Angeblicher Hack - Vorgehensweise ?!

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Benutzeravatar
cback
Mitglied
Beiträge: 386
Registriert: 18.04.2004 21:35
Wohnort: Saarland
Kontaktdaten:
Kontaktdaten von cback

Beitrag von cback »

Ich sage nicht wie, aber wenn ich Deinen Passwort Hash irgendwo herausgefunden habe kann ich in wenigen Sekunden ein Cookie damit zusammenbasteln mit dem ich mich dann bei Dir einloggen könnte (was ich aber nicht mache da ich dieses Wissen nicht für illegale oder schädliche Dinge einsetze).


Folgende Möglichkeiten:
  • Derjenige hat ein Board auf dem sich jemand von Deinem Foren-Team registriert hat. Der Admin dieses Boards ist alles andere als ein Datenschützer und nimmt den Passwort-Hash aus der Datenbank, bastelt das in das Cookie von Deinem Forum rein und ist drin. (Also 100% Skript Kiddie :D)
  • Derjenige hat zufällig die SID von Dir gefunden, stellt Cookies aus und hat das Glück, dass die SID noch akzeptiert wird. (Unwahrscheinlich)
  • Ein Mod in Deinem Forum hat tatsächlich einen Inject ermöglicht bzw. erlaubte gewisse Dateien hochzuladen. z.B in der Shoutbox war letztens ein Highlighting Bug drin etc.
  • Jemand hat irgendwo den Autologin vergessen, wenn persönlicher Kontakt zu dem Angreifer besteht
  • Der/Diejenige will nur die phpBB Group schlecht machen und es ist nichts als heiße Luft.

Meine Vermutungen mal dem Problem nachzugehen. ;) Ich halte die erste Methode am wahrscheinlichsten, hier könnte allerdings auch vorliegen, dass ein unsicherer Mod eine Datenbankabfrage erlaubte (SELECT password FROM phpbb_users WHERE username='blubb';) Oder sogar eine veraltete Version des PHP Interpreters oder phpMyAdmin etc. (unter 4.4.0 bzw. 5.0.x gabs sowas).


Sollte sich allerdings herausstellen, dass tatsächlich etwas beim 2.0.17 vorliegt (was ich nicht glaube) bitte ich darum @MacGyver mir kurz eine PM hier zu schicken, damit ich nachsehen kann, ob mein CTracker noch auf dem aktuellen Stand der Dinge ist (normal kickt der über URL alle Injectversuche raus) und wo dann bei phpBB der Fehler liegt für ein eventuelles Bugfix. Aber naja ich denk net, dass 2.0.17 der Grund war, sonst gäbs sicher schon die 2.0.18 weil die phpBB Gemeinde ist sehr, sehr groß und phpBB.com schläft auch nicht. Da empfehle ich Dir übrigens auch noch diesen Mod bei Dir reinzusetzen, zumindest vor so angriffen auf z.B die Shoutbox oder gefakete URLs bist Du dann erst mal geschützt. Ein möglicher Angriffsversuch ist übrigens auch im Apache Log sichtbar. Wenn er einen neuen Beitrag erstellt hat als er eingedrungen ist hat er seine IP im Board hinterlassen. Dann im Apache log danach suchen und zack isser ertappt ;) (alternativ: Suche nach der Uhrzeit)
CBACK Software
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“