Ostatnie 2 dni to okres z pewnością nie najlepszy dla MyBB - wkrótce po ogłoszeniu wersji poprawiającej kilka dziur bezpieczeństwa, włamano się na konto github jednego z developerów. Atakujący był kreatywny i wstrzyknął kod JS w dokument zawierający ostatnią wersję MyBB, który wykorzystywany jest w skrypcie sprawdzającym aktualizacje na stronie głównej ACP - problem dotyczy więc
każdej wersji, nie tylko 1.8.
Wstrzyknięty JS najpierw próbował pobierać backup bazy danych - jeśli tak się stało, zostało to zapisane w logach panelu admina. Następnie atakujący zmienił metodę i zaczął tworzyć niechciane ciasteczka.
Wszyscy, którzy byli na stronie głównej panelu admina dnia 15.11.14 w godzinach ~00:00-17:00 czasu polskiego i mieli włączony JS powinni:
a) sprawdzić w logach administratora czy w tym czasie nie został wykonany z ich konta nieoczekiwany backup bazy danych - jeśli tak, rekomendowany jest reset haseł
b) wyczyścić ciasteczka
Nawet jeśli się wtedy nie logowało, nadal należy uważać - wadliwy kod mógł zostać zapisany w pamięci podręcznej poprzez automatyczne zadanie. Dlatego najlepiej wejść w panelu admina najpierw do
http://jakisadres.pl/admin/index.php?module=tools-cache (unikając rzecz jasna strony głównej) i tam przebudować cache
update_check.
http://blog.mybb.com/2014/11/15/github-a...mpromised/
Jak zrobić ten reset haseł?
(15.11.2014, 18:17)Destroy666 napisał(a): [ -> ]Następnie atakujący zmienił metodę i zaczął tworzyć niechciane ciasteczka.
Więc było kilka wersji szkodliwego kodu?
Z ostatniej wersji (w chwili publikacji wpisu na blogu) wynika, że najpierw wysyłał adres forum razem z ciasteczkami (a więc wszystko, co potrzebne do zalogowania się, jeśli panel administracyjny nie posiadał dodatkowych zabezpieczeń), następnie tworzył kopię tabeli użytkowników i przesyłał ją na swój serwer, również z adresem i ciasteczkami.
Analiza:
http://pastebin.com/3gef4RRd
Rozumiem, że jeśli akurat skrypt po zalogowaniu do ACP nie sprawdzał dostępności aktualizacji (robi to co jakiś czas sam lub robi się to ręcznie) i w logach Logi administracji nie ma nic związanego z backupem (u mnie nic nie ma w zasadzie z tego okresu bo nic nie grzebałem) to można spać spokojnie ?
(15.11.2014, 18:59)Devilshakerz napisał(a): [ -> ] (15.11.2014, 18:17)Destroy666 napisał(a): [ -> ]Następnie atakujący zmienił metodę i zaczął tworzyć niechciane ciasteczka.
Więc było kilka wersji szkodliwego kodu?
No tak. Kod zmienił się przynajmniej dwukrotnie, przynajmniej wg raportów tych osób, które w nocy zgłosiły ten błąd.
(15.11.2014, 19:18)Ryrzy napisał(a): [ -> ]Rozumiem, że jeśli akurat skrypt po zalogowaniu do ACP nie sprawdzał dostępności aktualizacji (robi to co jakiś czas sam lub robi się to ręcznie) i w logach Logi administracji nie ma nic związanego z backupem (u mnie nic nie ma w zasadzie z tego okresu bo nic nie grzebałem) to można spać spokojnie ?
Jeśli nie ma tego w logach i logi nie były czyszczone, można założyć, że atak nie został przeprowadzony. Ale w razie czego lepiej wyczyścić ciasteczka.
(15.11.2014, 18:26)Salvation napisał(a): [ -> ]Jak zrobić ten reset haseł?
Jakimś pluginem. Na 1.6 były dwa takie z tego co pamiętam, powinny działać też w 1.8.
(15.11.2014, 19:29)Destroy666 napisał(a): [ -> ] (15.11.2014, 19:18)Ryrzy napisał(a): [ -> ]Rozumiem, że jeśli akurat skrypt po zalogowaniu do ACP nie sprawdzał dostępności aktualizacji (robi to co jakiś czas sam lub robi się to ręcznie) i w logach Logi administracji nie ma nic związanego z backupem (u mnie nic nie ma w zasadzie z tego okresu bo nic nie grzebałem) to można spać spokojnie ?
Jeśli nie ma tego w logach i logi nie były czyszczone, można założyć, że atak nie został przeprowadzony. Ale w razie czego lepiej wyczyścić ciasteczka.
Skoro ciastka wędrowały również w drugą stronę, wypadałoby sprawdzić także logi serwera.
To forum gdzie dziś się logowałam naprawdę nie ma szczęście. Ciastka poszły won, czas zobaczyć logi.
Czy MyBB czasem samo sprawdza aktualizacje? Myślałem, że aby to zrobić trzeba kliknąć w link "Sprawdź czy używasz najnowszej wersji MyBB". W moim panelu widnieje napis, że sprawdzano aktualizacje ponad 2 tygodnie temu oraz, że używam starej wersji (1.6.15). Nie ma żadnych logów dot. backupu bazy, ani samego backupu na liście z tego okresu czasu.
Tak mi przyszło do głowy czy przypadkiem coś jeszcze ten atakujący nie przyszykował i teraz zbiera plony gdy każdy z Nas się loguje do ACP by sprawdzić czy go to dotyczy.
Czy zagrożenie już minęło bo dziś miałem aktualizować u siebie z wersji 1.6.15 do 1.8.2 i teraz nie wiem co robić ??
(16.11.2014, 08:57)kpietrek napisał(a): [ -> ]Czy zagrożenie już minęło bo dziś miałem aktualizować u siebie z wersji 1.6.15 do 1.8.2 i teraz nie wiem co robić ??
Wystarczy spojrzeć na temat i treść posta - atak trwał wczoraj mniej więcej od północy do 17.
EDIT: choć należy mimo tego nadal uważać, nawet jeśli się wtedy nie logowało - wadliwy kod mógł zostać zapisany w pamięci podręcznej poprzez automatyczne zadanie. Dlatego najlepiej wejść najpierw do
http://jakisadres.pl/admin/index.php?module=tools-cache i tam przebudować cache
update_check.
EDIT2: pliki JS zostały usunięte z serwera hub.com (który notabene też był zhackowany), więc problem już całkowicie nie istnieje.