Habe ein Problem mit der Sicherheit

Mel27 · Beitrag von **Mel27** » 16.06.2005 11:11

Hallo,
ich habe noch ein Problem und zwar werden wir gehackt??!!
Es ist mir seit 2 Tagen aufgefallen das irgendjeman zugang zu unseren User Pws hat oder so ähnlich!
Gibt es ein zusätzlichen Sicherheits Mod? Welches aufzählt wieoft ein user sein Pw falsch eingibt etc???
Und gibt es ein Mod der einstellt wie oft man ein falsches Pw eingeben kann nach der anzahl der Username erst einmal gesperrt ist?
Und gibt es ein Mod wo der Adminitrationsbereich nochmal zusätzlich mit einem Passwort sichern kann?
Hoffe mir kann jemand helfen *weiss nicht mehr weiter*
LG Mel

Beitrag von **Markus67** » 16.06.2005 11:41

Hi ...

Protect User Accounts
This hack has been devised to help protect the user accounts on your forums.

It features the following functionalities:

Admin can specify max number of failed login before account are blocked.
Admin can specify block time.
Admin can specify minimum password length.
Admin can specify password, different from username.
Admin can specify password, must consist of both letters and numbers.

Admin can see IP of the computers that get blocked.
Admin can see number of bad login attempts.
Admin can clear a users block time.
Admin can manually block a user

In der Version 2.0.15 wird der Adminbereich bereits durch die erneute Eingabe des PW geschützt

Markus

Mel27 · Beitrag von **Mel27** » 16.06.2005 13:38

Ne habe die version nicht installiert!
habe eiggentlich noch die 12 version das update ging irgendwie icht wirklich

Beitrag von **Markus67** » 16.06.2005 13:46

Hi ...

dann wird es aber höchste Zeit für das Update. Was ging denn nicht?

Markus

Mel27 · Beitrag von **Mel27** » 16.06.2005 14:13

Ich bekomm des nicht hin wenn ich es mach sind alle mods die ich mal eingebaut habe weg

Lg Mel

gloriosa · Beitrag von **gloriosa** » 16.06.2005 14:39

Mel27 hat geschrieben:Ich bekomm des nicht hin wenn ich es mach sind alle mods die ich mal eingebaut habe weg
Lg Mel

Hallo,
die Update's von phpBB 2.0.12 nach 2.0.13, phpBB 2.0.13 nach 2.0.14 und phpBB 2.0.14 nach 2.0.15, greifen in keinerlei MOD's ein und sind in wenigen Minuten erledigt

, sofern Du Dir dazu Zeit nimmst ruhig an die Sache gehst und Dich nicht ablenken läßt.

Da kein Datenbank-Update (außer der phpBB-Versionsaktualisierung) erfolgt reicht es vor dem Einbau des jeweiligen Updates die zu bearbeitetnden Dateien zu sichern !

Mel27 · Beitrag von **Mel27** » 16.06.2005 21:27

Hallo nun habe ich es geschafft und auch den anderen Mod einzubauen aber....
ich hab hier eine Fehler meldung ??

Could not update users table

DEBUG MODE

SQL Error : 1064 You have an error in your SQL syntax near '0'' WHERE user_id = 14' at line 2

Line : 57
File : usercp_activate.php

Hier nun einmal der Code:

Code: Alles auswählen

<?php
/***************************************************************************
 *                            usercp_activate.php
 *                            -------------------
 *   begin                : Saturday, Feb 13, 2001
 *   copyright            : (C) 2001 The phpBB Group
 *   email                : support@phpbb.com
 *
 *   $Id: usercp_activate.php,v 1.6.2.7 2003/05/03 23:24:02 acydburn Exp $
 *
 *
 ***************************************************************************/

/***************************************************************************
 *
 *   This program is free software; you can redistribute it and/or modify
 *   it under the terms of the GNU General Public License as published by
 *   the Free Software Foundation; either version 2 of the License, or
 *   (at your option) any later version.
 *
 *
 ***************************************************************************/

if ( !defined('IN_PHPBB') )
{
	die('Hacking attempt');
	exit;
}

$sql = "SELECT user_active, user_id, username, user_email, user_newpasswd, user_lang, user_actkey 
	FROM " . USERS_TABLE . "
	WHERE user_id = " . intval($HTTP_GET_VARS[POST_USERS_URL]);
if ( !($result = $db->sql_query($sql)) )
{
	message_die(GENERAL_ERROR, 'Could not obtain user information', '', __LINE__, __FILE__, $sql);
}

