Passt schon. Der 'Hacker' hat auf eine Sicherheitslücke hingewiesen und sie (vermutlich) nur ausgenutzt, um auf sie hinzuweisen, anstatt das komplette System zu löschen sowie dann darauf hingeweisen. Er hätte sehr wohl Schaden anrichten können.
Sein Weg war folgender:
- Konkrete Google-Suche nach Woltlab-Boards mit dieser Schwäche
- Soforti2ges Ausreizen der Schwäche (wobei dieses Board im Speziellen schon eine nicht mehr hätte haben dürfen - aber sei's drum)
- Auslesen des Hash-Wertes meines Passwortes und Verwendung desselben per Cookie
- Login in das Control Panel des Forums und dort Upload von Avatar-Dateien, die ihrerseits keine Grafiken waren, sondern PHP-Skripte. Das ist seinerseits schon eine bitterböse Schwäche des Forums, denn es prüft im Admin Control Panel nicht, ob auch wirklich Grafiken hochgeladen werden. Bei Benutzern schon.
- Diese PHP-Skripte wurden dann aufgerufen, wobei ich leider nicht vollständig nachvollziehen kann, was mit ihnen gemacht wurde. Es muss sich wohl um Skripte gehandelt haben, die Verzeichnisinhalte und Dateien anzeigen und bearbeiten können.
- Der 'Hacker' konnte auf die _config-Datei der Website zugreifen, in der auch das Datenbankpasswort drinsteht. Nicht aber das root-Passwort der Datenbank und selbstverständlich auch nicht das root-Passwort des Systems. Im Zweifelsfalle wären also jetzt Tür und Tor offen gewesen, Änderungen nach Belieben durchzuführen. Tagesaktuelle Backups der Datenbanken und Dateien wären zwar vorhanden gewesen, aber das ganze eben doch noch ärgerlich. Es wurde aber scheinbar hier nichts durchgeführt.
- Weiterhin versuchte der 'Hacker', Änderungen an Websiteinhalten vorzunehmen. Dies ist nicht gelungen, weil das System dem Webserverbenutzer keine entsprechenden Benutzerrechte erteilt.
- Danach hat er seine Skripte wieder gelöscht und diesen Thread erstellt.
In der Folge habe ich gestern folgende Sicherheitsvorkehrungen vorgenommen:
- Ändern meines Benutzerpasswortes hier im Forum
- Ändern des Datenbankpasswortes
- Manuelles Fixen aller bekannten Schwächen des Forums. Heißt: keine Anzeige des Datenbanknamens bei Datenbankfehlern, Prüfen von SQL-Injections in POST, COOKIE, GET-Variablen und Herausfiltern von SQL-Befehlen. Außerdem prüft die Avatar-Upload-Funktion jetzt auch im Admin das Existieren einer Grafik. Sonstige Upload-Möglichkeiten existieren nicht. Die Dateianhangsfunktion erlaubt keinen Upload von Skripten.
- Ändern der Datenbanknummer auf eine zufallsgenerierte Vielstellige. Heißt: selbst wenn man die Standard-Datenbanknummer "1" für eine Injection verwenden wollte, führt das zu keinem Ergebnis mehr. Die richtige Nummer herauszufinden, würde ewig dauern.
Ich habe das ganze mit diversen Skripten aus dem Internet durchgeprüft und sie zeigen an, das Forum sei nicht mehr verletzlich.
Wollen wir's hoffen...
