Hi,
Ich möchte gerne das integrierte MD5 Verschlüsselungsverfahren durch ein anderes auswechseln, wo muss ich den Code ändern?
MD5 Verschlüsselung auswechseln?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Mein Forum wurde nun schon, trotz Providerwechsel, durch 3 Attacken von irgendwelchen Scriptkiddys ruiniert. Bei jeder Attacke gelangten sie an die MD5-Hashes, und hatten sie dann höchstwahrscheinlich lokal gebruteforced.
Ich informiere mich zwar regelmäßig auf phpBB.com über die neusten Vulnerabilitys, aber irgendwie gelingt es diesen Kiddys immer wieder.
MD5 ist zwar eine recht sichere Verschlüsselungsmethode, aber da der Algorithmus zur generierung des Haswerts vorliegt, ist es eben nur eine Frage der CPU-Leistung und eine Frage der Zeit, bis man sich eine gewisse Datenbank angelegt hat, in der man Plains, sowie auch Hashes angelegt hat - um in Zukunft jeden Hash mit einer gut organisierten Datenbank zu entschluesseln....
Was denkst du Dwing, ist es sehr aufwendig, die Verschlüsselung auszuwechseln, bzw. kennst du eine bessere Schutzmaßnahme?
Ich informiere mich zwar regelmäßig auf phpBB.com über die neusten Vulnerabilitys, aber irgendwie gelingt es diesen Kiddys immer wieder.
MD5 ist zwar eine recht sichere Verschlüsselungsmethode, aber da der Algorithmus zur generierung des Haswerts vorliegt, ist es eben nur eine Frage der CPU-Leistung und eine Frage der Zeit, bis man sich eine gewisse Datenbank angelegt hat, in der man Plains, sowie auch Hashes angelegt hat - um in Zukunft jeden Hash mit einer gut organisierten Datenbank zu entschluesseln....
Was denkst du Dwing, ist es sehr aufwendig, die Verschlüsselung auszuwechseln, bzw. kennst du eine bessere Schutzmaßnahme?
Nun ja, shs-1 ist zwar etwas sicherer - aber auch mit Brute-Force zu knacken (vor allem wenn 0815-Passwörter verwendet werden). Natürlich kannst du das ersetzen - das Problem wird nur sein, dass sich dann alle User nicht mehr anmelden können bzw. ein neues Passwort benötigen.
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
öhm. ... Natürlich es ist richtig, daß der SHA-1 "sicherer" ist als MD5, aber schon für MD5 müsstest Du Dir ein Lexikon mit 2^128 (!) Schlüsseln erstellen, um alle Keys zu haben. 2^128 ist nichts anderes als eine Zahl mit 39 Stellen - vor dem Komma, wohlgemerkt. 
Für gewöhnliche Bulletin-Boards inklusive deren Admin-Accounts sollte diese Sicherheit mehr als ausreichend ausreichend sein.
Rechnen wir doch mal zum Thema Bruteforce:
Einschlägige Tools sollen auf einem 1.5 GHz AMD etwa 5 Mio Keys / Sekunde prüfen können. Verbleibt eine Rechenzeit der Größenordnung 10^31 Sekunden. Das sind überschlagsweise 10^25 Jahre.
Die ganze Rechnerei wird natürlich durch die Nutzung simpler Passworte durch die User zunichte gemacht. Aber es gibt ja Mods für das phpBB, die eine gewisse Komplexität der Passworte fordern. Durch eine Kombination von Klein- und Großbuchstaben sowie Ziffern macht man es Brute-Forcern schwerer, jedes andere Zeichen (!"§$%&/() etc.) sowie eine größere Länge des Passwortes geben zusätzliche Sicherzeit.
Ich vermute die Schwachstelle bei Dir auch nicht in den MD5-Hasches sondern vermutlich eher in einem gepatchten Cookie oder dergleichen. In diesem Fall reicht nämlich der einfache MD5-Schlüssel und das doch eher lästige Cracken fällt weg.
