Frage: Virus/Sicherheitslücke

lmh · 24. September 2010

Hallo!

Da ich mich in Sachen Viren und Sicherheitslücken nicht auskenne, frage ich hier in die Runde, was ihr von dieser Benachrichtigung haltet, die ich heute empfangen habe:

"[...] dass ein ziemlich heftiger Virus durchs Netz kreist, der ein komplettes Forum löschen kann.

Der Virus greift das Forum über extern verlinkte Dateien (Bilder, Smilies,
Links) an und zerstört den kompletten Inhalt eines Forums. Daher sollten
keine externen Links in einem Forum (Beiträgen) genutzt werden bzw. diese
durch Zensurfunktion entschärfen. Auch Bilddateien sollten direkt als
Dateianhang im Forum hochgeladen werden und nicht über einen externen
Anbieter."

Ist so etwas überhaupt möglich?

Nach über 6-jährigen Forenbetreibens ist mir soetwas noch nicht passiert. Meine erste Reaktion war ein Lachen, solch ein Mumpiz. Meine Zweite: Ich habe ein Datenbank Back-up gemacht und speichere gerade mein aktuelles HTML-Verzeichnis auf meinem PC ab.

Danke im Voraus für eure Meinungen!

vmk · 24. September 2010

Gibt es dazu eine Quelle oder kannst du die komplette Nachricht hier reinstellen?

KB19 · 24. September 2010

Zitat von lmh;25476

Ist so etwas überhaupt möglich?

Dazu müsste jemand (bzw. ein Script) mit deiner Admin Session im Forum alles der Reihe nach löschen. Das klingt nicht nur schwachsinnig, das ist es mMn auch. Das ist nicht nur äußerst unwahrscheinlich, das wäre ohne gezielte Sicherheitslecks im Browser oder der Website nicht machbar. Sagen wir es mal so: Die Warnung hat mehr Ähnlichkeit mit einem schlechten Scherz

Anders sieht es aus, wenn dir deine Session oder dein Passwort geklaut wird. Aber auch das ist nach aktuellem technisch Stand nicht sehr wahrscheinlich, sofern eine aktuelle Version der Forensoftware verwendet wird.

MfG Christian

lmh · 24. September 2010

@ vmk,
danke, es war eine E-Mail eines "benachbarten" Forums. Denen ist dort wohl einiges an Daten abhanden gekommen und die haben andere Foren gewarnt.

@ killerbees19,
danke, das Gleiche dachte ich auch... Aber da ich mich nicht sehr mit den neuesten Viren etc. beschäftige, wollte ich auf Nummer sicher gehen und hier nachfragen.

bitstarr · 28. September 2010

Klingt nach einer Kettenmail.
Bei ICQ bekommt man ja auch oft genug Nachrichten, von weniger versierten Freunden alá "Schick das an 10 Leute in deiner Liste, damit ICQ nicht kostenpflichtig wird"

TH3.BUG · 20. Januar 2011

Also eine Sicherheitslücke stellen extern eingebundene Grafiken schon dar...

Wenn die Session-ID als URL-Parameter angehängt ist (thread.php?id=123&PHPSESSID=ar4nd0mh45h) kann es sein, dass diese URL im Log des Bild-Hosts auftaucht.

Wenn der Betreiber schnell genug reagiert und die URL aufruft, ist er bei einem unsicheren Script eingelogt - was fatal ist, wenn es sich um einen Adminaccount handelt.

Abhilfe schafft nur Session-IDs über die URL in der php.ini zu verbieten, die IP beim einloggen in der Session speichern und bei jedem Aufruf abzugleichen, oder einfach externe Grafiken verbieten, bzw nur vertrauenswürdige Anbieter zu erlauben.

greetz

KB19 · 20. Januar 2011

Zitat von TH3.BUG;30563

Abhilfe schafft nur Session-IDs über die URL in der php.ini zu verbieten, die IP beim einloggen in der Session speichern und bei jedem Aufruf abzugleichen, oder einfach externe Grafiken verbieten, bzw nur vertrauenswürdige Anbieter zu erlauben.

Nur eine kleine Anmerkung: Bei IP-Überprüfungen sollte man allerdings nur auf das Class-C Netz (/24) überprüfen, da sonst einige Benutzer mit wechselnden Proxy-IP's geblockt werden. Das ist z.B. in Österreich bei der Telekom Austria und dem angebotenen Proxy ein normales Verfahren. Da viele der Kunden diesen Proxy (auf Empfehlung vom Anbieter o.ä.) eingetragen haben, trifft man sehr oft User mit 10-20 verschiedenen IP's, da bei jedem Request eine andere genutzt wird. Zusätzlich Überprüfungen für Useragent und andere Browsereinstellungen schaden übrigens auch nicht.

Achja: Oder man sorgt als User selbst vor und blockiert den Referrer

MfG Christian