Diskussion zu phpBB 2.0.19

[IPB_Flüchtling]

Ahoi,

hier mal ein Zitat aus dem Oxpus-Forum:

Ich gebe den SkriptKiddies maximal 1 Monat für solche Scherzskripte. Einfach in die Memberlist, Adminuser raussuchen, 5 mal falsch einloggen, 30 Minuten warten, gleiches spiel von vorne. ...
Also ich sehe dieses neue Feature als größere Bedrohung als es gut machen will.

Und jetzt eines aus diesem Forum hier:

Ich werd mich aber in den nächsten Tagen (wenn der Updatestress hier jetzt nachgelassen hat) mal dransetzen um für CBACK CrackerTracker v4.0.2 und phpBB 2.0.19 ein Add on zu bringen, was das IP Sperrsystem mit diesem Passwortsystem kombiniert. Somit würde lediglich nach mehrmaligem fehlversuch die betreffende IP gesperrt und der echte Admin, der ja normal eine andere hat dürfte dann trotzdem erneut probieren sich einzuloggen.

Bleibt wohl nur, ganz lieb bitte zu sagen. Beschütze uns vor dem neuen phpbb-"Sicherheitsfeature"!

Danke noch einmal für den CrackerTracker und einen guten Rutsch!

LG, IPB_Flüchtling

[ichda]

Ich habe vorläufig das Teil bei mir deaktiviert, mein Nutzerpasswort hat 30 Stellen (kein Witz) und ist Kryptisch, dass sollte ein Bruteforce nicht rausbekommen ohne das ich die Trafficspitze merke.

Was meinste mit ,habe ich deaktiviert?Meinste den CT Tracker???

[Miroerr]

http://www.phpbbhacks.com/forums/viewtopic.php?t=57791

Hier sind die Code Changes für die die manuell installieren wollen (wegen Mods usw.). Falls es nicht schon jemand gepostet hat ... allerdings werde ich erst warten bis die neue crackerTracker Version drausen ist und die deutsche phpbb 2.0.19 Version.

[Miroerr]

Bis dahin sollte meinem 2.0.18'er ja nichts passieren *tätschel*.
Hm es gibt ja schon deutsche Files ... dann mach ich das Update wohl doch gleich.

Wo ist mein heißgeliebter edit-Button hin ?

[Gumfuzi]

Edit gibts hier nicht

Ich werde alles einbauen, die Sperrzeit einfach mal auf 1 oder 0 setzen und dann auf das CT-Update warten.

[ichda]

Du musst ERST update_to_latest ausführen, bevor du dich einloggen kannst...

Das ging auch nicht,da kam ne Fehlermeldung von wegen das ich keine Brechtigung habe diese auszuführen,deshalb wollte ich mich als admin einloggen,mit den bekannten Fehler....

Ich habe jetzt erstmal alle original Files wieder zurückgespielt,wenn ich das hier lese scheint ja die 19er Version ein wenig unsicher zusein

[East]

Ich hab die Code Changes jetzt mal von Hand installiert. Folgende Sachen konnte ich allerdings nicht ersetzen:

Code: Alles auswählen

# 
#-----[ OPEN ]--------------------------------------------- 
# 
admin/admin_db_utilities.php

#
#-----[ FIND ]---------------------------------------------
# Line 696
			$tables = array('auth_access', 'banlist', 'categories', 'config', 'disallow', 'forums', 'forum_prune', 'groups', 'posts', 'posts_text', 'privmsgs', 'privmsgs_text', 'ranks', 'search_results', 'search_wordlist', 'search_wordmatch', 'sessions', 'smilies', 'themes', 'themes_name', 'topics', 'topics_watch', 'user_group', 'users', 'vote_desc', 'vote_results', 'vote_voters', 'words', 'confirm');

#
#-----[ REPLACE WITH ]---------------------------------------------
# 
			$tables = array('auth_access', 'banlist', 'categories', 'config', 'disallow', 'forums', 'forum_prune', 'groups', 'posts', 'posts_text', 'privmsgs', 'privmsgs_text', 'ranks', 'search_results', 'search_wordlist', 'search_wordmatch', 'sessions', 'smilies', 'themes', 'themes_name', 'topics', 'topics_watch', 'user_group', 'users', 'vote_desc', 'vote_results', 'vote_voters', 'words', 'confirm', 'sessions_keys');
# 
#-----[ OPEN ]--------------------------------------------- 
# 
admin/index.php

#
#-----[ FIND ]---------------------------------------------
# Line 63
			include($file);

#
#-----[ REPLACE WITH ]---------------------------------------------
# 
			include('./' . $file);

# 
#-----[ OPEN ]--------------------------------------------- 
# 
admin/index.php

#
#-----[ FIND ]---------------------------------------------
# Line 63
			include($file);

#
#-----[ REPLACE WITH ]---------------------------------------------
# 
			include('./' . $file); 

Ich hoffe, da ist nichts wichtiges dabei? Würde mich über Feedback sehr freuen.

[Mihil]

Ich lasse als Sperre 30 min. eingestellt.
Wenn der Account schon gesperrt wurde, kann man das wieder ganz leicht rückgängig machen.

Ins phpMyAdmin --> Tabelle phpbb_users auswählen --> "Anzeigen" auswählen --> User finden und dann bearbeiten (Stift) --> user_login_tries und user_last_login_try wieder auf 0 setzten
Fertig!

[Zyancali]

Also ich hab den Loginpart nicht mal eingebaut...

Habe den Limit Login attempts Mod von Manipe drin, der genügt mir.

Der macht das selbe, nur eben nicht mit Sperre von Benutzern sondern mit der Sperre von IP's

Finde ich sinnvoller

[cback]

Ich habe vorläufig das Teil bei mir deaktiviert, mein Nutzerpasswort hat 30 Stellen (kein Witz) und ist Kryptisch, dass sollte ein Bruteforce nicht rausbekommen ohne das ich die Trafficspitze merke.

Was meinste mit ,habe ich deaktiviert?Meinste den CT Tracker???

Nein ich bin doch nicht lebensmüde
Ich meinte das Login System vom phpBB 2.0.19.

Mir ist übrigens eine Lösung eingefallen die IP unabhängig funktioniert, ich werd einfach ne Sicherheitsfrage einführen mit der man die Loginsperre entriegeln kann ohne in der Datenbank rumzugehen. Das alles also in den nächsten Tagen.