Kazhal 1 Report post Posted July 17, 2006 Hallo zusammen, letztes Wochenende hatte ich einen Besucher im ACP. Und zwar wurde nachts eine Passwortanfrage für meinen Account geschickt. Diese ging natürlich an meine private Mailadresse, aber vielleicht hat es ja was mit der Sache zu tun?! Des Weiteren ist es gut möglich, daß ich in eben diesem Moment eingeloggt war. Am nächsten Tag war mein ACP-Passwort verstellt und jemand (ich meine mit der selben IP wie der PW-Nachfrager) hat eine Spam-Bulkmail an alle Mitglieder verschickt gehabt. Sonst scheint nichts passiert zu sein. Jemand 'ne Idee wie so etwas passieren konnte? Meine User (ca. 4k) sind jetzt natürlich verunsichert... Das Update auf 2.1.7 war noch nicht installiert (war erst seit 1-2 Tagen on), jedoch müßte ansonsten alles up to date gewesen sein. Danke + Gruß Peter PS: Brute-Force schließe ich mal aufgrund der Länge des PWs aus (16-stellig). Share this post Link to post
Kazhal 1 Report post Posted July 17, 2006 Kann sein daß ich bei etwas fündig geworden bin, und zwar als ich mal den neu integrierten Virusscanner mal meine Files durchsucht habe. Die Uhrzeit würde ja grob stimmen. Ich habe das File erst einmal umbenannt, damit es nicht mehr ausführbar ist, aber ansonsten bin ich etwas hilflos, da ich nicht genau weiß wie das überhaupt möglich war. Share this post Link to post
smashIt 0 Report post Posted July 17, 2006 es gab mal ne lücke über die man files einschleusen konnte. anscheinend hat das wer genutzt um dir was unterzujubeln. den file solltest übrigens löschn, der hat dort nix zu suchen Share this post Link to post
Kazhal 1 Report post Posted July 17, 2006 Hm aber ich vermute die Lücke ist nachwievor da, immerhin ist das File ja erst gestern manipuliert worden und das Forum war wie gesagt up to date. Habe bei Invision mal ein Ticket geöffnet, mal sehen was die dazu sagen. Share this post Link to post
WalleniuM 1 Report post Posted July 17, 2006 hattest du gestern das 2.1.7 drauf? 2.1.7 enhällt auch sicherheitsupdates. selbst wenn du das drauf hattest: sollte die datei vorher hochgeladen worden sein, dann kann die ein hacker dannach auch noch verwenden... haste mal reingeguckt was da für code drin is? Share this post Link to post
Kazhal 1 Report post Posted July 17, 2006 (edited) Ne zu dem Zeitpunkt hatte ich den letzten Stand VOR 2.1.7 drauf. Wann das File hochgeladen wurde kann ich leider nicht sehen (höchstens im ftp-Log oder?!). Reingeguckt habe ich mal, sagt mir aber nicht so viel außer daß es augenscheinlich zum Hacken dient und am Ende ausführbaren Code enthält. Den php-Teil kann ich zwar überfliegen aber da bin ich kein Profi. Es ist auf jeden Fall eine recht große Datei will sagen relativ viel Code. Möchte es natürlich nicht unbedingt noch publik machen daher spare ich mir mal ein Anhängen ! Edited July 17, 2006 by Kazhal Share this post Link to post
Kazhal 1 Report post Posted July 19, 2006 Hello, It seems like that file you uploaded was a backdoor. How it most likely got there is there was a security issue in previous versions of IPB that allowed .php files to be uploaded to the emoticons folder, if someone had Admin access. A user likely got Admin access using an older exploit. Both issues are resolved in IPB 2.1.7. If the file is removed, you should be fine. I would also recommend running the other two tools for security in the Admin CP. If someone has access that shouldn't, you can remove them. But as said, if you have removed the file, you should be fine now if you are running IPB 2.1.7. Thank you, Keith Kacin Support Supervisor Invision Power Services Share this post Link to post