gestern Abend wurde gegen 18:00 von Unbekannten versucht auf fsmath root-Zugriff zu erlangen. Dies gelang nicht, aber die Cracker verschafften sich tekmporär Zugang auf den Server durch ein 2.5 Tage altes Loch in phpBB 2.0.10, welches es ihnen ermöglichte Prozesse unter den Rechten des Webservers zu starten. Der Webserver läuft als sein eigener abgeschotteter user, daher wurde nicht auf fremde Daten zugegriffen. Der/die Cracker versuchten fsmath mit Hilfe des ptrace-exploits vom März 2003 zu rooten. Ich bemerkte dies, nachdem bestimmte Prozesse 20 Minuten Rechenzeit verbrannt hatten und ich hellhörig wurde was denn da los war. Der Angriff mislang, da ich diesen Bug im März 2003 gepacht hatte.
Nachdem ich die Prozesse abschoß hatte verschwanden sie wieder. Die Jungs kamen 2 Stunden später noch einmal wieder und kompilierten und starteten einen ftp-server (Ich war gerade beim Essen und saß also mal nicht vor meinem Rechner). Dieser lebte auch nicht sehr lange und ich warf die Jungs von der Maschine. Nachdem ich dann die Lücke gepacht habe (was erst einmal drei Stunden Suche in Anspruch nahm, nachdem ich apache, php und die Leute, die Zugriff auf den Webaccount bzw. ein eigenes ~/public_html hatten für unschuldig befunden hatte), habe ich 4 Stunden nach Resten bzw. weiteren Problemen des Einbruchsversuchs gesucht und ich habe keine gefunden. Auch wenn dies nicht 100% sicherstellt, daß es keine weiteren Probleme gibt würde ich jedem regsitrierten user auf diesem Board empfehlen sein Passwort zu ändern. Nach den logs zu urteilen gab es keine unauthorisierten Zugriffe auf die Datenbank, man sollte sich aber nie sicher sein.
In diesem Sinne,
Michael
PS: Die Deppen von phpBB sollten sich vielleicht einmal angewöhnen security-mailinglisten zu benutzen, da ich nicht alle 24 Stunden deren Board lese für den Fall, daß sie wieder einmal ein ausnutzbares Loch in ihrem Board haben.