Hallo,
ich nutze phpBB 2.0.10 welches ich bis ins Kleinste entsprechend der Anleitung auf 2.0.11 hochgestuft habe. Aber egal ob 2.0.10 oder 2.0.11, einem Hacker ist es für mich aus nicht nachvollziehbaren Gründen möglich, PHP-Dateien auf die WebSite zu legen, selbst die Einrichtubng von phpMyAdmin wurde schon installiert.
Die Verzeichnisse, wo man per Browser nicht direkt zugreifen muß, wurden von mir per .htaccess geschützt. Installations-Verzeichnisse und Dateien sind nicht mehr auf dem Server. Admin-Bereich ist per Passwort zusätzlich per .htaccess geschützt.
Dennoch gelingt es dem Hacker, da zu spielen. Außer der Befürchtung das er auf die Datenbank-Daten zugreifen könnte, ist bisher kein sichtbarer Schaden entstanden. Auch die von phpBB vorhandenen Dateien habe ich auf Veränderungen geprüft, wo nichts gefunden wurde.
Nun stellt sich die Frage, was ist passiert und wie kann man sowas in Zukunft verhindern. Und es würde ja nicht nur mich treffen.
Hacker im Anmarsch
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
MP24-Admin
- Mitglied
- Beiträge: 3
- Registriert: 08.12.2004 15:16
Laut LogFiles wird mit der Variable $highlight in viewtopic.php Systembefehle ausgeführt. Trotz das ich den Empfehlungen gefolgt bin (Zeile 468 mußte geändert werden), war es dem Einbrecher möglich, ein phpRemoteView-Script zu installieren.
Konsequence? Ich habe die Variable vor deren Gebrauch direkt wieder leer gemacht und das Feature deaktiviert bis eine Lösung da ist.
Nun muß in viewtopic.php alles geprüft werden wo die Variablen
$HTTP_GET_VARS['highlight']
$highlight
$highlight_match
verwendet werden. Nur so können wir die Tore schließen. Für mich stellt sich jedoch die Frage was, wie und wo?
Konsequence? Ich habe die Variable vor deren Gebrauch direkt wieder leer gemacht und das Feature deaktiviert bis eine Lösung da ist.
Nun muß in viewtopic.php alles geprüft werden wo die Variablen
$HTTP_GET_VARS['highlight']
$highlight
$highlight_match
verwendet werden. Nur so können wir die Tore schließen. Für mich stellt sich jedoch die Frage was, wie und wo?
Der Bug wurde vor einiger Zeit erkannt und behoben.
Siehe: http://www.phpbb.com/phpBB/viewtopic.php?t=240513
Siehe: http://www.phpbb.com/phpBB/viewtopic.php?t=240513
www.dsaforum.de - DAS DSA Fanforum
-
MP24-Admin
- Mitglied
- Beiträge: 3
- Registriert: 08.12.2004 15:16
