Dieser Thread ist zwar alt, aber ich denke eine kurzer Hinweis zur V6 ist an deiser Stelle gut aufgehoben um evt besitzer älterer Installationen noch Hinweise zu geben.
Alle UBB Threads Versionen bis einschließlich Version 6.5.4 haben einen oder mehrere große Lücken, für die Exploits veröffentlicht wurden. Die Boards werden im großen Stil über Google gesucht und mit zur Version passenden Exploit gehacked.
Bislang sind mir aus eigener Erfahrung dabei 2 Vorgehensweisen untergekommen. Die erste geht sehr rabiat zur Sache. Durch die Lücke wird ein Script eingeschleust und gleich ausgeführt, welches alle auf dem Server erreichbaren .php Files modifiziert. Das File wird um einen iframe erweiter, der dann meist Schadcode zum User nachlädt, wenn er einen ungepatchten Webbrowser benutzt. hier sollen Client PC's zu Zombie PC's für verschiedene Zwecke gemacht werden. Meist wird auf dem Server zugleich noch eine adminsitrative Backdoor installiert. Das aufräumen eines solchen befallenen servers ist Expertensache um sicherzustellen, das alles clean ist. Alle php Files müssen rückgesichert werden oder einzeln bearbeitert werden.
Die zweite vorgehensweise ist sehr viel Stiller. Ich habe hierbei wieder 2 verschiedene Dinge erlebt. Beim ersten fand ich auf einmal auf meinem Server außerhalb des Webroots neue Verzeichnisse vor mit einer Sammlung von Scripten. Der Server wird hier zum IRC Bot für verschiedene Aufgaben. Beim 2. Mal habe ich lediglich eine Performance verschlechterung des FTP Servers bemerkt und den Provider gebeten den Server mal zu prüfen und siehe da, es liefen gleich mehrere IRC bots, ohne das was für mich erkennbar gewesen wär. Scripte auf Bereiche eingeschleust, auf die nur der Admin Zugriff hat.
Mit dem Release von 6.5.5 wurden alle bekannten Lücken geschlossen. Fast alle basieren auf die Möglichkeit der Parameter übergabe wenn der Server mit register_globals=on läuft. Die 6.5.5 prüft hier nun den Input besser. Bislang sind keine neuen Exploits bekannt, was aber nicht heißen soll, das das Script nun sicher ist. Ich habe aber seit Mai 06 keine weiteren Hacks mehr erlebt, auch wenn es nach meinem Serverlog reichlich probiert wird.
