trotzdem angepasst. Danke! 
Betrifft das alle MyBB Versionen und konnte der Angriff nur durchgeführt, wenn der Versionscheck aufgerufen wurde?
15.11.2014, 20:36
Seid ihr euch sicher, dass ein Nichterscheinen des Backups im ACP eine Entwarnung ist?
15.11.2014, 20:47
(Dieser Beitrag wurde zuletzt bearbeitet: 15.11.2014, 20:48 von frostschutz.)
Danke für die Information, bei uns war niemand eingeloggt.
Wenn ich das JS richtig interpretiere und es seitdem nicht geändert wurde, dann hat es nur die users-Tabelle erwischt. In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen. Zitat:Für den betroffenen Account bei GitHub wurden bereits Vorsichtsmaßnahmen aktiviert, um solch einen Zwischenfall in Zukunft zu verhindern. Kommt dann irgendwann noch ein Sicherheitsupdate für MyBB 1.6 und 1.8? Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken... Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist. |
|
|
Foren-Team |
Kontakt | MyBB.de | Nach oben | Archiv-Modus | Alle Foren als gelesen markieren | RSS-Synchronisation | Zur mobilen Ansicht