Du kannst jetzt natürlich trotzdem SHA1 einsetzen und Dich künftig auf 160 Bits an Sicherheit betten. Eine Implementation findest entweder in PHP 4.3.0 ff oder zum Beispiel hier: >klick<
Zu ändern sind die Dateien "./includes/usercp_register.php" sowie "login.php".
Grüße,
Gérome
Für gewöhnliche Bulletin-Boards inklusive deren Admin-Accounts sollte diese Sicherheit mehr als ausreichend ausreichend sein.
Rechnen wir doch mal zum Thema Bruteforce:
Einschlägige Tools sollen auf einem 1.5 GHz AMD etwa 5 Mio Keys / Sekunde prüfen können. Verbleibt eine Rechenzeit der Größenordnung 10^31 Sekunden. Das sind überschlagsweise 10^25 Jahre.
Die ganze Rechnerei wird natürlich durch die Nutzung simpler Passworte durch die User zunichte gemacht. Aber es gibt ja Mods für das phpBB, die eine gewisse Komplexität der Passworte fordern. Durch eine Kombination von Klein- und Großbuchstaben sowie Ziffern macht man es Brute-Forcern schwerer, jedes andere Zeichen (!"§$%&/() etc.) sowie eine größere Länge des Passwortes geben zusätzliche Sicherzeit.
Ich vermute die Schwachstelle bei Dir auch nicht in den MD5-Hasches sondern vermutlich eher in einem gepatchten Cookie oder dergleichen. In diesem Fall reicht nämlich der einfache MD5-Schlüssel und das doch eher lästige Cracken fällt weg.
Du kannst jetzt natürlich trotzdem SHA1 einsetzen und Dich künftig auf 160 Bits an Sicherheit betten. Eine Implementation findest entweder in PHP 4.3.0 ff oder zum Beispiel hier: >klick<
Zu ändern sind die Dateien "./includes/usercp_register.php" sowie "login.php".
Grüße,
Gérome
Es sind allerdings im Zweifel noch ein paar Dateien mehr 
Gruß, Philipp
Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
@Gérome
An die Möglichkeit, dass sich das Kiddy das Cookie mit dem MD5-Hash selbst gesetzt hat, habe ich noch gar nicht gedacht, doch frage ich mich, wie er das angestellt hat (kenne mich mit den Cookies nicht sehr gut, wäre dankbar wenn mal jemand ein Beispiel für ein gesetztes Cookie mit MD5-Hash liefern würde).
An die Möglichkeit, dass sich das Kiddy das Cookie mit dem MD5-Hash selbst gesetzt hat, habe ich noch gar nicht gedacht, doch frage ich mich, wie er das angestellt hat (kenne mich mit den Cookies nicht sehr gut, wäre dankbar wenn mal jemand ein Beispiel für ein gesetztes Cookie mit MD5-Hash liefern würde).
-
itst
- Ehrenadmin
- Beiträge: 7418
- Registriert: 21.08.2001 02:00
- Wohnort: Büttelborn bei Darmstadt
- Kontaktdaten:
Ich möchte doch stark bezweifeln, das das an phpBB liegt.Cloud hat geschrieben:Mein Forum wurde nun schon, trotz Providerwechsel, durch 3 Attacken von irgendwelchen Scriptkiddys ruiniert. Bei jeder Attacke gelangten sie an die MD5-Hashes, und hatten sie dann höchstwahrscheinlich lokal gebruteforced.
Ich informiere mich zwar regelmäßig auf phpBB.com über die neusten Vulnerabilitys, aber irgendwie gelingt es diesen Kiddys immer wieder.
Mögliche Fehlerquellen:
1. FTP: Dadurch gelangt man den DB-Account und das wars dann.
2. DB: Dadurch gelangt man bei installiertem Easy Mod eventuell an den FTP-Account und das wars dann.
3. Andere Skripte auf der Website.
4. confixx oder eine andere Konfigurationssoftware.
5. Mods.
Sascha A. Carlin,
phpBB.de Ehrenadministrator
phpBB.de Ehrenadministrator
