Przyjazne użytkownikom polskie wsparcie phpBB 3.0

Twoja przeglądarka jest przestarzała i nie wspiera obecnych standardów WWW.
Zalecamy instalację najnowszej wersji jednej z przeglądarek, które poprawnie obsługują obecne standardy, np:

  • Arora
  • Chrome
  • Firefox
  • Opera
  • Safari

phpBB.com zostało shackowane

phpBB.com zostało shackowane

Postprzez LEW21 » 1 lut 2009, o 15:47 ·

W skrócie:


phpBB.com zostało dzisiaj shackowane poprzez lukę w nieaktualnej wersji skryptu PHPlist. Luka ta nie ma nic wspólnego z phpBB, fora stojące na phpBB nie są w żaden sposób zagrożone. Osobom posiadającym to samo hasło na phpBB.com i w innych miejscach Internetu zalecam zmianę hasła.


phpBB.com zostało dzisiaj shackowane, a cała akcja została szczegółowo opisana na blogu http://hackedphpbb.blogspot.com/. Hacker wykorzystał lukę w nieaktualnej wersji skryptu PHPlist - zewnętrznego skryptu do wysyłania list mailingowych. Luka ta polegała na wykorzystaniu faktu, że kod PHPlist intensywnie wykorzystuje register_globals, a gdy jest to wyłączone, to ładuje w zmienne globalne całą zawartość tablicy $_REQUEST, w sposób pozwalający dodać coś do tablic takich jak $_SERVER.

Za pomocą tej luki w PHPlist, hacker wyświetlił m.in. plik /etc/passwd (konta na serwerze, bez haseł) i log błędów PHP. Za pomocą tego logu udało mu się poznać sekretny ID, używany w nazwach załączników i avatarów. Potem, wrzucił na forum plik PHP wyświetlający zawartość config.php jako avatar i zainkludował go za pomocą luki w PHPlist. Kolejnymi plikami PHP m.im. wyeksportował zawartość tabeli phplist_admin, w której znalazł loginy i hasła (plaintekstowe...) kont administracyjnych PHPlist, m.in. konto phpBB z hasłem phpbb_n3ws (dziwne że nikt tego nie zbruteforcował). Logując się, zdobył listę 400 000 adresów e-mail, które potem wrzucił na rapidshare.

Później, swoim skryptem zmienił hasła na forum wielu użytkowników, w tym adminów, i dostał się na konto jednego z nich. Mógł czytać zawartość tajnych działów. Po przeczytaniu części działów, i m.in. wyciągnięcia pełnej listy kontaktowej ekipy phpBB.com, wyeksportował przez ACP zawartość tabeli phpbb_users (po co im eksportowanie bazy danych przez ACP? Przecież na pewno mają od tego jakieś zewnętrzne skrypty...)

Następnie odblokował PHP w szablonach (po co im to, skoro nie korzystają z tego... nawet zgłaszałem im do security trackera żeby coś z tym zrobili, ale zgłoszenie zignorowali) i wrzucił do jednego z nich kod inkludujący shellcode'a dla wchodzących z jego IP. Z jego pomocą znalazł miejsce, w którym mógł go zapisać i potem normalnie ładować przez HTTP i zatarł ślady. Dostał się m.in. do configu bloga phpBB.

W tym momencie historia opisana na jego blogu się urywa, a phpBB.com jest wyłączone. Temat na kanale IRC to:
We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation. phpBB.com and related sites will remain unavailable while we work to recover. No new vulnerabilities have been found in the phpBB software itself. | phpBB 3.0.4 available from http://www.ohloh.net/p/phpbb/download | Support available from this IRC channel | We apologise for the inconvenience
Potrzebujesz pomocy? Napisz na forum zamiast wysyłać komuś prywatną wiadomość lub pisać do kogoś przez jakiś komunikator.
Avatar użytkownika

LEW21

Papa SmerfPosty: 3196Dołączył(a): 18 cze 2006, o 12:17Lokalizacja: Warszawa

Re: phpBB.com zostało shackowane

Postprzez tommy » 5 lut 2009, o 21:37 ·

Zalecasz zmianę hasła? To jest podstawa!

