Dołącz do zespołu ekspertów! Backend lub Frontend Developer?

Sprawdź najnowsze oferty pracy naszego partnera - 8lines.io!

Jeśli logowałeś się do panelu admina dnia 15.11.14 do godz. 17, koniecznie przeczytaj

Założony przez  Destroy666.

Ostatnie 2 dni to okres z pewnością nie najlepszy dla MyBB - wkrótce po ogłoszeniu wersji poprawiającej kilka dziur bezpieczeństwa, włamano się na konto github jednego z developerów. Atakujący był kreatywny i wstrzyknął kod JS w dokument zawierający ostatnią wersję MyBB, który wykorzystywany jest w skrypcie sprawdzającym aktualizacje na stronie głównej ACP - problem dotyczy więc każdej wersji, nie tylko 1.8.

Wstrzyknięty JS najpierw próbował pobierać backup bazy danych - jeśli tak się stało, zostało to zapisane w logach panelu admina. Następnie atakujący zmienił metodę i zaczął tworzyć niechciane ciasteczka.

Wszyscy, którzy byli na stronie głównej panelu admina dnia 15.11.14 w godzinach ~00:00-17:00 czasu polskiego i mieli włączony JS powinni:
a) sprawdzić w logach administratora czy w tym czasie nie został wykonany z ich konta nieoczekiwany backup bazy danych - jeśli tak, rekomendowany jest reset haseł
b) wyczyścić ciasteczka

Nawet jeśli się wtedy nie logowało, nadal należy uważać - wadliwy kod mógł zostać zapisany w pamięci podręcznej poprzez automatyczne zadanie. Dlatego najlepiej wejść w panelu admina najpierw do http://jakisadres.pl/admin/index.php?module=tools-cache (unikając rzecz jasna strony głównej) i tam przebudować cache update_check.

http://blog.mybb.com/2014/11/15/github-a...mpromised/
Jak zrobić ten reset haseł?
(15.11.2014, 18:17)Destroy666 napisał(a): Następnie atakujący zmienił metodę i zaczął tworzyć niechciane ciasteczka.
Więc było kilka wersji szkodliwego kodu?

Z ostatniej wersji (w chwili publikacji wpisu na blogu) wynika, że najpierw wysyłał adres forum razem z ciasteczkami (a więc wszystko, co potrzebne do zalogowania się, jeśli panel administracyjny nie posiadał dodatkowych zabezpieczeń), następnie tworzył kopię tabeli użytkowników i przesyłał ją na swój serwer, również z adresem i ciasteczkami.

Analiza: http://pastebin.com/3gef4RRd
Rozumiem, że jeśli akurat skrypt po zalogowaniu do ACP nie sprawdzał dostępności aktualizacji (robi to co jakiś czas sam lub robi się to ręcznie) i w logach Logi administracji nie ma nic związanego z backupem (u mnie nic nie ma w zasadzie z tego okresu bo nic nie grzebałem) to można spać spokojnie ? :)
(15.11.2014, 18:59)Devilshakerz napisał(a):
(15.11.2014, 18:17)Destroy666 napisał(a): Następnie atakujący zmienił metodę i zaczął tworzyć niechciane ciasteczka.
Więc było kilka wersji szkodliwego kodu?

No tak. Kod zmienił się przynajmniej dwukrotnie, przynajmniej wg raportów tych osób, które w nocy zgłosiły ten błąd.

(15.11.2014, 19:18)Ryrzy napisał(a): Rozumiem, że jeśli akurat skrypt po zalogowaniu do ACP nie sprawdzał dostępności aktualizacji (robi to co jakiś czas sam lub robi się to ręcznie) i w logach Logi administracji nie ma nic związanego z backupem (u mnie nic nie ma w zasadzie z tego okresu bo nic nie grzebałem) to można spać spokojnie ? :)

Jeśli nie ma tego w logach i logi nie były czyszczone, można założyć, że atak nie został przeprowadzony. Ale w razie czego lepiej wyczyścić ciasteczka.

(15.11.2014, 18:26)Salvation napisał(a): Jak zrobić ten reset haseł?

Jakimś pluginem. Na 1.6 były dwa takie z tego co pamiętam, powinny działać też w 1.8.
(15.11.2014, 19:29)Destroy666 napisał(a):
(15.11.2014, 19:18)Ryrzy napisał(a): Rozumiem, że jeśli akurat skrypt po zalogowaniu do ACP nie sprawdzał dostępności aktualizacji (robi to co jakiś czas sam lub robi się to ręcznie) i w logach Logi administracji nie ma nic związanego z backupem (u mnie nic nie ma w zasadzie z tego okresu bo nic nie grzebałem) to można spać spokojnie ? :)

Jeśli nie ma tego w logach i logi nie były czyszczone, można założyć, że atak nie został przeprowadzony. Ale w razie czego lepiej wyczyścić ciasteczka.

Skoro ciastka wędrowały również w drugą stronę, wypadałoby sprawdzić także logi serwera.
To forum gdzie dziś się logowałam naprawdę nie ma szczęście. Ciastka poszły won, czas zobaczyć logi.
Windows ❼ Forum
Za złudzenia płaci się rzeczywistością...
Tylko głupcy mogą być szczęśliwi - czyż nie warto być głupcem?
Jak Bóg chce komuś dokuczyć odbiera mu rozum.
Czy MyBB czasem samo sprawdza aktualizacje? Myślałem, że aby to zrobić trzeba kliknąć w link "Sprawdź czy używasz najnowszej wersji MyBB". W moim panelu widnieje napis, że sprawdzano aktualizacje ponad 2 tygodnie temu oraz, że używam starej wersji (1.6.15). Nie ma żadnych logów dot. backupu bazy, ani samego backupu na liście z tego okresu czasu.
Tak mi przyszło do głowy czy przypadkiem coś jeszcze ten atakujący nie przyszykował i teraz zbiera plony gdy każdy z Nas się loguje do ACP by sprawdzić czy go to dotyczy.
Windows ❼ Forum
Za złudzenia płaci się rzeczywistością...
Tylko głupcy mogą być szczęśliwi - czyż nie warto być głupcem?
Jak Bóg chce komuś dokuczyć odbiera mu rozum.
Czy zagrożenie już minęło bo dziś miałem aktualizować u siebie z wersji 1.6.15 do 1.8.2 i teraz nie wiem co robić ??
(16.11.2014, 08:57)kpietrek napisał(a): Czy zagrożenie już minęło bo dziś miałem aktualizować u siebie z wersji 1.6.15 do 1.8.2 i teraz nie wiem co robić ??

Wystarczy spojrzeć na temat i treść posta - atak trwał wczoraj mniej więcej od północy do 17.

EDIT: choć należy mimo tego nadal uważać, nawet jeśli się wtedy nie logowało - wadliwy kod mógł zostać zapisany w pamięci podręcznej poprzez automatyczne zadanie. Dlatego najlepiej wejść najpierw do http://jakisadres.pl/admin/index.php?module=tools-cache i tam przebudować cache update_check.

EDIT2: pliki JS zostały usunięte z serwera hub.com (który notabene też był zhackowany), więc problem już całkowicie nie istnieje.



Użytkownicy przeglądający ten wątek:

1 gości