Vor einer Woche habe ich phpBB 2.0.20 installiert. Heute habe ich einen Spambeitrag entdeckt, was an sich ja noch nicht so schlimm gewesen wäre, aber der Benutzer (Graxujin2, vermutlich ein Bot) war in allen Boards als Moderator eingetragen!
Ich kann mir das nicht erklären, kann es sein dass ich etwas falsch konfiguriert habe oder ist das eine Sicherheitslücke von phpBB?
Mein Passwort ist sicher (Zahlen & Buchstaben), Erweiterungen habe ich keine installiert außer dem RSS Content Syndicator.
Sicherheitslücke?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: Sicherheitslücke?
Hmm, dieser Bot hat sich noch in zig anderen Foren eingetragen (den Namen findet man aber zum momentan Zeitpunkt seltsamerweise nur mit Yahoo oder MSN, nicht mit Google!).Davok hat geschrieben:der Benutzer (Graxujin2, vermutlich ein Bot) war in allen Boards als Moderator eingetragen!
Aber in keinem dieser Foren, wo er noch registriert ist und vom Admin noch nicht gelöscht wurde, steht er als Moderator drin, zumindest nicht in der jeweiligen Übersichtsseite von index.php oder viewforum.php...
Was mir außerdem aufgefallen ist: Der Link in der Spam-Nachricht, die der Bot einträgt, lässt sich nicht anklicken, obwohl er mit http:// beginnt und an sich gültig ist. Doch der Bot verwendet vor und nach dem Link (ohne URL-Codierung) die Formatierungszeichen für Fettdruck und dadurch wird der Link, der zu einer Pornoseite führen soll, nicht anklickbar. Selten so gelacht
Wie kann das denn angehen das ein User mit Mod-Rechten eingeschleust wird?
Leute, soetwas zu lesen macht mir Angst.
Als nächstes kommt jemand und legt statt mit Mod-Rechten einen Adminaccount an, Spammt dann nicht nur rum, sondern demoliert das Board auch noch ein wenig.
Derjenige wollte wohl besonders auffallen und hat sich damit ein Eigentor geschossen. *lol*
Leute, soetwas zu lesen macht mir Angst.
Als nächstes kommt jemand und legt statt mit Mod-Rechten einen Adminaccount an, Spammt dann nicht nur rum, sondern demoliert das Board auch noch ein wenig.
Derjenige wollte wohl besonders auffallen und hat sich damit ein Eigentor geschossen. *lol*
Die Signatur hat Urlaub.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Davok: Prüf mal bitte per phpMyAdmin Deine phpb_users Tabelle und schau ob der Benutzer Anonymous existiert. Es wurden schon sehr eigenartige Effekte beobachtet, wenn dies nicht der Fall ist.
Gruß,
Tekin
Gruß,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
Jawoll, existiert. Im Detail:
user_id` = -1, `user_active` = 0, `username` = 'Anonymous', `user_password` = '', `user_session_time` = 0, `user_session_page` = 0, `user_lastvisit` = 0, `user_regdate` = 1148488754, `user_level` = 0, `user_posts` = 0, `user_timezone` = 2.00, `user_style` = NULL, `user_lang` = 'german_formal', `user_dateformat` = 'd. M Y, H:i', `user_new_privmsg` = 0, `user_unread_privmsg` = 0, `user_last_privmsg` = 0, `user_login_tries` = 0, `user_last_login_try` = 0, `user_emailtime` = NULL, `user_viewemail` = 0, `user_attachsig` = 0, `user_allowhtml` = 1, `user_allowbbcode` = 1, `user_allowsmile` = 1, `user_allowavatar` = 1, `user_allow_pm` = 0, `user_allow_viewonline` = 1, `user_notify` = 0, `user_notify_pm` = 1, `user_popup_pm` = 0, `user_rank` = NULL, `user_avatar` = '', `user_avatar_type` = 0, `user_email` = '', `user_icq` = '', `user_website` = '', `user_from` = '', `user_sig` = '', `user_sig_bbcode_uid` = NULL, `user_aim` = '', `user_yim` = '', `user_msnm` = '', `user_occ` = '', `user_interests` = '', `user_actkey` = '', `user_newpasswd` = ''
