Guten Morgen erstmal,
gestern Nacht bekam ich von einem Bekannten die Info, das eines
der von mir technisch gepflegten Foren angeblich "gehackt" worden sei.
Es wurden einzelne Posts in einem Moderatoren-Forum (intern) gelöscht.
Das Forum hat die Version 2.0.17 (ist also up-to-date).
Netterweise hatte der "Hacker" auch noch einen irc-chat mit dem oben erwähtnen bekannten, in dem er behauptete, das er sich über eine sql-injection und einen gefakten cookie Zugang via session-id hijacking verschafft habe.
Diese Aussage kann ich soweit weder bestätigen noch dementieren - auch ist mir nicht so wirklich klar wie ich diese Aussage überprüfen kann oder phpbb helfen kann ein mögliches neues Sicherheitsproblem zu fixen.
Der Hacker behauptete übrigens er habe ein recht neues Loch ausgenutzt und wäre jetzt dabei ein Tutorial zu schreiben, wie man es ausnutzen könne.
Naja - wäre sehr dankbar für Feedbacks - schätze der ein oder andere hat schon Erfahrung mit derartigen Problemen.
Gruß
MacGyver
Angeblicher Hack - Vorgehensweise ?!
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
KB:gehackt
Und bis jetzt sind noch keine Sicherheitslücken im 2.0.17 bekannt.
Das Cookieproblem ist schon seit ein paar Version beseitigt (durch das erneute Login bevor man in den Adminpanel kommt und noch div. andere Änderungen)
Und eine sql-injection ist wo gut wie unmöglich alle möglichen Löcher wurden ja gefixt (die bekannt sind)
Ich freue mich schon auf das Tutorial, mal sehen was das bringen wird
Und bis jetzt sind noch keine Sicherheitslücken im 2.0.17 bekannt.
Das Cookieproblem ist schon seit ein paar Version beseitigt (durch das erneute Login bevor man in den Adminpanel kommt und noch div. andere Änderungen)
Und eine sql-injection ist wo gut wie unmöglich alle möglichen Löcher wurden ja gefixt (die bekannt sind)
Ich freue mich schon auf das Tutorial, mal sehen was das bringen wird
Mh - ok, der angegebene Link (den ich sicherlich auch über die Suche hätte finden können - sorry4that) bringt mich leider nicht wirklich weiter. Denn es stehen keine Anahltspunkte drin, wie man neue Löchter ausfindig machen kann, bzw. ein unbekanntes Loch eingrenzen kann.
Ansonsten:
Dank dir auf jeden Fall mal für deine Antwort.
Der Haken an der ganzen Sache ist halt: Allein die Tatsache das keine Löcher bei phpbb bekannt sind, heißt ja nicht das es sie nicht trotzdem evtl. noch gibt. Sollte also ein "ich hab langeweile und lerne mal phpbb-code auswendig - auf der Suche nach Schwachstellen"-Guru was gefunden haben - stellt sich für mich halt die Frage: Wie kommt man auf das gleiche was der Guru herausgefunden hat - damit phpbb einen fix stricken kann ?
Ansonsten:
Dank dir auf jeden Fall mal für deine Antwort.
Der Haken an der ganzen Sache ist halt: Allein die Tatsache das keine Löcher bei phpbb bekannt sind, heißt ja nicht das es sie nicht trotzdem evtl. noch gibt. Sollte also ein "ich hab langeweile und lerne mal phpbb-code auswendig - auf der Suche nach Schwachstellen"-Guru was gefunden haben - stellt sich für mich halt die Frage: Wie kommt man auf das gleiche was der Guru herausgefunden hat - damit phpbb einen fix stricken kann ?
Die kann man nur finden bis man wartet bis die Hacker/Cracker Tuttorials rausgeben wie sie es beschreiben wie sie es machen
Und hier stehen auch noch keine Hacks fürs 2.0.17
http://www.milw0rm.com/remotephp.php?it=phpBB
Und hier stehen auch noch keine Hacks fürs 2.0.17
http://www.milw0rm.com/remotephp.php?it=phpBB
Öhm... dann ist phpbb darauf angewiesen das einer der Hacker/Cracker/Code-Bastler abtrünnig wird und sein Wissen für "gutes" nutzt ? Oder halt wenn er zu öffentlich die Tutorials weitergibt (sofern er sich denn überhaupt die Arbeit macht eins zu basteln) ????
Das finde ich ja mal höchstkritisch...
In der Zeit wo phpbb dann drauf wartet das sie Schützenhilfe vom Feind bekommen, haben die Hacker-Buben schon 1000 Board-Admins kirre gemacht. Klingt nicht gerade entspannend.
Das finde ich ja mal höchstkritisch...
In der Zeit wo phpbb dann drauf wartet das sie Schützenhilfe vom Feind bekommen, haben die Hacker-Buben schon 1000 Board-Admins kirre gemacht. Klingt nicht gerade entspannend.
Jep du hast es verfasstMacGyver hat geschrieben:Öhm... dann ist phpbb darauf angewiesen das einer der Hacker/Cracker/Code-Bastler abtrünnig wird und sein Wissen für "gutes" nutzt ? Oder halt wenn er zu öffentlich die Tutorials weitergibt (sofern er sich denn überhaupt die Arbeit macht eins zu basteln) ????
Das finde ich ja mal höchstkritisch...
In der Zeit wo phpbb dann drauf wartet das sie Schützenhilfe vom Feind bekommen, haben die Hacker-Buben schon 1000 Board-Admins kirre gemacht. Klingt nicht gerade entspannend.
Es gibt aber auch gute Hacker bzw. Coder/Modder die Lücken sofort der phpBB Group melden und nicht auf irgendwelchen Hackerseiten herausgeben.
Wenn ein Loch da wär, dann ist er ein Cracker wenn er da zeigen will wie man Boards hackt, das halte ich allerdings für unwahrscheinlich. Mein Tipp wäre: Der Admin/Mod/...? Welcher betroffen war ist in dem Forum oder in einem Forum registriert welches nicht up2date war oder gar diesem Super-Mega-Geilo-Skript-Kiddie gehört. Dann hat er wohl einfach aus dieser Datenbank den Passwort Hash rauskopiert und (wenn dieser in dem 2.0.17er Forum auch benutzt wurde) sich damit ein Cookie gebacken.
Wär so meine Idee.
Ich glaube hier liegt mehr phpBB Group Boykott vor.
Gegen Injects in der URL => CTracker installieren
Wär so meine Idee.
Ich glaube hier liegt mehr phpBB Group Boykott vor.
*gähn* klingt recht komisch dieser Ansatzweg, wenn er nen Cookie hätte welcher Zugang ermöglicht braucht er keine SID zu Hijacken. Ich denke mal den [web][/web] BBCode hast Du bei Dir draußen oder? Ansonsten könnte höchstens noch ein nicht akuteller Mod dafür verantwortlich gewesen sein.das er sich über eine sql-injection und einen gefakten cookie Zugang via session-id hijacking verschafft habe.
Gegen Injects in der URL => CTracker installieren
CBACK Software
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
Ok - also vorweg:
Die Möglichkeit das ein Mod mit seinem Passwort geschludert hat halte ich auch für die absolut wahrscheinlichste (und auch die die mir am wenigsten Stress macht). Ich halte viel von dem was da kam auch für Aufscheiderei.
Was den Cookie angeht...
nen Cookie kann er ja haben - allerdings bringt ihm das nicht viel, wenn dieser keine gültige Session-ID spreichert, bzw. keine username/pw speichert.
Aber das ist eh ein Punkt der mir noch nicht so wirklich klar ist:
Kann man ein "login-on-return" cookie ohne weiteres von einem PC auf
einen anderen kopieren ? Ich hab das irgendwann mal bei einem wbb board versucht und bin dabei gescheitert. Hat da noch jemand Infos für mich ?
Die Möglichkeit das ein Mod mit seinem Passwort geschludert hat halte ich auch für die absolut wahrscheinlichste (und auch die die mir am wenigsten Stress macht). Ich halte viel von dem was da kam auch für Aufscheiderei.
Was den Cookie angeht...
nen Cookie kann er ja haben - allerdings bringt ihm das nicht viel, wenn dieser keine gültige Session-ID spreichert, bzw. keine username/pw speichert.
Aber das ist eh ein Punkt der mir noch nicht so wirklich klar ist:
Kann man ein "login-on-return" cookie ohne weiteres von einem PC auf
einen anderen kopieren ? Ich hab das irgendwann mal bei einem wbb board versucht und bin dabei gescheitert. Hat da noch jemand Infos für mich ?
Cookies werden als .txt Dateien auf dem PC gespeichert wenn man weiss wo die liegen kann man die problemlos bearbeiten..MacGyver hat geschrieben:Aber das ist eh ein Punkt der mir noch nicht so wirklich klar ist:
Kann man ein "login-on-return" cookie ohne weiteres von einem PC auf
einen anderen kopieren ? Ich hab das irgendwann mal bei einem wbb board versucht und bin dabei gescheitert. Hat da noch jemand Infos für mich ?
