Einbrüche bei Foren

[Pfiffikus]

In den letzten Tagen wurden Einbrüche in diversen Foren gemeldet. Zum Beispiel:
Benutzerdaten auf phpBB.de ausspioniert :: phpBB.de

Auch andere waren betroffen.

Nun gehe ich davon aus, dass dort keine 08-15-Hobbyadmins am Werke waren. Trotzdem wurden diese Rechner erfolgreich angegriffen.


Hat jemand schon Erkenntnisse, welche Stelle undicht war? Hat jemand Erkenntnisse, was außer den üblichen Anleitungen zusätzlich noch an einem Server zu härten wäre, damit solche Einbrüche weiter erschwert werden?


Pfiffikus,
der auch Foren technisch betreut

 

[Firewire2002]

An dieser Stelle waren es garantiert nicht die üblichen Bots die nach Schwachstellen suchen, sondern ganz gezielte Angriffe.
Laut News von anderen Pages (u.a. Heise), soll es sich wohl um ein Bruteforce Angriff auf einen einzelnen Account gehandelt haben.

Gegen Bruteforce schützen? Vergiss es.
Ausser das übliche wie sicherere Passwörter, Verbindungslimitierungen, etc. bleibt nichts.
Man kann es verzögern, aber nicht verhindern. Letzendlich ein Wettlauf mit der Zeit: wird es lang genug verzögert, gibt der jenige vielleicht auf.

 

[Pfiffikus]

Man kann es verzögern, aber nicht verhindern. Letzendlich ein Wettlauf mit der Zeit: wird es lang genug verzögert, gibt der jenige vielleicht auf.

Genau das lässt mich an BruteForce zweifeln. Hin und wieder liest man doch mal überschlägig, wie viel Zeit dafür nötig wäre.


Pfiffikus,
der es nahezu für ausgeschlossen hält, nahezu gleichzeitig in drei große Server mittels Brutefroce einzudringen

 

[porschinho]

Vieleicht waren es ein paar Kiddies, die ne Art Wettbewerb veranstaltet haben. Deshalb die zeitliche Nähe der Hacks.

Ich empfehle den ssh-Zugang auf einen "unmöglichen" Port zu legen und ein sehr sicheres, sehr langes Kennwort zu benutzen.

Für Forensysteme speziell noch eine Accoutsperre nach 3 erfolglosen Loginversuchen. Dann die Software aktuell halten. Das Problem beim phpBB ist, dass es sehr viele "schlecht" programmierte Addons im Umlaub sind, welche eher Angriffspunkte bieten, als die Software selber.

 

[elias5000]

Hier die offizielle Erklärung von phpBB.de mit Anmerkungen:

In einem Modul wurde gewohnheitsgemäß auf die neueren PHP-Variablen $_GET, etc. zugegriffen. Diese Variablen werden jedoch - im Gegensatz zu den alten Variablen wie $HTTP_GET_VARS - von phpBB 2.0 nicht automatisch mit addslashes() bearbeitet.

Hier wurden einige "best Practices" missachtet:
- Quoting über eine an das DBMS angepasste Quoting-Funktion des DBMS-Connection-Moduls (addslashes ist nicht die beste Wahl)
- Quoting dort durchführen, wo die Variable verwendet wird (Offensichtlichkeit im Code - wenn generell durch einen Input-Handler gequotet wird, verlässt sich hinterher jeder drauf und es passiert genau sowas wie hier passiert ist.)
(Wobei hier wohl die Nr.2 das echte Problem war.)

Der Server selbst hatte magic_quotes_gpc deaktiviert, so dass die Variablen schlichtweg ungeprüft zur Ausführung kamen.

Magic Quotes sind ein Rettungsanker, um schlecht geschriebene Scripts irgendwie aufzufangen. Sie sind nicht der korrekte Weg, Stringquotung zu implementieren.

Fazit: Der Fehler ist auf das Ignorieren der "Best Practice" zurückzuführen. In dem Fall wohl in einem speziellen Modul von phpBB.de, so dass zu hoffen ist, dass das Problem nicht für phpBB generell gilt.

PS: SSH auf einen unmöglichen Port legen überlebt den ersten Portscan nicht. Und statt eines langen, sicheren Passwort sollte man lieber gleich diese ganz verbieten und auf SSH-Keys setzen.

 

[blupp1]

Was, wenn man diese SSH Key verliert?

 

[elias5000]

Was, wenn man diese SSH Key verliert?

Dann sind die (hoffentlich) mit einem ordentlichen Passphrase verschlüsselt...

(Da man dank Key-Agents diesen nur einmal pro Sitzung eingeben muss, kann man da ruhig richtig richtig heftig schwere Sachen nehmen.)