MyBB.de Forum

Normale Version: MyBB Exploit / Sonstiges?
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Guten Tag liebe MyBB Nutzer.

Ich komme hierher, da ich Support brauche - dringend. Ich leite seit ca einem Jahr eine erfolgreiche Community mit knapp 5.000 Mitgliedern. In meinem Board bieten User täglich ihre selfmade Programme an und schreiben über das Weltgeschehen und all so ein Kram. Wir besitzen eine sogenannte Premium Zone wo wöchtentlich einige Programme reinkommen die nicht für die normalen User, sondern für die Premium User, gedacht sind. Diese Programme sind nicht illegal aber 'non public' (= nicht öffentlich, nicht verbreitet).

Vor kurzem fand ich eine Datei auf meinem Space - shell.php (class.php) - die wahrscheinlich (Ich weiß es nicht genau) über die Attachements auf den Server kam. Es wurden viele 'non public' Sachen runterladen und überall verstreut. Ich säuberte mal den Space und entdeckte diese Datei. Sie kam mir komisch vor. Ich habe diese Datei runtergeladen und soweit ich konnte überprüft. Es war eine sogenannte Shell. Diese Shell habe ich sofort gelöscht, den Space nochmals überprüft (nichts gefunden) und ein Backup gemacht. Nungut. Dieses Problem war nicht der Hauptgrund wieso ich euch um Hilfe bitte.

Es wurde Heute wieder eine Attacke auf mein Board ausgeübt. Dabei wurde ein Trojaner an alle User verschickt. Dies wurde durch die eMail-an-Alle Funktion gemacht.

Meine Frage: Wie kommt ein unbefugter User in's ACP? Ich habe meinen PC mehrmals mit verschiedenen Programmen gescannt und nichts gefunden. 2 andere User die Zugriff auf's ACP haben, haben sich auch selbst gescannt und ich war dabei, da ich Teamviewer anhatte. Keiner hatte einen Trojaner oder sonstige Malware auf dem Rechner.

Es ist nicht zwingend drigend eine Antwort zu bekommen, da ich das Board offline genommen habe und ich jetzt auf gescheite, professionelle Antworten warten möchte. Es nervt einfach nur, wenn man ein erfolgreiches Board nicht mehr genug schützen kann, weil derjenige, der's macht, sowieso immer wieder in's ACP kommt.

Mfg,
# Synx'
Hallo,

wo in welchem Ordner auf dem Webspace hast du die Datei gefunden? Welche MyBB-Version benutzt du?
Also ich benutze momentan die neuste Version von MyBB und ich habe die Datei im Ordner inc/languages/deutsch_sie gefunden.
Zur Zeit sind keine Sicherheitslücken im MyBB bekannt. In einer vorigen Version gab es ein Problem, wodurch PHP-Dateien in einen beschreibbaren Ordner auf dem Webspace abgelegt werden konnten. Stelle bitte sicher, dass sich in den Ordner uploads und uploads/avatars/ keine PHP-Dateien befinden (*.php). Solltest du sort auf eine solche Datei stoßen solltest du sie umgehend entfernen.

Ist es in diesem Zusammenhang möglich, dass die Dateien auf deinem Webspace abgelegt wurden bevor du auf die aktuelle Versuin umgestiegen bist? Nach Möglichkeit gibt hier das Erstellungsdatum der Dateien Auskunft, die nicht auf dem Webspace sein sollten.
Hast du einen Rootserver?
Installiere den suhosin Patch und lass php nur mit safe_mode on laufen.
Installiere den CrackerTracker für mybb.
Danke für eure Hilfe. Ich werd' mich wieder melden, wenn es etwas neues gibt.
Michael schrieb:Stelle bitte sicher, dass sich in den Ordner uploads und uploads/avatars/ keine PHP-Dateien befinden (*.php). Solltest du sort auf eine solche Datei stoßen solltest du sie umgehend entfernen.

Bei mir ist im Ordner "uploads" eine index.php.

Zitat:<?php
/**
* MyBB 1.2
* Copyright © 2006 MyBB Group, All Rights Reserved
*
* Website: http://www.mybboard.net
* License: http://www.mybboard.net/eula.html
*
* $Id: index.php 3478 2007-11-15 04:11:36Z Tikitiki $
*/
define("IN_MYBB", 1);

$templatelist = ..........

Gehört die nun dahin oder nicht? Bin etwas verwirrt.

Gruß
Peter
Im Ordner "uploads" sollte sich keine PHP-Datei befinden.