Seite 3 von 6
Verfasst: 14.05.2006 20:48
von fanrpg
Nein nur zum sichern und wieder einspielen der Datenbank.
Verfasst: 14.05.2006 20:48
von oxpus
Nun, ich lasse mysqldumper schon per cronjob arbeiten, klar, sonst wäre das wirklich dumm.
Und vorher noch die db komplett optimieren, dann habe ich zumindest alle 24 Stunden (so ist mein Backup eingestellt) eine "saubere" Datenbank.
Verfasst: 14.05.2006 21:02
von IPB_Flüchtling
@fanrpg:
Danke für die Antwort - also weg mit dem Ding!
LG, IPB_Flüchtling
Verfasst: 14.05.2006 21:15
von fanrpg
Vllt. sollte man das auch mal Publicer machen ich denke nicht jeder guckt genau hier rein oder an anderen Stellen wo ichs gepostet habe.
Den das Sicherheitsrisiko ist da und bis die phpBB Group reagiert können Tage vergehen und viele Foren gehackt werden.
Verfasst: 15.05.2006 01:59
von cYbercOsmOnauT
Ich schätze das Risiko ehrlich gesagt nicht so hoch ein, denn damit der Exploit funktioniert, muss Avatar Upload aktiv sein. Wenn dies nicht der Fall ist, muss der Hacker die SID des Admins raten. Viel Erfolg....
Eines musst Du mir in Deinem SQL-Query erklären fanrpg. Ziemlich weit unten führst Du das Folgende aus
Code: Alles auswählen
$sql = "SELECT s.session_id, s.session_ip FROM ".SESSIONS_TABLE." s WHERE s.session_id = '". str_replace("\'", "''", $userdata['session_id']) ."' LIMIT 1";
if( !( $result = $db->sql_query($sql) ))
{
message_die(CRITICAL_ERROR, 'Hacking attempt', '', __LINE__, __FILE__, $sql);
}
$sessionrow = $db->sql_fetchrow($result);
if( $userdata['session_id'] != $sessionrow['session_id'] )
{
die('Hacking attempt');
}
Also du fragst eine Zeile der Sessions-Tabelle ab. Und zwar die, wo die eingetragene session_id in der Tabelle $userdata['session_id'] entspricht. Danach führst Du eine If-Anweisung durch, in der Du abfragst, ob die session_id in der Tabelle mit $userdata['session_id'] übereinstimmt. Wie soll da jemals FALSE heraus kommen?
Grüße,
Tekin
Verfasst: 15.05.2006 12:41
von thompson
also ich hatte vor kurzem lt. meinem hoster einen angriff über den upload einiger dateien (album mod oder avatar) ließ sich leider nicht mehr klären, da der angreifer auch die logs komplett gelöscht hat.
was sollte man denn nun genau tun ?
Verfasst: 15.05.2006 13:28
von fanrpg
Wie soll da jemals FALSE heraus kommen?
gar nicht.
Verfasst: 15.05.2006 13:30
von hebe
ich lasse den avatar upload gar nicht zu, es gibt genug möglichkeiten diese zu verlinken.
wenn ich das richtig verstanden habe, sind verlinkte avatare ja nicht betroffen.
aber die wahrscheinlichkeit ist mehr als gering mal eben an die session id des admins zu kommen
Verfasst: 15.05.2006 13:46
von fanrpg
hebe hat geschrieben:aber die wahrscheinlichkeit ist mehr als gering mal eben an die session id des admins zu kommen
Doch hab noch letztens ne Anleitung gesehen wie das geht.
Hat auch funktioniert weiss nicht mehr so genau wie irgendwas war da mit das posten von urls.
Verfasst: 15.05.2006 13:50
von TK
Verlinkte Avatare sind das gefährlichste überhaupt: Wenn z.B. jemand ohne Cookies im Forum surft, dann wird bei ihm immer die SID in der URL angehängt. Wenn jetzt ein fremdes Bild von einem anderen Server als Avatar in den Foren-Seiten "eingebettet" geladen wird, dann erscheint in den Server-Logs des fremden Servers die URL, von der das Bild angefordert wurde. Also die URL mit SID. Wenn nun jemand seine Server-Logs zeitnah überwacht, kann er einfach diese URL aufrufen und ist automatisch eingeloggt als das Mitglied, das ohne Cookies im Forum unterwegs war oder immer noch ist (es sei denn, die SID wäre inzwischen ungültig -> da ausgeloggt - wenn der "Hijacker-Angriff" aber zeitnah geschieht, klappt es ohne Probleme). Wenn dieses Mitglied dann auch noch ein Admin/Moderator ist...
