Angriff auf KerbalSpaceProgram.de

  • Hallo zusammen,



    wir haben gestern auf der Suche nach einem Fehler in der Forensoftware Schadcode entdeckt. Wir haben daraufhin das Forum abgeschaltet, die Logs analysiert und die Lücke in der Software geschlossen. Der Schadcode war für vier Tage aktiv und hat sich viel Mühe gegeben, nicht entdeckt zu werden. So wurde der Code z.b. bei dem Googlebot nicht aktiv, da Google nach Malware ausschau hält. Wir haben ihn noch nicht komplett entschlüsselt, aber der Zweck ist, User via Javascript mit Malware zu infizieren.


    Wir bitten euch, eure Virenscanner zu aktualisieren und einen kompletten Scan durchzuführen.


    Es gibt keine Anzeichen darauf, dass Benutzerdaten gestohlen wurden, trotzdem haben wir vorsorglich alle Passwörter zurückgesetzt. Bitte nutzt die "Passwort vergessen"-Funktion, um ein neues Passwort zu generieren: https://www.kerbalspaceprogram…dex.php?form=LostPassword .
    Solltet ihr das selbe Passwort auch auf anderen Seiten nutzen, ändert es bitte auch dort (Es ist generell eine gute Idee, für verschiedene Seiten verschiedene Passwörter zu haben).




    Wir möchten uns in aller Form für die Unannehmlichkeiten entschuldigen. Solltet ihr Fragen haben oder Unterstützung benötigen, lasst es mich wissen.

  • Da ich selbst mich mi der Webentwicklung befasse:


    Ist das ein Fehler in der Foren Software? Meint ist es ein Bug vom WBB und ist dies den entwicklern bekannt -> Woltlab kontaktieren.


    Oder ist die Lücke beim hoster zu suchen? Ist der Zugang zum Webspace lückenhaft, wird FTP oder sFTP benutzt? -> Hoster Kontaktieren.


    Ich vermute mal es war so das sich in einen PHP Script eine eval() Funktion eingeschliechen hat, und diese dann base64 verschlüsselten PHP ausgeführt hat, welcher sich wiederrum dann das eigentlich Angriffswerkzeug von einen weit entfernten server geholt hat.


    Das legt nahe das jemand die PHP datein von außen manipulieren kann. Sei es über lücken in WBB oder direkt über den Webspace.
    Wenn es über den webspace passiert ist, müsste ein entsprechender eintrag in den Logs zu finden sein.


    Wenn der angreifer die Log daten aber manipulieren kann ist richtig was im... rektum.

  • Hi,


    der Schadcode wurde über eine Lücke in einem Plugin für eine andere Software eingeschleust. Ist also keine Kücke in WBB3. Wie bereits geschrieben konnten wir die Lücke ausfindet machen und beseitigen.


    Zitat

    Ich vermute mal es war so das sich in einen PHP Script eine eval() Funktion eingeschliechen hat, und diese dann base64 verschlüsselten PHP ausgeführt hat, welcher sich wiederrum dann das eigentlich Angriffswerkzeug von einen weit entfernten server geholt hat.


    Ja, der Code hat versucht, HTML/Javascript von einem entferntem Server zu laden, sofern diverse Kriterien zutreffen (Kein Googlebot, kein Cookie mit dem einem Name wie "Admin" etc).

  • Das schien in der Werbung gesteckt zu haben.
    Jedenfalls zeigte mir mein Scriptblocker an, dass er einige "fremde" Seiten sperrte.
    auf mywot.com haben zwei davon jedenfalls schlechte bewertungen bekommen und sind als unsicher eingestuft worden.
    Wenn ich die seite neu geladen habe sind die nicht mehr aufgetaucht und ich habe andere Werbung gesehen...


    Jetzt wo ich wieder angemeldet bin und keine Werbung mehr zu sehen ist zeigt mir mein Scriptblocker keine fremden Seiten mehr an.

  • Ich möchte auch hier in aller Deutlichkeit sagen, dass der Fehler nicht bei unserem Serverteil zu suchen ist.
    Auf dem Server, auf dem unter anderem das Forum, Wiki oder der DMP liegt, liegen auch noch weitere Dienste, die nichts mit unserer Domain zutun haben.


    Details, wo genau der Code eingeschleust werden konnte, soll euch aber Quabit geben. Denn er hat es ja auch selber beseitigt.


    Im Namen vom Thomas, McFly, KCST und mir ein großes DANKE an Quabit für den schnellen Einsatz.
    Quabit hatte sich auf die Suche nach einem Problem gemacht, was nur zwei unserer über 2.000 User hatten. Und dann in Windeseile das eigentliche Problem behoben.
    Danke Quabit.

    Für den Triumph des Bösen reicht es, wenn das Gute nichts unternimmt.

  • hmm sehe ich es jetzt richtig,


    dass wenn man noscript (mit paranoiden einstellungen) verwendet eigentlich keine gefahr für den PC ausgeganen ist zumal ich in den letzten Tagen nicht sonderlich aktiv war.


    gruß


    Pyrukar

    Gefundene Rechtschreibfehler dienen der allgemeinen belustigung und dürfen behalten werden.

  • Darauf zielte meine Frage ja ab, aber es gab keine Antwort somit werden wir darin erstmal wohl im dunkeln gelassen



    //Edit 1: Ich erkläre mal, wenn es jz als ein scripttag auf eine andere Seite eingebunden wurde hätte (NoScript/NotScript/ScriptSafe/ jeder andre Scriptblocker auf der whitelist Enstellung) geklappt, sollte es aber als reiner JavascriptCode injeziert worden sein , der nicht vom Browser nach geladen wurde von einer anderen Seite bringt diese Scriptblocker so gut wie garnichts, da man im normal Fall die Seite ja schon gewhitelisted hat.


    Das deutsche Volk ist ein Volk von Freien und deutscher Boden duldet keine Knechtschaft. Fremde Unfreie, die auf ihm verweilen macht er frei.

    Ich glaube an das Schlechte in Menschen und an das Gute im Hund

    Einmal editiert, zuletzt von Jean ()