SMFPortal.de

Willkommen !

Autor Thema: Forum gehackt, kann Schwachstelle nicht eindeutig klären  (Gelesen 5984 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Forum gehackt, kann Schwachstelle nicht eindeutig klären
« am: 06. September 2013, 14:25:11 »
Hallo,

vor drei Wochen wurde mein Forum gehackt. Eigentlich meine eigene Schuld, ich hatte noch die Version 1.11. Hab jetzt auf 1.18 updated sowie alle Nutzerpasswörter zurückgesetzt. Leider kann ich aber nicht wirklich feststellen, über welche Schwachstelle sich der Angreifer Zugang verschaffen konnte und ob es wirklich mit der veralteten Version zu tun hatte. Das macht mir etwas Sorgen, weshalb ich das Forum noch nicht wieder in Betrieb genommen habe.

Der Angreifer hatte im Forum gleich mit mehreren fremden Accounts Trollbeiträge geschrieben. An der zuletzt genutzten IP sah ich daß die Accounts übernommen wurden. Ich vermute daß es was mit der Reminder-Funktion zu tun hat. Dem Server-Log nach hat sich der Angreifer die Passwörter anderer Nutzer einfach so zuschicken lassen. Ist da zufällig eine Sicherheitslücke bekannt oder gibts ähnliche Fälle? Beim Update von 1.1.17 auf 1.1.18 gibts zwar eine Änderung in der reminder.php, aber so richtig werde ich daraus nicht schlau.

Denn ich möchte nicht das Forum wieder online stellen und habe das gleiche Problem womöglich erneut. Vorallem weil die Reminder-Funktion ja gerade jetzt benötigt wird, wenn sich alle Nutzer ihr Passwort zuschicken lassen.

Liebe Grüße
Randexistenz

TE

  • Gast
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #1 am: 07. September 2013, 10:10:22 »
1.1.18 ist meines Erachtens sicher, wobei ich selbst ewig keinen Blick mehr in den Code geworfen habe..

Mit dem Reminder als solches kann man keine Accounts hacken, der ist lediglich dazu da dem Benutzer eine E-Mail zu schicken, um das Passwort zu resetten. Die Mail kommt aber bei dem Account an, welcher im Forum hinterlegt ist. Um darüber also Accounts zu "knacken" müsste der Hacker also dort vorher seine eigene Mailadresse eintragen.

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #2 am: 07. September 2013, 14:08:16 »
Also der Eindringling hat keine Daten im Profil verändert, auch keine Mailadressen, aber er konnte mit den fremden Accounts schreiben. Bei den Passwörtern weiß ich es nicht, die müßte ich mal mit denen in einer älteren Datensicherung vergleichen. Im Serverlog immer das gleiche, erst die Reminder-Funktion, dann der Login, dann die Trollbeiträge.

Eine weitere Theorie wäre noch, daß der Angreifer zuvor Nutzerdaten aus einem anderen Forum erbeutet hat. Mit diesen Daten könnte er die E-Mail-Konten der Nutzer gekapert haben und sich an diese die Zugangsdaten für unser Forum angefordert haben. Aber vielleicht ein bisschen weit hergeholt und gleich 4 Accounts in wenigen Minuten, das kommt mir komisch vor. Es waren alles alte Accounts, bei denen sich die Nutzer mehr als drei Jahre nicht eingeloggt hatten.

Ich habe zur Scherheit auch den Server neu aufgesetzt und nun erstmal alle TOR-Server verbannt, läuft trotz 500 Einträgen in der iptabels noch flüssig  :) Trotzdem traue ich dem Frieden nicht, man kann nicht paranoid genug sein.

TE

  • Gast
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #3 am: 07. September 2013, 14:49:03 »
ja, entweder er hat tatsächlich die Mail Accounts auf anderen Seiten gehackt und sich dann Mails zuschicken lassen oder er hat sich auf dem Server Zugriff auf die Mail-Warteschlange verschafft.. Wie auch immer 1.1.11 hatte mehrere Lücken, 1.1.18 hat zumindest keine bekannten Lücken.

Neuinstallation des Servers und direktes Update auf 1.1.18 ist auf jeden Fall eine gute Idee... wenn der Hacker wiederkommen sollte und die gleichen 3 Accounts hackt dann würde ich die 4 User entweder sofort bannen oder löschen.

