+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+---- Forum: Ankündigungs-Diskussionen (https://www.mybb.de/forum/forum-49.html)
+---- Thema: Diskussion: GitHub-Account kompromittiert (/thread-30995.html)
Diskussion: GitHub-Account kompromittiert - Michael - 15.11.2014
Diskussion zu: GitHub-Account kompromittiert
RE: Diskussion: GitHub-Account kompromittiert - MrBrechreiz - 15.11.2014
Das sind aber schlechte Neuigkeiten. Zum Glück bin ich nicht betroffen, werde aber sicherheitshalber alles ändern.
Danke für die Info.
RE: Diskussion: GitHub-Account kompromittiert - doylecc - 15.11.2014
Betrifft das nur die Datenbank-Backup Funktion?
Ich habe nämlich die backupdb.php in meinen Foren seit Langem komplett entfernt.
RE: Diskussion: GitHub-Account kompromittiert - Michael - 15.11.2014
(15.11.2014, 21:09)waldo schrieb: Betrifft das nur die Datenbank-Backup Funktion?Das eingebundene Skript hat ausschließlich das Datenbankbackup aufgerufen.
RE: Diskussion: GitHub-Account kompromittiert - doylecc - 15.11.2014
Alles klar, danke Michael.
Passwortwechsel kann trotzdem nie schaden
RE: Diskussion: GitHub-Account kompromittiert - Juventiner - 15.11.2014
Nichts erkennbar, das Admin-CP aber auch das letzte Mal um 00:40 Uhr genutzt.
Also wohl nicht angegriffen?
Passwort habe ich trotzdem angepasst. Danke!
RE: Diskussion: GitHub-Account kompromittiert - Jockl - 15.11.2014
Betrifft das alle MyBB Versionen und konnte der Angriff nur durchgeführt, wenn der Versionscheck aufgerufen wurde?
RE: Diskussion: GitHub-Account kompromittiert - DerMauch - 15.11.2014
Seid ihr euch sicher, dass ein Nichterscheinen des Backups im ACP eine Entwarnung ist?
RE: Diskussion: GitHub-Account kompromittiert - MrBrechreiz - 15.11.2014
Schau dir die Admin Logs an.
RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 15.11.2014
Danke für die Information, bei uns war niemand eingeloggt.
Wenn ich das JS richtig interpretiere und es seitdem nicht geändert wurde, dann hat es nur die users-Tabelle erwischt. In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen.
Zitat:Für den betroffenen Account bei GitHub wurden bereits Vorsichtsmaßnahmen aktiviert, um solch einen Zwischenfall in Zukunft zu verhindern.
Kommt dann irgendwann noch ein Sicherheitsupdate für MyBB 1.6 und 1.8?
Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken...
Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist.