Hall Leute,

heute mal ein Hinweis an alle Forenbetreiber welche die Software phpBB der Version 2.010 und niedriger einsetzen. (phpBB ist eine der wohl weit verbreitesten kostenlosen Foren Software Lösungen, welche grade im Clan Bereich häufig Anwendung finden) .

phpBB hat eine heftige Sicherheitslücke, ein entsprechendes Update wurde vor kurzem von phpBB zur Verfügung gestellt.

Was noch nicht ganz so bekannt ist:
Derzeit ist eine Art Wurm im Umlauf, welcher selbständig nach Bords mit diser Version sucht, das Bord hackt und die im Account liegenden Dateien modifiziert und unter Umständen auch Accounts anderer auf dem gleichen Server liegender phpBB Bords aufspürt und infiziert.

Aus diesem Grund breitet sich der "Hack" extrem schnell aus, es ist also sehr wichtig so schnell wie irgend möglich auf die Version phpBB 2.0.11 upzudaten.

Genauere Informationen finden sich auch hier:

http://www.webwork-magazin.net/news/artikel/2705

Bitte dieses Post nicht als Spam auffassen, wens nicht interessiert/betrifft ok, aber ich denke hier gibt es eine Menge Clans die ein sollches Clan Forum nur ungern verlieren möchten.

Viele Grüße
Rieke

Krass Danke.

Jupp und das schaut dann so aus, wenn eine HomePage bzw. Browserspiel sapotiert wurde:

This site is defaced!!!
NeverEverNoSanity WebWorm generation 9.

Astrander

- Thread verschoben

Offensichtlich war phpBB nur der Anfang:

http://www.heise.de/newsticker/meldung/54504

Mehrere deutsche Web-Auftritte gehackt [2. Update]

Web-Auftritten, die unter dem Content Management System N/X laufen, droht eventuell die Gefahr eines so genannten Defacements, also der böswilligen Umgestaltung der Startseite. Betroffen waren nach Kenntnis von heise Security bislang die Seiten von Softmaker, Men's Health, des Zoos München, der Zeitschrift Connect und die Homepage von N/X selbst. Einige der Seiten sind mittlerweile wieder hergestellt. Sehr wahrscheinlich sind auch andere Betreiber vom Umbau ihrer Seiten betroffen, die dann ungefähr folgendermaßen aussieht:
Defaced

Durch welche Schwachstelle es den bislang Unbekannten gelang, die Inhalte zu verändern, ist zurzeit nicht klar. Die Entwickler von N/X weisen darauf hin, dass ihr CMS von den kürzlich gemeldeten Schwachstellen in PHP nicht betroffen ist. Aus dem Text "NeverEverNoSanity" im Defacement lässt sich schließen, dass eine Benutzereingabe wahrscheinlich nicht richtig gefiltert wird und ein Angreifer so möglicherweise Befehle einschleusen und ausführen kann, ähnlich wie bei SQL-Injection.

Update
Die Defacements entpuppen sich nach und nach als Angriffswelle eines Wurms gegen Seiten, die die Forensoftware phpBB einsetzen. Laut der Erklärung auf der Homepage von phpBB dringt der Wurm über die seit vier Wochen bekannte viewtopic-Sicherheitslücke ein und überschreibt Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm mit eigenen Inhalten. Zum Finden von Seiten, die phpBB einsetzen, benutzt der Wurm Google, indem er nach URLs sucht, die die Zeichenkette "viewtopic.php" enhalten. In phpBB 2.0.11 ist die Lücke beseitigt. Auf die Schnelle hilft auch der auf phpBB.com veröffentlichte Workaround.

Mittlerweile hat Kaspersky eine Warnung veröffentlicht. Die Antiviren-Spezialisten sprechen angesichts der raschen Ausbreitung bereits von einer Epidemie und haben den Wurm auf Net-Worm.Perl.Santy.a getauft. Die Erklärungen auf den Kaspersky-Seiten decken sich weitgehend mit den von heise Security präsentierten Informationen. (dab/c't)

Cms, Looool

Danke für die info... aber uns hats trotzdem getroffen. Wohl auch als einer der ersten. Einige Member bemerkten das Deface :D schon in den frühen Morgenstunden. Dauerte gut 3 stunden das wieder grad zu biegen und unsere Datenbank hat wohl leider n hau wech... egal

Torch

Wer eben solche Software einsetzt muss auch dafür sorgen, dass sie ständig aktuell ist. Adminstrieren bedeutet auch ständig pflegen!

Wer eben solche Software einsetzt muss auch dafür sorgen, dass sie ständig aktuell ist. Adminstrieren bedeutet auch ständig pflegen!

Da haste allerdings recht... aber in dem Fall hat sowieso jeder Versagt... Die Server Admins, der Forenadmin (Ich) und der Serverbesitzer :p

Diese Info sollte vielleicht einigen helfen.


