+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+---- Forum: Ankündigungs-Diskussionen (https://www.mybb.de/forum/forum-49.html)
+---- Thema: Diskussion: GitHub-Account kompromittiert (/thread-30995.html)
RE: Diskussion: GitHub-Account kompromittiert - chrissio - 16.11.2014
(16.11.2014, 12:42)frostschutz schrieb: @chrissio:
Als unnötig würde ich die Funktion nicht bezeichnen. Eigentlich soll die Funktion ja die Admins dazu bringen mal ihr MyBB upzudaten, und das ist normalerweise um Sicherheitslücken aus der Welt zu schaffen... daß es jetzt so mißbraucht wurde ist eine sehr unglückliche Geschichteaber das kann man fixen und wird wohl auch gemacht https://github.com/mybb/mybb/issues/1617
Recht hast Du ja irgendwo, aber als verantwortungsbewusster Admin kümmere ich mich selbst darum, die von mir verwendete Software auf aktuellem Stand zu halten.
Was man aber lobend erwähnen muss, ist die Informationspolitik des MyBB-Teams.
Bei M$ erfährt man so was in der Regel, wenn der Bug dann nach 2-3 Jahren gefixt wurde... und aus inoffiziellen Foren...
RE: Diskussion: GitHub-Account kompromittiert - pjayman - 16.11.2014
Krasse Sache, bin selbst laut log wohl auch nicht betroffen, aber nen log kann man doch auch teilweise löschen. Da bringt auch das schnellste Updaten nichts, wenn die Software so ne Lücke hat, wofür man selber nichts kann. Dürftig.
RE: Diskussion: GitHub-Account kompromittiert - Trommler - 16.11.2014
(16.11.2014, 12:42)frostschutz schrieb: @Trommler: Wenn du betroffen bist, dann ändere zumindest die loginkeys von allen. Denn um gültige Session--Cookies zu erzeugen, braucht der Angreifer das Passwort gar nicht unbedingt solange der loginkey passt.
Code:UPDATE mybb_users SET loginkey='';
# oder wenn paranoid:
UPDATE mybb_users SET loginkey=SHA1(CONCAT(RAND(),UUID(),loginkey));
Danach sollten sich alle neu einloggen müssen.
Admins/Mods sollten trotzdem ihr Passwort ändern, und den restlichen Usern sollte das zumindest empfohlen werden. Die Passwörter in der Datenbank sind gesalzen, was Bruteforce einzelner User-Passwörter aufwendiger, aber nicht unmöglich macht.
Danke. Mein Admin-PW hatte ich natürlich geändert.
Wie führe ich den Code aus?
RE: Diskussion: GitHub-Account kompromittiert - Jockl - 16.11.2014
https://www.mybb.de/forum/thread-26407.html
RE: Diskussion: GitHub-Account kompromittiert - Trommler - 16.11.2014
Achso, in SQL-Statement. Hätte ich auch selbst drauf kommen können.
Danke!
RE: Diskussion: GitHub-Account kompromittiert - StefanT - 16.11.2014
(16.11.2014, 00:42)Falkenauge Mihawk schrieb: Wieso wird die Datei, die die Antwort für den Versioncheck liefert, auf Github gehostet und nicht auf dem mybb.com Server?Spielt das eine wesentliche Rolle? Über einen gehackten Account mit Serverzugriff kann das genauso passieren und vielleicht noch mehr. Natürlich gibt es da Schutzmaßnahmen, aber bei gezielten Angreifen lassen sich diese womöglich auch austricksen.
Man kann nur hoffen, dass die Server von Softwareherstellern, bei denen Updates und Erweiterungen direkt im Admin-CP installiert werden können, nie gehackt werden. In dem Fall könnte das noch weiterreichende Konsequenzen haben.
RE: Diskussion: GitHub-Account kompromittiert - Nik101010 - 16.11.2014
(16.11.2014, 22:52)StefanT schrieb: Man kann nur hoffen, dass die Server von Softwareherstellern, bei denen Updates und Erweiterungen direkt im Admin-CP installiert werden können, nie gehackt werden. In dem Fall könnte das noch weiterreichende Konsequenzen haben.https://www.mybb.de/forum/thread-23871.html geht auch ohne
(nicht böse gemeint^^)
RE: Diskussion: GitHub-Account kompromittiert - StefanT - 16.11.2014
Das ist klar, bei automatischen Updates ist das aber nochmal kritischer... Da muss der Hacker dafür sorgen, dass eine neue Version angezeigt wird und schon wird das Update von zahlreichen Leuten mit einem Klick eingespielt.
RE: Diskussion: GitHub-Account kompromittiert - frostschutz - 17.11.2014
Man sollte auch den Versionscheck nochmal laufen lassen, da sich der Schadcode sonst auch im update_check Cache von MyBB festsetzen kann.
In ACP->Tools->Cache->update_check darf es keine <script> Tags geben. Falls doch, Cache erneuern und dann nochmal Versionscheck und dann schauen obs weg ist. Wenn nicht, cacht noch irgendwas anderes...
RE: Diskussion: GitHub-Account kompromittiert - doylecc - 17.11.2014
Das kann ich bestätigen.
Ich habe es heute Morgen in einem meiner Foren bemerkt, als eine falsche Version 1803 angezeigt wurde, dass das Script sich in den update_check Cache geschrieben hatte.