Hi,
wir haben folgendes Problem:
Wir haben die aktuelle Version des phpBB (2.06) auf unserem Webserver installiert (inkl. Portal Mod).
Nun gibt es bei uns einen User, der sich selbst immer wieder Adminrechte gibt.
Meine Frage: WIE macht er das und WIE kann man das verhindern?
Das er einen Datenbankzugriff hat ist unwarscheinlich, da wir ständig z.b. die Passwörter ändern und auch das Verzeichnis zurm phpMyAdmin via htaccess abgesichert haben (Passwort wird auch ständig geändert.)
Liegt es am phpBB? Gibt es da Sicherheitspachtes, die wir nicht beachtet haben oder muss der User zwangsläufig den direkten Zugang zur DB kennen, um dies zu machen?
Für schnelle hilfe bedanken wir uns im voraus.
Gruss,
Ben
Hier unser Forum: http://forum.rpc-clan.com
User gibt sich selbst Adminrechte
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
DJConan1976
- Mitglied
- Beiträge: 2
- Registriert: 17.01.2004 00:41
Hast du das alles installiert? KB:patches
Ggf. auch mal prüfen, welche User alles Admin-Rechte haben.
Gruß, Philipp
Ggf. auch mal prüfen, welche User alles Admin-Rechte haben.
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
DJConan1976
- Mitglied
- Beiträge: 2
- Registriert: 17.01.2004 00:41
Hi, nun, die Patches haben wir noch nicht eingespielt bzw. erstellt. Sollte es nur daran liegen? Wieso werden den noch Variablen mit $HTTP_POST_VARS und $HTTP_GET_VARS im phpBB übergeben und nicht wie in PHP4 üblich mit $_GET und $_POST? Dieser User hat keine Adminrechte von uns erhalten, er war ein ganz normaler User halt, der sich dort angemeldet hat.
Wir werden am SO die Patches einspielen. Falls es danach immer noch nicht behoben ist, dann gehe ich davon aus, das diser USer wohl direkte MySQL Zugangsdaten haben muss, was jedoch mir sehr zudenken gibt. Ich werde wohl das ganze phpBB dann ggf. umschreiben, so dass die Datenbank-Daten aus der config.php via MD5 verschluesselt werden.
Danke schonmal.
Gruss,
Ben
Wir werden am SO die Patches einspielen. Falls es danach immer noch nicht behoben ist, dann gehe ich davon aus, das diser USer wohl direkte MySQL Zugangsdaten haben muss, was jedoch mir sehr zudenken gibt. Ich werde wohl das ganze phpBB dann ggf. umschreiben, so dass die Datenbank-Daten aus der config.php via MD5 verschluesselt werden.
Danke schonmal.
Gruss,
Ben
-
itst
- Ehrenadmin
- Beiträge: 7418
- Registriert: 21.08.2001 02:00
- Wohnort: Büttelborn bei Darmstadt
- Kontaktdaten:
Ob $HTTP_GET_VARS oder $_GET benutzt wird, ist im wahrsten Sinne des Wortes Jacke wie Hose: $_GET ist nur ein Verweis auf $HTTP_GET_VARS.
Das Umschreiben der config.php wird Dir nicht viel helfen, vor allem aber wird Dir MD5 nicht helfen: MD5 ist keine Verschlüsselung, sondern eine Checksumme
Was Du tun könntest, damit die config.php nicht mehr per Web erreichbar ist, wäre, sie zu verschieben.
Die Frage bleibt, wie der User an die MySql-Daten herankam. Wahrscheinlich per FTP, erraten wird er sie kaum haben. Oder es gibt eine Lücke in Eurem Webserver, die unter bestimmten Umständen dafür sorgt, das PHP-Dateien nicht geparst, sondern direkt ausgegeben werden.
BTW, schonmal das Webserver-Log überprüft, ob da irgendwelche seltsamen Querystrings gesendet werden?
PS: Wenn Ihr eine IP habt, bzw. wisst, wer der User ist, solltet Ihr in Erwägung ziehen, ihn anzuzeigen...
Das Umschreiben der config.php wird Dir nicht viel helfen, vor allem aber wird Dir MD5 nicht helfen: MD5 ist keine Verschlüsselung, sondern eine Checksumme
Was Du tun könntest, damit die config.php nicht mehr per Web erreichbar ist, wäre, sie zu verschieben.
Die Frage bleibt, wie der User an die MySql-Daten herankam. Wahrscheinlich per FTP, erraten wird er sie kaum haben. Oder es gibt eine Lücke in Eurem Webserver, die unter bestimmten Umständen dafür sorgt, das PHP-Dateien nicht geparst, sondern direkt ausgegeben werden.
BTW, schonmal das Webserver-Log überprüft, ob da irgendwelche seltsamen Querystrings gesendet werden?
PS: Wenn Ihr eine IP habt, bzw. wisst, wer der User ist, solltet Ihr in Erwägung ziehen, ihn anzuzeigen...
Sascha A. Carlin,
phpBB.de Ehrenadministrator
phpBB.de Ehrenadministrator
Der Grund dafür ist, dass phpBB auch unter PHP 4.0.x und PHP 3 läuftDJConan1976 hat geschrieben:Hi, nun, die Patches haben wir noch nicht eingespielt bzw. erstellt. Sollte es nur daran liegen? Wieso werden den noch Variablen mit $HTTP_POST_VARS und $HTTP_GET_VARS im phpBB übergeben und nicht wie in PHP4 üblich mit $_GET und $_POST?
Ein Sicherheitsrisiko stellt das aber nicht dar...
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
