Forum gehackt über KB?

cback · Beitrag von **cback** » 07.05.2006 18:04

Ausführlich zu diesem Thema gibt es zu dem oben von IPB_Flüchtling genannten Eintrag in meinem Blog auch seit 2. Mai eine kurze Ankündigung auf meinem Portal wo nochmal speziell auf das Thema eingegangen wird und häufig gestellte Fragen beantwortet werden:

http://www.community.cback.de

die Konstantenprüfung

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
   die("Hacking attempt");
}

verläuft übrigens unabhängig vom CrackerTracker. Das heißt auch wenn Du keinen CrackerTracker installiert hast kannst Du so die Dateien die eingebunden werden (jepp es bezieht sich, je nach Mod, auch auf die eingebundenen Dateien in anderen Ordnern) absichern.

Allerdings empfiehlt es sich, um das Forum selbst noch besser zu sichern neben der aktuellen Serversoftware und natürlich phpBB Version auch noch die installation des CrackerTrackers, da dieser den entstehenden Traffic und die entstehende DB Belastung bei "herkömmlichen" Attacken auf Boardfiles stark reduziert und darüber hinaus noch einige andere Sicherheitsfunktionen bringt. Ist dann also neben der anderweitig genannten Sicherheit noch ein zusätzlicher Schutz vor Schädlingen.

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 07.05.2006 18:05

Ahoi,

ja, Du bist auf der richtigen Spur! Die Voraussetzung dafür ist aber, dass die Datei, welche die "includierte" Datei aufruft, folgende Zeile aufweist (findet sich eigentlich bei so gut wie jedem Mod, der mir bislang untergekommen ist, ziemlich weit oben im Quelltext):

Code: Alles auswählen

define('IN_PHPBB', true);

Nur wenn diese Zeile in der aufrufenden Datei vorhanden ist, kann in der aufgerufenen, includierten Datei folgendes funktionieren:

Code: Alles auswählen

if (!defined('IN_PHPBB'))
{
	die('Hacking attempt');
}

Ein Mod, den ich auf diese Weise nachgerüstet habe, ist übrigens der Recent Topics - Mod.

Mit dem CrackerTracker, den ich persönlich für empfehlenswert halte, hat das Ganze übrigens nichts zu tun.

BTW: Es gibt auch eine Standalone Variante des Cracker Tracker, mit der man php-Dateien, die den phpBB-CrackerTracker (sofern installiert) nicht über

Code: Alles auswählen

include($phpbb_root_path . 'common.'.$phpEx);

laden, zusätzlich schützen kann.

EDIT: cback war um 1 Minute schneller.

LG, IPB_Flüchtling

de$ert · Beitrag von **de$ert** » 07.05.2006 19:41

Danke für die Antwort

Den Chrackertracker hab ich schon seid ein paar monaten drinne und den advanced guestbook mod hab ich gerade auch mal entfernt

Kellergeist2 · Beitrag von **Kellergeist2** » 07.05.2006 21:38

IPB_Flüchtling hat geschrieben:[...]
Mit dem CrackerTracker, den ich persönlich für empfehlenswert halte, hat das Ganze übrigens nichts zu tun.
[...]

Ich kann den CrackerTracker auch nur wärmstens empfehlen, denn bei mir hat auch jemand versucht über diese Sicherheitslücke einzudringen, noch bevor dies in den News bekannt gemacht wurde.
Der CrackerTracker hat mein Board gerettet!
Ich habe mittlerweile den fehlenden Code selbstverständlich in der entsprechenden Datei nachgepflegt.

felixx · Beitrag von **felixx** » 07.05.2006 23:08

Hallo,

ich habe den Hinweis von cback gelesen, aber so richtig verstehe ich das leider nicht.

Ich habe dies

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
   die("Hacking attempt");
}

nun ich die kb_constants.php eingetragen.

Wo muß das denn noch hin?

Trifft dies auch auf einen von diesen Mods zu?

Smartor Album 2.0.53
DB-Maintence 1.3.6
Imagesource Validation Mod 0.0.1
Merge Mod 2.0.18
Move Message Mod 3.0.3
Multivote Mod 1.4.2
schon gewusst 1.0.0
Fully integrated shoutbox 1.1.6
simple Admin Userlist 2.0.2

Vielleicht kann mir einer helfen.

Beitrag von **Gumfuzi** » 08.05.2006 07:21

suche in den Dateien des Mods nach dem "include" oder "include_once"-Befehl. Dann prüfe diese Dateien (also die, die includet werden) ob der einzufügende Code schon drin ist.

thompson · Beitrag von **thompson** » 08.05.2006 09:22

wäre natürlich interessant zu wissen wo es überall notwendig ist. vielleicht ist jemand so nett und veröffentlicht das mal für die mods wo es bereits gefunden wurde bzw. rein sollte.

Beitrag von **Gumfuzi** » 08.05.2006 16:06

Das wird bei so vielen Mods nicht möglich sein, eine annähernd komplette Liste zu erstellen.

h-o · Beitrag von **h-o** » 08.05.2006 17:54

IPB_Flüchtling hat geschrieben:
Code: Alles auswählen
if (!defined('IN_PHPBB'))
{
	die('Hacking attempt');
}

Normalerweise genügt es schon, im /includes-Verzeichnis die gleiche .htaccess-Datei abzulegen wie im /cache-Verzeichnis, also

Code: Alles auswählen

<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>

Das macht auf jeden Fall weniger Arbeit als die Methode, um jede in diesem Verzeichnis liegende PHP-Datei mit "if (!defined('IN_PHPBB'))..." zu ergänzen, dürfte aber eigentlich genauso effektiv sein.

Beitrag von **Gumfuzi** » 08.05.2006 20:32

Muss man die reinen functions-dateien auch mit den paar Codezeilen schützen?
Also die Files, die nur Funktionen enthalten.