Diskussion zu phpBB 2.0.23 veröffentlicht

[Hundewiese]

Hilfeee!

Hat sich erledigt *g*
Hab die Anleitung gefunden

LG
Jennie

[Moni_70]

Hallo,

ist mir ja schon peinlich ... habe jetzt endlich per Patch von .0.10 auf .0.23 upgedated ...

Funktioniert so weit auch alles prima im Frontend.

Leider komme ich nicht mehr in meinen Admin-Bereich. Ich werde noch zur Login-Seite geführt, werde aber nach dem Abschicken wieder auf meine Index-Seite redirected.

Jetzt hab ich schon überall gesucht, in welcher Datei der Hund begraben liegt ... Hat vielleicht jemand einen Tip?

Danke!

Grüßle
Moni

[gn#36]

Das wird wohl ein Style-Problem sein: KB:2011_style

Weitergehenden Support dazu aber bitte im passenden Forum

[Moni_70]

Dange!

Sonst such ich mir noch die Augen wund ...

Grüßle
Moni

[srrr]

[Sec] Fix possible XSRF Vulnerability in private messaging and groups handling

Da ich aus irgendeinem Grund diesmal keine Ankündigungsmail für die neue Version von phpbb.com erhalten habe ist eine etwas größere Community gerade weg vom Fenster.

Die Lücke wird voll automatisiert durch einen Bot ausgenutzt. Als Ergebnis wird die komplette Datenbank geleert.

In der Accesslog findet sich folgendes Muster:

[21/Mar/2008:13:21:29 +0100] "GET / HTTP/1.1" 200 23803 "-" "Java/1.6.0_05"
[21/Mar/2008:13:21:49 +0100] "GET /faq.php?sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 37544 "-" "Java/1.6.0_05"
[21/Mar/2008:13:21:50 +0100] "GET /groupcp.php?sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 10247 "-" "Java/1.6.0_05"
[21/Mar/2008:13:21:51 +0100] "GET /index.php?c=1&sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 13135 "-" "Java/1.6.0_05"
[21/Mar/2008:13:21:52 +0100] "GET /login.php?sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 10819 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:00 +0100] "GET /memberlist.php?sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 48240 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:02 +0100] "GET /profile.php?mode=register&sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 10104 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:05 +0100] "GET /search.php?search_id=newposts HTTP/1.1" 302 - "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:11 +0100] "GET /login.php?redirect=search.php&search_id=newposts&sid=a2ef2b43e46d8cb81eea0025dcbbab6d HTTP/1.1" 200 10848 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:17 +0100] "GET /viewforum.php?f=1&sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 50579 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:18 +0100] "GET /viewonline.php?sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 12420 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:20 +0100] "GET /viewtopic.php?p=106494&sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 200 24531 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:23 +0100] "GET /privmsg.php?mode=post&u=10&sid=ad811e0c22f4f3400617582a06ebdf79 HTTP/1.1" 302 - "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:24 +0100] "GET /login.php?redirect=privmsg.php&folder=inbox&mode=post&sid=cfe20577928335fc0f49b6212e3982cf HTTP/1.1" 200 10853 "-" "Java/1.6.0_05"
[21/Mar/2008:13:22:29 +0100] "GET /posting.php?mode=newtopic&f=1&sid=7163a3d529dbe4a6a2252e40caf60f29 HTTP/1.1" 200 105 "-" "Java/1.6.0_05"

Also zurück zum Mittwoch .

[larsneo]

Als Ergebnis wird die komplette Datenbank geleert.

beim session riding würde dazu aber auch ein wenig 'unterstützung' durch einen entsprechend authorisierten benutzer notwendig sein (xsrf steht ja nur für die 'feindliche fernsteuerung' einer session) - und der empfohlene .htaccess schutz auf z.b. das admin-verzeichnis würde darüberhinaus eine zusätzliche hürde darstellen die ein angreifer erst einmal überwinden müsste

[srrr]

Na ich hab nicht auf Datenbank löschen geklickt . Und es war generell auch keiner der Admins zu diesem Zeitpunkt online. Vielleicht gibt es ja noch einen zweiten Fehler? Mehr als die accesslog und wenig Ahnung hab ich leider nicht. Wenn gewollt kann ich aber gerne ein neues Thema aufmachen um mal weiter zu schauen...