Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Hackangriffe
#11
Was du meinst ist eine Art von XSS (Cross Site Scripting).
Dabei werden bestimmte GET-Variablen direkt so wieder in den Code integriert, wie sie als Parameter übergeben wurden.

Update (kleine Korrektur):
Um genau zu sein würde es sich hier nicht um eine XSS sondern eine CSRF/XSRF (Cross Site Request Forgery) Lücke handeln.


Allerdings sind diese Veränderungen nicht permanent, sondern lediglich über einen präparierten Link für denjenigen zu sehen, der ihn anklickt.

Allerdings gehe ich stark davon aus, dass die Standard GET-Parameter von MyBB durchaus sauber gefiltert werden. Bei Plugins kann das jedoch durchaus nicht der Fall sein.
Man sollte auch sehen, auf welchem Level der Angriff erfolgte.
Ist es tatsächlich über die Website gelaufen, oder wurde gar der Server direkt angegriffen? Wenn letzteres der Fall ist, wird dir ein cleanen deiner Dateien nicht viel bringen, da die eigentliche Sicherheitslücke dann nicht geschlossen ist.

Wenn es tatsächlich über das Forum passiert ist, folgendes:
Um solche Angriffe über MyBB mit Dateimodifizierungen durchführen zu können, muss es ansonsten eine Lücke geben, die entweder die Ausführung von PHP-Code erlaubt, oder das einbinden von anderen Dateien (Remote-File-Inclusion) gestattet.
Typische "anfällige" Applikationen sind dabei Dateimanager irgendwelcher Art. Ein anderer Standard Angriffsvektor sind Formulare, bzw. Formulareingaben, welche nicht ausreichend geprüft oder unsicher verarbeitet werden.
Dort kommt dann die Frage auf: Welche Plugins hast du installiert?

Eine weitere Möglichkeit wäre ein anderer Bereich der Website, der parallel zum Forum läuft. Hast du irgendwelche zusätzlichen PHP-Skripts, neben dem Forum, existent? Ein CMS beispielsweise?

MfG
Raphael
#12
Hallo Raphael, danke erst mal für deinen verständlichen Beitrag. Ein CMS oder sonstiges php läuft bei mir nicht nebenher. Was mir aber spontan einfällt ist, das ich das xthread Plugin + php im Template, was wohl eher darauf schlußfolgert das Leck im Faß zu sein. Es wurde quasi "NUR" Javascript in html, SW Objects und die admin funkrions Datein damit infiziert, das eine Art including stattgefunden hat, was den Schadecode nachgeladen hat. Alle relevanten Sicherheitsmaßnahmen von mir sind durchgeführt worden um sicherzustellen das es nicht an der MyBB liegt. Mit sicherheit können es Plugins sein die eine Lücke reisen, aber wer verzichte schon gerne auf solch kleine helferchen Smile. Wenn es das php im Template sein sollte was dies ermöglicht, kann ich damit leben es wieder zu entfernen, aber bis dato ist mir nichts bekannt von anderen Usern mit einem gleichen oder ähnlichem Problem.

Also bleibt mir bis dahin nichts anderes übrig als abzuwarten.
Mit freundlichen Grüßen

MrBrechreiz
#13
Eine andere Sache wäre auch noch den Server selbst zu prüfen, sofern du dein Forum auf einem vServer oder Root-Server betreibst.
Wenn dort veraltete Software (z.B. ein veralteter Apache) läuft, kann bereits darüber (auf Systemebene) deine Website angegriffen worden sein. Sofern du allerdings lediglich einen Webspace bei einem Anbieter hast, ist das eher unwahrscheinlich.

Eine letzte, von mir noch nicht angesprochene Möglichkeit, wäre ein simpler Passwortlisten Angriff.
War dein vorheriges (FTP) Passwort ein "sicheres"?
(Bei vServer & Root-Server: ) Ist der Root-Login über SSH aktiviert?


Auf liebgewonnene Plugins verzichtet man ungern, das kenne ich selbst zu gut Wink
Das einzige, was ich dir anbieten kann, ist einmal selbst auf deine Website zu schauen, um nach potentiellen Sicherheitslücken zu fahnden. (Schick mir einfach ne PN)


Lg
Raphael


Nachtrag:
Ich habe mir kurz angesehen, was dieses xthread Plugin macht (sehr grob). Da es zusätzliche Formularfelder für Threaderstellung dynamisch erzeugt, kann es durchaus sein, dass dort die Sicherheitslücke aufgerissen wird, sofern die Eingaben in diesen Feldern nicht sauber gefiltert werden.
#14
FTP Passwort ist ziehmlich sicher, ist auf jedem Fall kein 0815 was man schon erraten kann.
Und ja läuft alles Per SSH ab.

Mann muss dies weiter beobachten ob andere auch solche Anhriffe bekommen und ob sie auch xthreads installiert haben.
Mit freundlichen Grüßen

MrBrechreiz
#15
Verzeih, du hast mich wohlmöglich, was SSH angeht nicht ganz verstanden.
Das man einen Linux Server via SSH administriert ist Standard. Der Standard (nicht änderbare) Administrator-Nutzer bei sämtlichen Linux-Distributionen ist "root".
Man kann den Login direkt des Root via SSH unterbinden, sodass der direkte Login damit nicht mehr möglich wird. (Dadurch hast du einen geringen Sicherheitsgewinn, da so erst ein anderer "Username" herausgefunden werden muss, der SSH-Berechtigungen hat)

Während einer laufenden SSH Session kann man dann via "su" oder "sudo" sich vom Nutzer zum Root "umloggen" bzw. einzelne Befehle mit root-rechten ausführen.

Daher nochmal die Frage: Ist der direkte Login mit dem Nutzernamen "root" möglich?
#16
Nein. Und sorry für das Missverständnis ^^.
Mit freundlichen Grüßen

MrBrechreiz