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #4 am: 07. September 2013, 20:06:14 »
Das Forum wurde gerade wieder gehacked!

Diesmal wurden die Kategorien umgestellt und die Angriffe erfolgen wieder über TOR-Server, dabei habe ich jetzt an die 700 in der iptables. Weiß keinen Rat mehr.

Mikado

  • Spezialist
  • ****
  • Beiträge: 249
    • Reiseberichte und vegetarische Rezepte
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #5 am: 07. September 2013, 20:51:54 »
Hi,
dann würde ich aber in jedem Fall die Seite so lange vom Netz nehmen, bis Du eindeutig geklärt hast, wo Deine Schwachstelle ist. Es muss ja nicht das SMF sein, da scheint vielleicht bei der Serverkonfiguration etwas im Argen zu liegen oder bei einem anderen Programm.

Wer weiß, was da im Hintergrund noch alles läuft und was für Unfug gemacht wird.
Viele Grüße
Petra

TE

  • Gast
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #6 am: 08. September 2013, 12:13:55 »
Diesmal wurden die Kategorien umgestellt
Das spricht dafür, daß er einen administrativen Account gehackt hat oder ggf. auch über phpMyAdmin Zugriff auf die Datenbank hat.. Ohne detaillierte Analyse der Logs .. Du solltest auf jeden Fall auch die Kennwörter für FTP, MySQL etc. ändern.

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #7 am: 08. September 2013, 18:04:23 »
Den Server hatte ich komplett neu aufgesetzt. Andere Distribution, andere Passwörter, kein FTP-mehr, php abgeschottet, Firewall, SSH nur mittels Schlüssel, usw... Ich kann da auch jetzt wieder keinen Einbruch erkennen.

Da ich auch die Passwörter alle zurückgesetzt hatte, kann es eigentlich nur noch am Forum oder an einer Modifikation liegen, obwohl ich die meisten Modifikationen ausgebaut habe und auch kein Portal etc. habe.

Vielleicht steige ich doch auf 2.05 um. Danke erstmal für die Antworten!

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #8 am: 09. September 2013, 11:58:32 »
Ich hatte gestern noch alle Modifikationen ausgebaut und den Traffic beobachtet. Heute am frühen Morgen wurden wieder Beiträge mit einem fremden Account gepostet. Den Server hatte ich doppelt und dreifach gesichert. Es kann nur am Forum liegen. Ich habe den Server jetzt wieder runtergefahren. Ist ärgerlich, der war jetzt erst 4 Wochen vom Netz und das bei 11.000 Nutzern. Ich versuche meine paar Englisch-Vokaleln zusammenzukratzen und melde das mal als "security issue" auf simplemachines.org.

TE

  • Gast
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #9 am: 09. September 2013, 12:18:20 »
ja, das solltest du machen.. im Internet kann ich nix finden, wird möglicherweise eine Zero-Day-Lücke sein... Auf dem Server läuft ausschließlich das SMF oder auch andere "Apps" wie z.B. Plesk?

Edit: Hab mal emanuele45 (einer der aktuellen Developer) angeschrieben, ob dem was bekannt ist..
« Letzte Änderung: 09. September 2013, 15:56:27 von TE »

SMFPapst

  • Support
  • *****
  • Beiträge: 119
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #10 am: 09. September 2013, 15:59:36 »
nutzt du MySQLDumper? Einige vergessen, den Zugang per Passwort zu sichern - dann biste du direkt in der DB und kannst ohne Account rumspielen... - das kriegt dann keiner mit - und du grübelst, wie Beiträge verändert werden..

TE

  • Gast
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #11 am: 10. September 2013, 07:52:05 »
Edit: Hab mal emanuele45 (einer der aktuellen Developer) angeschrieben, ob dem was bekannt ist..
So, hab mal mit Ema gesprochen und er sagte, daß in der Version 1.1.16 oder 1.1.17 eine Lücke im Reminder war, die wurde aber mit Version 1.1.18 gefixt.. Bist du sicher, daß das Upgrade korrekt gelaufen ist? bzw. hast du einfach alle Dateien vom 1.1.11 mit denen vom 1.1.18 überschrieben?