if ( $row = $db->sql_fetchrow($result) )
{
	if ( $row['user_active'] && trim($row['user_actkey']) == '' )
	{
		$template->assign_vars(array(
			'META' => '<meta http-equiv="refresh" content="10;url=' . append_sid("index.$phpEx") . '">')
		);

		message_die(GENERAL_MESSAGE, $lang['Already_activated']);
	}
	else if ((trim($row['user_actkey']) == trim($HTTP_GET_VARS['act_key'])) && (trim($row['user_actkey']) != ''))
	{
		$sql_update_pass = ( $row['user_newpasswd'] != '' ) ? ", user_password = '" . str_replace("\'", "''", $row['user_newpasswd']) . "', user_newpasswd = ', user_passwd_change='".(($row['user_newpasswd']==$row['user_password']) ? time() : '0')."''" : '';

		$sql = "UPDATE " . USERS_TABLE . "
			SET user_active = 1, user_actkey = ''" . $sql_update_pass . " 
			WHERE user_id = " . $row['user_id']; 
		if ( !($result = $db->sql_query($sql)) )
		{
			message_die(GENERAL_ERROR, 'Could not update users table', '', __LINE__, __FILE__, $sql_update);
		}

		if ( intval($board_config['require_activation']) == USER_ACTIVATION_ADMIN && $sql_update_pass == '' )
		{
			include($phpbb_root_path . 'includes/emailer.'.$phpEx);
			$emailer = new emailer($board_config['smtp_delivery']);

			$emailer->from($board_config['board_email']);
			$emailer->replyto($board_config['board_email']);

			$emailer->use_template('admin_welcome_activated', $row['user_lang']);
			$emailer->email_address($row['user_email']);
			$emailer->set_subject($lang['Account_activated_subject']);

			$emailer->assign_vars(array(
				'SITENAME' => $board_config['sitename'], 
				'USERNAME' => $row['username'],
				'PASSWORD' => $password_confirm,
				'EMAIL_SIG' => (!empty($board_config['board_email_sig'])) ? str_replace('<br />', "\n", "-- \n" . $board_config['board_email_sig']) : '')
			);
			$emailer->send();
			$emailer->reset();

			$template->assign_vars(array(
				'META' => '<meta http-equiv="refresh" content="10;url=' . append_sid("index.$phpEx") . '">')
			);

			message_die(GENERAL_MESSAGE, $lang['Account_active_admin']);
		}
		else
		{
			$template->assign_vars(array(
				'META' => '<meta http-equiv="refresh" content="10;url=' . append_sid("index.$phpEx") . '">')
			);

			$message = ( $sql_update_pass == '' ) ? $lang['Account_active'] : $lang['Password_activated']; 
			message_die(GENERAL_MESSAGE, $message);
		}
	}
	else
	{
		message_die(GENERAL_MESSAGE, $lang['Wrong_activation']);
	}
}
else
{
	message_die(GENERAL_MESSAGE, $lang['No_such_user']);
}

?>

Ich hoffe ihr könnt mir weiterhelfen.
Lg Mel

Beitrag von **Markus67** » 16.06.2005 22:33

Hi ...

suche in der Datei

Code: Alles auswählen

$sql_update_pass = ( $row['user_newpasswd'] != '' ) ? ", user_password = '" . str_replace("\'", "''", $row['user_newpasswd']) . "', user_newpasswd = ', user_passwd_change='".(($row['user_newpasswd']==$row['user_password']) ? time() : '0')."''" : '';

ersetze mit:

Code: Alles auswählen

$sql_update_pass = ( $row['user_newpasswd'] != '' ) ? ", user_password = '" . str_replace("\'", "''", $row['user_newpasswd']) . "', user_newpasswd = '', user_passwd_change='".(($row['user_newpasswd']==$row['user_password']) ? time() : '0')."'" : '';

Markus

Mel27 · Beitrag von **Mel27** » 16.06.2005 23:01

Ja danke das klappt nun aber......

Irgendwas stimmt nun wieder nicht.
Jedesmal wenn ich mich einloggen will sagt er mir das mein Pw abgelaufen ist und ich ein neues brauche.
dann lass ich mir eins zuschicken und geht auch aber sobald ich mich dann ins admin menü einloggen will ..... gehts von vorne los

LG Mel

Beitrag von **Markus67** » 16.06.2005 23:10

Hi ...

hattest du denn vorher Probleme beim einloggen in den Adminbereich?

Markus

phpBB.de

Habe ein Problem mit der Sicherheit

Habe ein Problem mit der Sicherheit

Faulpelzalarm