MyBB.de Forum
GitHub-Account kompromittiert - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+--- Thema: GitHub-Account kompromittiert (/thread-30994.html)

GitHub-Account kompromittiert - Michael - 15.11.2014

Gestern, am 14. November, wurde der GitHub-Account eines MyBB-Entwicklers kompromittiert. Der Angreifer hat die Möglichkeit genutzt und Änderungen vorgenommen. Es wurde die Antwort geändert, die das MyBB beim Versionscheck vom Server bekommt. Unglücklicherweise war es ihm dadurch möglich, Datenbankbackups jedes MyBB-Forums per JavaScript einzurichten.

Damit ein Forum angegriffen werden konnte, musste jemand heute zwischen 0:00 und 16:30 Uhr im Admin-CP eingeloggt sein. Solltest du dein Admin-CP in dieser Zeit genutzt haben, wurdest du wahrscheinlich angegriffen.

Um das zu überprüfen, melde dich im Admin-CP an und überprüfe die Logs der Backups. Gehe dazu ins ACP -> Tools & Verwaltung -> Datenbank sichern. Sollte im genannten Zeitraum ein Backup erstellt worden sein, wurde dein Forum attackiert. Wir empfehlen dringend, dass du deine Benutzer aufforderst, ihr Passwort zu ändern.

Wir empfehlen folgende Schritte:
1. Fordere deine Benutzer dazu auf ihr Passwort zu ändern.
2. Ändere dein Passwort.
3. Lösche deine Cookies.

Für den betroffenen Account bei GitHub wurden bereits Vorsichtsmaßnahmen aktiviert, um solch einen Zwischenfall in Zukunft zu verhindern. Wir bitten vielmals um Entschuldigung und stehen für Fragen zur Verfügung.

RE: GitHub-Account kompromittiert - Michael - 15.11.2014

Diskussion zur Ankündigung

RE: GitHub-Account kompromittiert - StefanT - 17.11.2014

Unser Mitglied frostschutz weist darauf hin, dass der Schadcode auch noch im Cache gespeichert sein könnte:
(17.11.2014, 10:36)frostschutz schrieb: Man sollte auch den Versionscheck nochmal laufen lassen, da sich der Schadcode sonst auch im update_check Cache von MyBB festsetzen kann.

In ACP->Tools->Cache->update_check darf es keine <script> Tags geben. Falls doch, Cache erneuern und dann nochmal Versionscheck und dann schauen obs weg ist. Wenn nicht, cacht noch irgendwas anderes...
Für die Überprüfung sollte Javascript im Browser deaktiviert werden, da sonst der Schadcode unter Umständen ausgeführt werden könnte.

RE: GitHub-Account kompromittiert - StefanT - 18.11.2014

Der Schadcode wurde nun auf dem zum Angriff missbrauchten externen Server entfernt. Somit geht auch vom Cache keine direkte Gefahr mehr aus.