(Dringend HILFE)Wie geht das ? Forum Hack

[Balint]

Hallo!

Mein Beitrag auf phpbb2.de:

Gestern wurde eine Lücke für den Links MOD 1.2.2 bekannt, mit der der Hash des Admin-Paßworts aus der Datenbank ausgelesen werden kann. Da der MOD auch Bestandteil von phpBB Plus ist, ist es dringend ratsam, einen Fix einzuspielen.

Der Fix ist relativ einfach:

Code: Alles auswählen

#
#-----[ OPEN ]------------------------------------------
#
links.php

#
#-----[ FIND ]------------------------------------------
#
$start = ( isset($_GET['start']) ) ? $_GET['start'] : 0;

#
#-----[ REPLACE WITH ]------------------------------------------
#
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;

Viele Grüße,
Bálint

[Würzi]

Hallo Red-Stern

Also ich bezweifel langsam, daß es ein User von dir war.
Bist du dir da 100%ig sicher?

Begründung:
Ich habe den Ctracker eingebaut und musste heute ebenfalls einen Angriff auf die links.php feststellen genau in der Art, welche du beschrieben hast.
Fand den Eintrag gerade bei mir in den Logfiles.

An dieser Stelle auch gleich mal ein Dank an Cback für den Ctracker, der hat schon einiges rausgefiltert.

[Red-Benz]

Ey Danke, SAUBER

Aber das Passwort wird nicht ausgelesen sondern schlichtweg ersetzt !!

Ein MD5 Passwort auzulesen ist das eine es zu entschlüsseln ne Lebensaufgabe

Ich habe den Typen der mein Forum kapern wollte über Stunden beobachtet und konnte dadurch Haarklein feststellen was er genau gemacht hat, immer wenn ich ihn grade wieder geblockt hatte war das Passwort erneut ersetzt und er wieder drin.

Ich konnte ihn ja mal machen lassen weil er sich ne User ID ausgesucht hatte mit der er eh nicht viel Schaden anrichten konnte.

Er hat mir auch noch ne PN gesendet

Code: Alles auswählen

Titel:	sucker	 
i have hacked your forum :)) u are nothink

Er kam eindeutig aus dem HAMBURGER Raum, ich habe sein Vorgehen komplett mitgelogt.

Gruß und Danke

Red Benz

[Balint]

Aber das Passwort wird nicht ausgelesen sondern schlichtweg ersetzt !!

Hi!

Hättest du da einen entsprechenden Logeintrag? Bei dem von mir betreuten Forum wurden nur SELECTs abgesetzt, der Hack auf mailw0rm ist auch nur so beschrieben. Ich nehme an, das nach dem Auslesen des Hashes mit Rainbow Tables das wahre Paßwort herausgefunden wurde.


Viele Grüße,
Bálint

[Red-Benz]

Hi

Ich hatte wärend er im Gange war die Datenbank mit dem entsprechenden User geöffnet und konnte sehen das das Passwort geändert wurde.....


@Balint
die von dir gepostete Zeile die ich ersetzen soll kommt bei mir in der links.php nicht vor

so steht das bei mir

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;

Gibt es von der 1.22 verschiedene Versionen ??

Gruß

Red Benz

[Balint]

so steht das bei mir

Code: Alles auswählen

$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;

Gibt es von der 1.22 verschiedene Versionen ??

Hallo!

Die gibt es anscheinend, denn meine Zeile lautete genau wie deine, im Paket phpBB+ 1.53a ist allerdings die ursprünglich gepostete Zeile. Also einfach die von dir verlinkte Zeile gegen das ersetzen, was bei mir unter "REPLACE WITH" steht.


Viele Grüße,
Bálint

[Red-Benz]

@Balint

Hatte ich mir schon gedacht und habe es so geändert, THX

Finden tut er die Foren übrigens über Suchmaschinen wie Google, er such ganz einfach nach ( Links MOD v1.2.2 by phpBB2.de and OOHOO and CRLin. )

Gruß

Red Benz

[Dr.Death]

Moin,

schön das die Lücke bereits gefunden worden ist..... ich habs erst jetzt gesehen.

Sauber!

[Mahony]

Hallo Red-Benz
Du solltest dir auch mal das hier ansehen links MOD - Der hier gepostete Fix selbst reicht nicht aus.





Grüße: Mahony