Hier http://www.phpbb.com/phpBB/viewtopic.php?t=240513 ist
ein Fix, der unbedingt einzubauen ist, wenn man ein phpbb Forum einsetzt:

Open viewtopic.php in any text editor. Find the following section of code:



//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{



and replace with:



//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{



Schaut bitte auch nach, ob ihr safe_mod = on habt , denn ansonsten kann auch von einem Nachbarweb der Wurm übers ganze System auf eure Seiten übergreifen.

Einen Update Patch auf phpbb 2.0.11 findet ihr hier
http://www.nukeresources.com/downloadview-...uke_2.0.11.html

Monika

hi,
das schliesst zwar die möglichkeit für den angriff aber trotzdem sollte man unbedingt die aktuelle version einpflegen.
mit 0.11 wurden auch andere sicherheitslücken geschlossen.

Mehrpack

sagt mal kann ich auch das ganz normale update benutzen um ein phpbb2.0.10 welches in phpnuke integriert ist upzudaten oder muss ich da was beachten?

Danke... grad mal n Update drüber laufen lassen... die hätten mal n "automatisches Update" Button im Adminpanel einbauen können... is ja lästig wieder die FTP Logindaten rauskramen zu müssen :D

hi,
@digitalfreak: in die richtung kenn ich mich nicht so aus, aber evt kannst du da mit den codechances arbeiten.
aber lieber auf die herstellerseite des portals schaun, diese bieten meistens auch aktuallisierungen an.
das sollte dann 100% laufen.

@Lyhta: ein forum zu administrieren bedeutet verantwortung und arbeit, welche nicht mit dem installieren des forum abgeschlossen ist sondern da erst anfängt.
solange es nur um dein rechner ginge wäre es deine sache wenn er geschrottet wird, weil du ein sicherheitsupdate nicht eingespielt hast, sollte aber jemand über dein forum zugang erlangen und dann schaden auf dem webserver verursachen weil du versäumt hast sicherheitupdates einzuspielen, denke ich könnte es durch aus sein das dein provider dich dafür zur rechenschaft zieht.
und ein ungemoddetes phpbb auf den neusten stand zu halten ist nicht ja nun nicht wirklich schwer.
ausserdem lieber ärger vermeinden, als dann ärger beseitigen zu müssen.

Mehrpack

Ich bastel nun schon seid juni an nem kleinen webauftritt aber es kommt auch immer wieder was dazwischen.
Zuerst wollte ich nen Mod ins phpBB einbaun, als dann gar nix mehr ging hab ich wieder alles neu gemacht. Dann ist mitlerweile ein Portalupdate erschienen... irgendwie ist immer was zu tun... ist ja echt schlimm, sowas will ich lieber nicht beruflich machen, mir reichen schon die bugs in meiner Hardware :) .

@Mehrpack Hey du bist ja im phpBB Forum recht aktiv hab dich gleich am Avatar erkannt ;).

Na mal sehn ob ich das mit dem Update hinbekomme. Ist den meine Seite eigentlich erst mal sicher wenn ich den Zugriff mittels htaccess komplett sperre? Dann dürfte doch auch kein Wurm daruf zugriff haben oder? Ich meine es ist eh noch nix auf der Seite... und ich hab den gesammten webspace mit htaccess gesichert weil da noch keiner was drauf zu suchen hat.

hi,
yo aber basteln am forum macht auch spass, wenns dann entlich so geht wies soll *g*.

uff ich denk mal schon, da ja dann kein öffentlicher zugriff besteht, sollte der wurm nicht mehr die viewtopic öffnen können.
zur sicherheit vielleicht besser die viewtopic erstmal temporär vom webspace löschen und dann eine gefixte version hochspielen.

das problem bei dem wurm ist, das er nicht nur das eigene board/webspace infiziert sondern auch über ein befallenes board auch gleich den ganzen server lahmlegen kann und die anderen darauf hinterlegten webauftritte.

*g* ja ich bin ein gewohnheitstier, deswegen habe ich überall wo avatare gehn den selben avatar, das heisst ich kann leicht verfolgt werden *paranoischen anfall bekomm* äh ich muss weg *renn* :D

Mehrpack

Google hat die weitere verbreitung vererst gestoppt, allerdings sind bereits ca 40.000 phpBB Bords infiziert worden und wie Mehrpack schon sagte, ist der Wurm so freundlich über ein infiziertes Bord auch gleich ganz andere Scripte/Systeme anderer auf dem gleichen Server gehosteter Kunden zu infizieren.

Hoffen wir mal das dieses Beispiel nicht Schule macht und der entstandene Schaden möglichst bald behoben wird.

http://www.webwork-magazin.net/news/artikel/2709