Tausende Foren-Betreiber, die auf das CMS von vBulletin als Foren-Software setzen, wurden in den letzten Tagen Opfer von einem weitreichenden Hacker-Angriff. Dabei hatte man seitens der Entwickler von vBulletin im Vorfeld bereits auf Maßnahmen hingewiesen, die Übergriffe größtenteils verhindert hätten.
Die Entwickler hatten Foren-Betreiber, die vBulletin in den Versionen 4.x oder 5.x verwenden empfohlen, nach der Installation der Software auf dem Server das Verzeichnis "/install" bzw. "/core/install" zu löschen, um Angriffen von außen vorzubeugen. Diese Warnung, die unter anderem in beigelegte Dokumentationen der Foren-Software ausgewiesen wird, wurde von zahlreichen Betreibern offenbar übersehen. Auch wenn man hier seitens vBulletin konsequenter auf die Schwachstellen hätte hinweisen können. Denn offiziell war es nicht notwendig, es blieb bei einer Empfehlung. Außerdem liegen die Installationsverzeichnisse recht offen und nur durch die Kundennummer geschützt auf den meisten Servern. Diese wird wiederum seit vBulletin v4 per JavaScript geprüft und der angeforderte Wert als Hashs in einem sichtbaren Dokument übermittelt.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
Die Security-Firma Imperva hat die Anzahl der erfolgreichen Angriffe mittlerweile überprüft und herausgefunden, dass über 35.000 Foren gehackt und übernommen wurden. Oftmals nutzten die Hacker hierfür ein spezielles Script, dass das Web nach Foren durchsucht, bei denen die besagten Verzeichnisse nicht gelöscht wurden. Hat das Script ein Forum gefunden, konnte aufgrund der noch vorhandenen Verzeichnisse mit einem recht einfachen Trick die Kundennummer ausgelesen und über die upgrade.php ein neuer Benutzer mit Administrator-Rechten angelegt werden. Über diesen konnten die Angreifer einzelne Einträge bearbeiten, Botschaften hinterlassen, das Forum als Malware-Schleuder verwenden oder gar alle Einträge löschen. In der Google-Suche stellt sich daher aktuell dieses Bild dar.
Laut Imperva hält sich die Anzahl der Angreifer in Grenzen. Oftmals waren es dieselben Personen (Th3H4ck), die systematisch nach angreifbaren Foren schauten und diese übernahmen, zumal diese Zugriff auf ein Botnet hatten. Wer selbst ein vBulletin-Forum betreibt, sollte nun schauen, inwiefern man selbst zum potenziellen Angriffsziel werden könnte. Mit vBulletin 4.2.2. haben die Entwickler bereits eine Lösung veröffentlicht, die diese Lücke schließt. Wer aktuell vBulletin v5 nutzt, sollte manuell das Installationsverzeichnis löschen, da man seitens der Entwickler erst für Version 5.1 einen Fix angekündigt hat, das derzeit aber noch auf sich warten lässt. Was meint ihr, hätte vBulletin konsequenter auf diese Problematik hinweisen sollen, zumal sich das Unternehmen die Foren-Software ordentlich vergüten lässt? Offenkundig reichte es nicht aus, in den Dokumentationen darauf aufmerksam zu machen.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