Wie ist mein Forum sicher gegen Hacker??????

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Akreb
Mitglied
Beiträge: 247
Registriert: 11.06.2006 12:09
Kontaktdaten:
Kontaktdaten von Akreb

Beitrag von Akreb »

closett hat geschrieben:Hi,

wer glaubt ...
Die User ID des Admins (erste User) ist immer "2".

Außerdem halt mal die Maus auf den PN Button oder Profil Button, dann siehst du auch die User ID.

Was sagst du jetzt?

Julian
wieso so dumme sprüche, hab ich mir das ausgedacht?

...das stand so in der anleitung, habs noch nicht ausprobiert(wieso auch)!!!!!
Nach oben
Benutzeravatar
Julian87
Mitglied
Beiträge: 4303
Registriert: 05.11.2005 16:26
Wohnort: Nähe Bonn
Kontaktdaten:
Kontaktdaten von Julian87

Beitrag von Julian87 »

Akreb hat geschrieben:
closett hat geschrieben:Hi,

wer glaubt ...
Die User ID des Admins (erste User) ist immer "2".

Außerdem halt mal die Maus auf den PN Button oder Profil Button, dann siehst du auch die User ID.

Was sagst du jetzt?

Julian
wieso so dumme sprüche, hab ich mir das ausgedacht?

...das stand so in der anleitung, habs noch nicht ausprobiert(wieso auch)!!!!!
Hi,

das sind keine Sprüche, schau mal nach was ein Spruch ist, und selbst wenn, dann wäre er nicht dumm. Es ist nur eine feststellung meinerseits die ich dich wissen lassen wollte.

Julian
Nach oben
h-o
Mitglied
Beiträge: 385
Registriert: 09.08.2004 16:17

Beitrag von h-o »

closett hat geschrieben:Die User ID des Admins (erste User) ist immer "2".
Im Prinzip ja.

Allerdings kann man auch die Situation nutzen, dass bei phpBB 2.x die Usernummer "1" im Normalfall unbelegt ist und aus Sicherheitsgründen hier eine Art "Superadmin" anlegen, der für alle anderen Besucher immer unsichtbar ist und sich in "kritischen Situationen" einloggen kann.

Das kann beispielsweise dann der Fall sein, wenn durch die in phpBB 2.0.19 hinzugekommene Login-Sperre irgendjemand versucht, durch mehrmalige, bewusst ungültige Anmeldeversuche das Benutzerkonto des "normalen" Admins (dessen Benutzername ja meist allgemein bekannt ist), vorübergehend zu sperren und dieser für eine bestimmte Zeit (Standard: 30 Minuten) keine Möglichkeit mehr hat, ins Forum zu kommen - von speziellen Entsperrversuchen wie über phpmyadmin (z. B. user_login_tries bzw. user_last_login_try auf "0" setzen) mal abgesehen.

Hierfür müssen in diversen Dateien lediglich bestimmte SQL-Abfragen ergänzt werden um:

Code: Alles auswählen

	AND user_id <> 1
Dazu gehören (bei einem normalen phpBB ohne Modifikationen):
  • memberlist.php (3 x, zwei mal in Liste, einmal in Suche)
  • privmsg.php
  • viewonline.php (kann entfallen, falls Status des Super-Admin "versteckt" ist)
  • includes/functions.php (2 x)
  • includes/functions_search.php
  • includes/page_header.php (betrifft normalerweise nur die Startseite und kann eigentlich auch entfallen, wenn sich der Superadmin "versteckt")
und ggf. noch ein paar Dateien im Admin-Verzeichnis, falls man den anderen Admins misstrauen sollte :D

Außerdem ist es u. U. sinnvoll, den entsprechenden Benutzernamen des Super-Admins im ACP unter "Benutzer -> Benutzernamen verbieten" einzutragen, damit bei Registrierversuchen nicht die Meldung erscheint, dass der "Benutzername bereits belegt" wäre.

Wenn normale User den Benutzernamen des Superadmins nicht kennen, ist dieser somit vor solchen Loginsperren oder sonstigen Login-Hacks weitestgehend sicher. Dass dieser Superadmin natürlich nichts ins Forum schreiben sollte, weil dort sonst sein Name erscheint, ist natürlich auch klar. Ggf. kann man dieses Versehen vermeiden, in dem man posting.php (etwa nach "End session management") ergänzt um:

Code: Alles auswählen

		if (( $mode == 'newtopic' || $mode == 'reply' || $mode == 'quote') && ($userdata['user_id'] == '1'))
		{
				message_die(...hier eine Meldung, dass Superadmin besser nichts schreiben sollte...)
		}
(das Editieren von Beiträgen klappt dagegen nach wie vor).

Siehe auch: Unsichtbarer Administrator, hier geht es allerdings um alle Administratoren und nicht nur um einen "Superadmin".
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“