"UWAGA!!! DLA OSÓB POSIADAJĄCYCH KONTO NA PHPBB.COM MAJĄCYCH TO SAMO HASŁO NA INNYCH WITRYNACH ZALECA SIĘ ICH NATYCHMIASTOWĄ ZMIANĘ - SĄ ONE W RĘKACH HAKUJĄCEGO, TAK JAK I NIESTETY WASZE ADRESY E-MAIL"


Taką informację trzeba nagłośnić.

tommy

ZbanowanyPosty: 1302Dołączył(a): 4 maja 2008, o 17:33

Re: phpBB.com zostało shackowane

Postprzez pavobe » 5 lut 2009, o 21:43 ·

Bardziej obawiam się tego maila, niż hasła :P.

pavobe

VeteranPosty: 1722Dołączył(a): 31 sty 2008, o 00:14Lokalizacja: Poznań

Re: phpBB.com zostało shackowane

Postprzez amistad18 » 5 lut 2009, o 22:27 ·

tommy napisał(a):"UWAGA!!! DLA OSÓB POSIADAJĄCYCH KONTO NA PHPBB.COM MAJĄCYCH TO SAMO HASŁO NA INNYCH WITRYNACH ZALECA SIĘ ICH NATYCHMIASTOWĄ ZMIANĘ - SĄ ONE W RĘKACH HAKUJĄCEGO, TAK JAK I NIESTETY WASZE ADRESY E-MAIL"

Nie tylko w jego rękach - sporo z tego co wyciągnął z phpbb.com, z ich baz, wrzucił na rapidshare, nie wiadomo ile osób zdążyło to pobrać zanim ktoś to zgłosił i usunęli pliki.
Avatar użytkownika

amistad18

VeteranPosty: 1070Dołączył(a): 23 lip 2008, o 14:42Lokalizacja: Bydgoszcz

Re: phpBB.com zostało shackowane

Postprzez TomekXZ » 6 lut 2009, o 10:49 ·

Konieczność zmiany hasła to chyba mało powiedziane...
Plik siedzi jeszcze na torrentach (coraz więcej ściągających), a po rozpakowaniu paczki w pliku phpbb_users.sql, taki początek:

Kod: Zaznacz cały

INSERT INTO `phpbb_users` (`id`, `user`, `new_pass`) VALUES


A dalej (kilka tysięcy takich linijek):

Kod: Zaznacz cały

(6, 'USER', 'PASS'),


Nie wiem czy trzeba się tego obawiać, ale wziąłem z tej listy 5 przykładowych userów, w Google wyszukałem ich konta na różnych serwisach, wpisuję hasło do konta z tej listy... Prawidłowe!

To jakiś żart czy gościu hasła rozkodował... Chyba że phpbb.com nie koduje haseł? o.O

TomekXZ

Posty: 20Dołączył(a): 4 gru 2007, o 21:32

Re: phpBB.com zostało shackowane

Postprzez tommy » 6 lut 2009, o 12:29 ·

Chyba że phpbb.com nie koduje haseł?


Koduje, ale jeśli są jakieś mało skomplikowane i krótkie to chyba idzie złamać.

tommy

ZbanowanyPosty: 1302Dołączył(a): 4 maja 2008, o 17:33

Re: phpBB.com zostało shackowane

Postprzez LEW21 » 6 lut 2009, o 15:53 ·

Stare konta mają hashe md5, i to da się złamać. Konta, na które logowano się od momentu konwersji phpBB.com do phpBB3 mają hasła zahashowane pokręconym algorytmem phpBB3, którego (jeszcze) nikt nie złamał.
Potrzebujesz pomocy? Napisz na forum zamiast wysyłać komuś prywatną wiadomość lub pisać do kogoś przez jakiś komunikator.
Avatar użytkownika

LEW21

Papa SmerfPosty: 3196Dołączył(a): 18 cze 2006, o 12:17Lokalizacja: Warszawa

Re: phpBB.com zostało shackowane

Postprzez Marcin » 6 lut 2009, o 17:50 ·

Czyli jeżeli ktoś założył konto dzień przed hackiem, może czuć się bezpieczny?
Avatar użytkownika

Marcin

Posty: 297Dołączył(a): 30 maja 2008, o 17:18Lokalizacja: Łukowica

Re: phpBB.com zostało shackowane

Postprzez pavobe » 6 lut 2009, o 18:01 ·

Teoretycznie nie. Chociaż jak ktoś chce to się wszędzie włamie ;].

pavobe

VeteranPosty: 1722Dołączył(a): 31 sty 2008, o 00:14Lokalizacja: Poznań

Re: phpBB.com zostało shackowane

Postprzez hejowicz » 6 lut 2009, o 23:22 ·

Jakieś informacje, kiedy forum będzie znowu działać (phpbb.com) ?
Instalacja for | Przenoszenie for
Aktualizacje for | Konwersja z innych systemów for (IPB, vB, MyBB, Smf itd.)
Łączenie for | Instalacja modyfikacji do phpBB

Support phpBB3
Avatar użytkownika

hejowicz

DoktorekPosty: 372Dołączył(a): 28 sty 2008, o 21:50Lokalizacja: Łódź

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 1 gość

Zaloguj  •  Zarejestruj

cron