user_id` = -1, `user_active` = 0, `username` = 'Anonymous', `user_password` = '', `user_session_time` = 0, `user_session_page` = 0, `user_lastvisit` = 0, `user_regdate` = 1148488754, `user_level` = 0, `user_posts` = 0, `user_timezone` = 2.00, `user_style` = NULL, `user_lang` = 'german_formal', `user_dateformat` = 'd. M Y, H:i', `user_new_privmsg` = 0, `user_unread_privmsg` = 0, `user_last_privmsg` = 0, `user_login_tries` = 0, `user_last_login_try` = 0, `user_emailtime` = NULL, `user_viewemail` = 0, `user_attachsig` = 0, `user_allowhtml` = 1, `user_allowbbcode` = 1, `user_allowsmile` = 1, `user_allowavatar` = 1, `user_allow_pm` = 0, `user_allow_viewonline` = 1, `user_notify` = 0, `user_notify_pm` = 1, `user_popup_pm` = 0, `user_rank` = NULL, `user_avatar` = '', `user_avatar_type` = 0, `user_email` = '', `user_icq` = '', `user_website` = '', `user_from` = '', `user_sig` = '', `user_sig_bbcode_uid` = NULL, `user_aim` = '', `user_yim` = '', `user_msnm` = '', `user_occ` = '', `user_interests` = '', `user_actkey` = '', `user_newpasswd` = ''
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Mir ist kein Exploit bekannt, der User direkt als Moderator registrieren lässt und eigentlich bin ich, was Exploits angeht immer up-to-date.
Hast Du ein ungemoddetes phpBB oder irgendwelche Mods drin?
Hast Du ein ungemoddetes phpBB oder irgendwelche Mods drin?
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
Re: Sicherheitsl�cke?
Vielleicht wäre es noch wichtig zu erwähnen, dass ich das Konvertierungsskript von phpbb.com benutzt habe, um ein altes THWBoard in phpBB zu konvertieren.Davok hat geschrieben:Erweiterungen habe ich keine installiert außer dem RSS Content Syndicator.
Hallo und guten Abend.
Sorry das ich das so platt sage, aber das phpbb ist ein Hacker-Forum ... will damit sagen, das es das liebste Spielzeug von "Freizeitkünstlern" ist ... und das nervt langsam.
Mir ist gerade bekannt geworden, das ein phpbb Version 2.0.19 heute "gehackt" wurde, will sagen, das jemand über einen künstlich erzeugten Beitrag zu Adminrechten gekommen ist und es geschafft hat, z.B. das Titelbild zu verändern.
Freundlicherweise nicht mehr ...
Aber ich finde das schon sehr beängstigend ....
Ist jemandem noch so eine Lücke (exploit) bekannt in dieser Version ??
Natürlich weiss ich das gerade die 2.0.20 raus ist, aber das hilft in diesem Fall wohl auch nicht, da sowas explizit nicht gefixt wurde (laut changelog).
Infos ??
Vielen Dank.
Sorry das ich das so platt sage, aber das phpbb ist ein Hacker-Forum ... will damit sagen, das es das liebste Spielzeug von "Freizeitkünstlern" ist ... und das nervt langsam.
Mir ist gerade bekannt geworden, das ein phpbb Version 2.0.19 heute "gehackt" wurde, will sagen, das jemand über einen künstlich erzeugten Beitrag zu Adminrechten gekommen ist und es geschafft hat, z.B. das Titelbild zu verändern.
Freundlicherweise nicht mehr ...
Aber ich finde das schon sehr beängstigend ....
Ist jemandem noch so eine Lücke (exploit) bekannt in dieser Version ??
Natürlich weiss ich das gerade die 2.0.20 raus ist, aber das hilft in diesem Fall wohl auch nicht, da sowas explizit nicht gefixt wurde (laut changelog).
Infos ??
Vielen Dank.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Zum Punkt Adminbereich kann ich nur immer wieder auf einen htaccess-Schutz hinweisen.
http://www.phpbb.de/viewtopic.php?t=73948
Tekin
http://www.phpbb.de/viewtopic.php?t=73948
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
