Sicherheitsloch bei Dragorans Portal

[MacTV 0]

Tag...

so heute hatte es unser Forum 1.3.1 erwischt. Wir wurden gehackt.

Ich war zum Glück gerade im Forum und konnte Schlimmeres abweisen.

Also ich dachte zuerst das Forum wurde gehackt weil der letzte Patch noch

nicht aufgespielt wurde. OK bei mir fehlte ein Sicherheitseintrag im der TOPIC.php

Anscheind kennt jemand eine Sicherheitslücke und konnte dadurch bei mir

die

index.php

admin.php

und was noch viel schlimmer ist die config.php ändern.

Ich habe meine alten Sicherung vom (15.01.2006) kontrolliert

und wieder hochgeladen.

Alle Dateien auf 755 gesetzt und das SQL Passwort geändert.

Bei meiner Durchsicht bei den Server Logdateien kam der Hacker über diese

Google Abfrage:

http://www.google.it/search?q=%22Portal+1....irefox-a&rls=or

g.mozilla:en-US:official&start=90&sa=N

http://www.google.de/search?q=Portal+1.3+b...irefox-a&rls=or

g.mozilla:de:official&start=20&sa=N

http://www.google.com.sa/search?q=Portal+1...e&start=60&sa=N

http://www.google.fr/search?hl=fr&q=%22Por...+business&meta=

http://www.google.com/search?q=%22Portal+1...=&start=90&sa=N

Also wird über das Dragoran Portal eingestiegen !

Meine Version ist die 1.2 (oh Gott)

Es gibt aber anscheind schon eine

Portal 1.3-2 by Dragoran > http://www.lkw-allrad.de/forum/

Selbst jetzt habe ich immer noch google Referer mit der Dragoran Portal

Abfrage. Ich habe wie gesagt alle Dateien erstmal auf 755 gesetzt und das Portal

ausgeklammert.

Weiss jemand von dem Problem ?

Kann man die Dateien nicht einfach auf 644 setzten ?

PS: Das Board hat er auch gehackt > http://www.minolta-forum.de/

PS2: Das gleiche Thema habe ich auch auf > http://www.ibforen.de/forum/index.php?showtopic=11167&hl=

UPDATE: Dort ist auch ein FIX

Ich weiss, das es zwischen den zwei Supports knistert. Aber bei dem Problem,

was bestimmt in den nächsten Tagen viele haben werden, sollte man etwas

zusammen dagegen unternehmen.

Edited February 1, 2006 by MacTV

[MacTV 0]

Da stehts was soben

Dragoran Portal Module for IPB "site" Variable SQL Injection Vulnerability

http://www.frsirt.com/english/advisories/2006/0396

und hier

http://forums.invisionize.com/index.php?s=...dpost&p=1635795

[Modula 0]

EDIT

Damit müssts dann ganz dicht sein.

http://www.ibforen.de/forum/index.php?show...=15entry81468

Edited February 1, 2006 by Modula

[MacTV 0]

Wunderbar !

[fenek 1]

Ja ich bedanke mich auch sehr...

© Portal 1.3-2 by Dragoran

Was hat das bitte schön auf sich ??

[Modula 0]

Dragoran hat mehrere "Unterversionen" seines Portals veröffentlicht.

Wo sich diese Unterscheiden und woran man das zuverlässig erkennen kann kann ich leider nicht sagen, da der Kontakt zu ihm auch irgendwie abgebrochen zu sein scheint :/

[fenek 1]

Modular

ich danke Dir vielmals für Deine Arbeit..

Hatte ich gestern ja noch Backups gefahren,

und bin auch erst seit ein paar Tagen wieder aus Afrika zurück..

Danke schön !!

[TomCrow 0]

Tja, uns hat's auch erwischt..

Zum Glück hatte der Hacker gestern wenig Zeit und/oder Lust und hat eigentlich "nur" gebannte Mitglieder gelöscht..

Heute war ich grad zufällig im ACP als er nochmal kam, daher konnte ich sofort Schlimmeres verhindern..

Hat sich bei mir auch als "DR.DERMANN" registriert und scheint aus dem Umfeld von karimooc-winrar.jeun.fr zu kommen, da er gestern den Adminaccount in "greensouf" umbenannt hat..

Hab jetzt Peters Fix ins Portal eingebaut und hoff' nun is' wieder Ruh'..

mfg,

Tom

[edit] hab' mich jetzt nochmal durch's ACP gewühlt; da hat der Angreifer einige u. U. sicherheitsrelevante Einstellungen abgeändert - so z.B. HTML in Signaturen erlaubt, die Dateiendung .php bei Bildern, Avatars, usw.

Ev. um sich ein "Hintertürchen" offen zu halten oder das Forum generell leichter angreifbar zu machen..

Edited February 3, 2006 by TomCrow

[derDenty 0]

Ich hab das Portal 1.3...ist das sicherer als das 1.2?

Ausserdem können sich bei mir nur noch User reggen über den Admin,aber ob das die beste Lösung ist,weiß ich net.

Dann wird bei uns eine tägliche Datenbank Sicherung vorgenommen für den Ernstfall.

[TomCrow 0]

..

Affected Products

Dragoran Portal (module for IPB) version 1.3 and prior

..

Den fix solltest Du also auf jeden Fall einbauen (falls Du das nicht eh längst getan hast..)

mfg,

Tom

[Modula 0]

Das neuregistrierte User erst eine Adminerlaubnis brauchen sollte den Hacker nicht stören, da er über das Sicherheitsloch eben jeden beliebigen schon vorhandenen Adminaccount benutzen kann ohne sein Passwort zu kennen.

[derKosta 0]

Ich habe in den letzten Tagen auch viele Referer von Google mit dem Suchstringt Dragoran Portal gehabt.

Hoffentlich nützt der Patch von Peter was.

[TomCrow 0]

Also bei mir ist im Moment Ruh' - hoffentlich nicht die "Ruhe vor dem Sturm"..?

Wie in dem Dragoranthema schon steht, ist - leider - wohl mit neuen Angriffen zu rechnen..

mfg,

Tom

[MacTV 0]

Also,

wenn ich mir die Web-Space-Log-Dateien der letzten 5 Tage ansehe

dann hab ich pro Tag etwa 34 Hackangriffe auf unser Board.

Zu einem wird versucht via Dragron Board Hack ins Board einzudringen,

der Rest sind irgendwelche anderen Abfrage. (Da schätze ich auf die fehlenden Security-Hacks).

Fast 80 % der IP´s stammen aus Russland...

Ei ei ei ....

Edited February 5, 2006 by MacTV

[derKosta 0]

Und ich hab mir beim Log anschauen vorgestern nur gedacht, da sucht jemand nur Beispielseiten welche das Portal eingebaut haben...

Naja so kann man sich täuschen.

Mein Hacker kam aus Belgien.

IP: 80.201.201.172

Country: Belgium

City: Antwerp, Antwerpen

Edited February 5, 2006 by derKosta