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #12 am: 11. September 2013, 09:33:51 »
nutzt du MySQLDumper? Einige vergessen, den Zugang per Passwort zu sichern - dann biste du direkt in der DB und kannst ohne Account rumspielen... - das kriegt dann keiner mit - und du grübelst, wie Beiträge verändert werden..

Verzeichnisschutz war vorher natürlich eingerichtet. Aber mysqldumper war zu dem Zeitpunkt noch nicht wieder drauf.


Edit: Hab mal emanuele45 (einer der aktuellen Developer) angeschrieben, ob dem was bekannt ist..
So, hab mal mit Ema gesprochen und er sagte, daß in der Version 1.1.16 oder 1.1.17 eine Lücke im Reminder war, die wurde aber mit Version 1.1.18 gefixt.. Bist du sicher, daß das Upgrade korrekt gelaufen ist? bzw. hast du einfach alle Dateien vom 1.1.11 mit denen vom 1.1.18 überschrieben?

Danke Dir. Ich habe den Fall auch mal bei simplemachines.org gemeldet und das Serverlog mitgeschickt. Ich hänge das hier auch mal an (aber stark auf den einen Fall gekürzt).

Die Updates habe ich per Hand eingebaut:
http://custom.simplemachines.org/upgrades/index.php?action=upgrade;file=smf_patch_1.1.18.tar.gz;smf_version=1.1.17
(Alle älteren natürlich auch)

Dazu hatte ich die Dateien aus der Datensicherung vor dem ersten Angriff benutzt um sicher zu sein, daß der Angreifer nicht bereits was verändert hat.

Die "geheime Frage" könnte auch das Problem sein. Mir ist es zwar bei diesem Nutzer (ich hab das dann natürlich probiert) nicht gelungen die Antwort zu erraten. Trotzdem ein großes Sicherheitsrisiko so wie die Funktion da eingebaut ist. Man gibt die Antwort ein und kann einfach ein neues Passwort eingeben. Das vermindert die Sicherheit, anstatt das System zu härten. Wenn z.B. ein Nutzer ein supersicheres Passwort wählt und dann aber die Frage eingibt "wie heißt mein Hund". Mir war das überhaupt nicht bewußt, weil ich mich mit der Funktion nie befasst hab. Die muß ich unbedingt rausnehmen, sollte diese Software nochmal ans Netz gehen.

Randexistenz

  • Mitglied
  • **
  • Beiträge: 13
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #13 am: 08. Oktober 2013, 18:24:52 »
Also, da ich bis heute keine Antwort auf meine Sicherheitsmeldung erhalten habe, bin ich mittlerweile auf eine andere Software umgestiegen. Bisher ist es dem Täter nicht gelungen das Forum zu kompromittieren, obwohl er sofort wieder versucht hat, nachdem es online war. Ich habs in den Logs gesehen.

Ich finde es schade, daß ich von SMF weg mußte, aber das Sicherheitsrisiko war zuletzt unkalkulierbar. Im Netz fand ich für 1.1.18 als erstes Suchergebnis eine Schwachstelle, die es ermöglicht fremden PHP-Code auszuführen und die Rechner der Nutzer mit Schadsoftware zu infizieren. Ich hatte mal testweise auf 2.xx upgraded, was auch problemlos ging, nur hatte ich zu diesem Zeitpunkt schon kein Vertrauen mehr.

TE

  • Gast
Re: Forum gehackt, kann Schwachstelle nicht eindeutig klären
« Antwort #14 am: 08. Oktober 2013, 20:40:37 »
ups, das ist wirklich traurig.. Aber wie du schon geschrieben hast: möglicherweise hat der "Hacker" einfach von den betroffenen Usern die Sicherheitsfrage "erraten".. wenn Leute solche Fragen mit zu einfachen Antworten füllen kann man als Admin wenig dagegen machen. Grundsätzlich halte ich die Funktion trotzdem für durchaus sinnvoll..

Wärst du  trotzdem so nett mir den Link zu der Lücke zu schicken.. ich hab grad mal Google angeworfen und der spuckt mir zum 1.1.18 keinerlei Lücken aus.

 

Internes

Nutzungsbedingungen Impressum

Wissenswertes

Hilfe Knowledge Base

Nützliches

Downloads Socialmedia