Seite 2 von 2
Verfasst: 01.09.2007 16:26
von Balint
Hallo!
Mein Beitrag auf phpbb2.de:
Gestern wurde eine Lücke für den Links MOD 1.2.2 bekannt, mit der der Hash des Admin-Paßworts aus der Datenbank ausgelesen werden kann. Da der MOD auch Bestandteil von phpBB Plus ist, ist es dringend ratsam, einen Fix einzuspielen.
Der Fix ist relativ einfach:
Code: Alles auswählen
#
#-----[ OPEN ]------------------------------------------
#
links.php
#
#-----[ FIND ]------------------------------------------
#
$start = ( isset($_GET['start']) ) ? $_GET['start'] : 0;
#
#-----[ REPLACE WITH ]------------------------------------------
#
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;
Viele Grüße,
Bálint
Verfasst: 01.09.2007 17:07
von Würzi
Hallo Red-Stern
Also ich bezweifel langsam, daß es ein User von dir war.
Bist du dir da 100%ig sicher?
Begründung:
Ich habe den Ctracker eingebaut und musste heute ebenfalls einen Angriff auf die links.php feststellen genau in der Art, welche du beschrieben hast.
Fand den Eintrag gerade bei mir in den Logfiles.
An dieser Stelle auch gleich mal ein Dank an Cback für den Ctracker, der hat schon einiges rausgefiltert.
Verfasst: 01.09.2007 17:08
von Red-Benz
Ey Danke, SAUBER
Aber das Passwort wird nicht ausgelesen sondern schlichtweg ersetzt !!
Ein MD5 Passwort auzulesen ist das eine es zu entschlüsseln ne Lebensaufgabe
Ich habe den Typen der mein Forum kapern wollte über Stunden beobachtet und konnte dadurch Haarklein feststellen was er genau gemacht hat, immer wenn ich ihn grade wieder geblockt hatte war das Passwort erneut ersetzt und er wieder drin.
Ich konnte ihn ja mal machen lassen weil er sich ne User ID ausgesucht hatte mit der er eh nicht viel Schaden anrichten konnte.
Er hat mir auch noch ne PN gesendet
Code: Alles auswählen
Titel: sucker
i have hacked your forum :)) u are nothink
Er kam eindeutig aus dem HAMBURGER Raum, ich habe sein Vorgehen komplett mitgelogt.
Gruß und Danke
Red Benz
Verfasst: 01.09.2007 17:12
von Balint
Red-Benz hat geschrieben:
Aber das Passwort wird nicht ausgelesen sondern schlichtweg ersetzt !!
Hi!
Hättest du da einen entsprechenden Logeintrag? Bei dem von mir betreuten Forum wurden nur SELECTs abgesetzt, der Hack auf mailw0rm ist auch nur so beschrieben. Ich nehme an, das nach dem Auslesen des Hashes mit Rainbow Tables das wahre Paßwort herausgefunden wurde.
Viele Grüße,
Bálint
Verfasst: 01.09.2007 17:28
von Red-Benz
Hi
Ich hatte wärend er im Gange war die Datenbank mit dem entsprechenden User geöffnet und konnte sehen das das Passwort geändert wurde.....
@Balint
die von dir gepostete Zeile die ich ersetzen soll kommt bei mir in der links.php nicht vor
so steht das bei mir
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;
Gibt es von der 1.22 verschiedene Versionen ??
Gruß
Red Benz
Verfasst: 01.09.2007 17:34
von Balint
Red-Benz hat geschrieben:so steht das bei mir
Code: Alles auswählen
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;
Gibt es von der 1.22 verschiedene Versionen ??
Hallo!
Die gibt es anscheinend, denn meine Zeile lautete genau wie deine, im Paket phpBB+ 1.53a ist allerdings die ursprünglich gepostete Zeile. Also einfach die von dir verlinkte Zeile gegen das ersetzen, was bei mir unter "REPLACE WITH" steht.
Viele Grüße,
Bálint
Verfasst: 01.09.2007 17:42
von Red-Benz
@Balint
Hatte ich mir schon gedacht und habe es so geändert, THX
Finden tut er die Foren übrigens über Suchmaschinen wie Google, er such ganz einfach nach ( Links MOD v1.2.2 by phpBB2.de and OOHOO and CRLin. )
Gruß
Red Benz
Verfasst: 04.09.2007 09:35
von Dr.Death
Moin,
schön das die Lücke bereits gefunden worden ist..... ich habs erst jetzt gesehen.
Sauber!
Verfasst: 04.09.2007 14:51
von Mahony
Hallo Red-Benz
Du solltest dir auch mal das hier ansehen
links MOD - Der hier gepostete Fix selbst reicht nicht aus.
Grüße: Mahony