phpBB.de

Bestimmte Position in der htaccess ?

Nein wo du das rein schreibst ist egal.

thx

*Puh*

Soviel Postings möchte ich auch mal haben, im ganzen Forum verteilt, und nicht in einem Thread. Das letzte mal gepostet hatte ich auf Seite 25 oder so, den Rest bis hierhin habe ich gerade durchgelesen.

Zumindest scheint wieder etwas Ruhe eingekehrt zu sein und die Diskussion etwas sachlicher geworden sein.

Es ist zwar nicht fein, sich selber zu zitieren, aber das hier ist von Seite 25 im Thread hier, gestern um 00:08 abgeschickt:

Heinze 1906 hat geschrieben:
Ihr "Schnellkündiger" (Kanidat für das Unwort des Jahres ) : Zeigt mir mal eine gekaufte Foren Software, die nicht geknackt werden kann und wo ihr soviel (kostenlose) Unterstützung bekommt.

Inzwischen hat es Woltab auch erwischt, und alle dessen Nutzer, die sich gestern noch über uns "phpbb'ler" lustig gemacht haben, sind jetzt scheinbar verstummt.

webazubi hat geschrieben:Hoffe, das die Leute, die sich hier beschweren, bei der nächsten Bundestagswahl (oder demnächst in HH) ebenfalls so konsequent ihren Unmut darüber bekunden und eher die Partei wählen, die nicht in dem Verdacht steht, Teil einer neoliberalen Wirtschafts- und Sicherheitsstrategie zu sein.

Das sehe ich ähnlich, bzw. hoffe ich. Aber die Hoffnung ist trügerisch und morgen gibts eine andere Schlagzeile.... Der Mensch vergisst schnell, (leider), denn sonst könnten unsere Politiker auch einpacken.

Ich gehe jetzt ins Bett, schon überfällig. *g*


Grüsse

Heinrich

Man man man...
dachte nicht, dass das ganze so einen Rummeln macht Wink

Die Datenbanken wurden und werden aus aktuellem Anlass NICHT mehr verkauft!
Also haben die User nichts zu befürchten Wink
War eigentlich nur als Wertschätzung gedacht!

phpbb.de und wolltab.com hack haben NICHTs miteinander zu tun!
ich besitze beide Datenbanken auch nicht, sondern war nur Vermittler!

Die Screenshoits habe ich auch nicht geschossen, lediglich hochgeladen!-.-

Naja ziehe mich aus der Sache raus, war mir nicht bewusst, dass es so schlimm ist!

MfG

Last edited by Trada on Tue Feb 05, 2008 11:01 pm; edited 2 times in total

Nur für Euch zur Info aus diesem Hacker Board.
Nun darf wieder geflamt und rum geheult werden. Hab alle Beiträge hier gelesen und bei 90% Stellen sich mir die Nackenhaare auf.

Egal ich halt mich da raus und freu mich über jeden lustigen Vogel der mir ein lächeln ins Gesicht zaubert

Hi,

hier hatte ich die eine erweiterte .htaccess generiert plus weitere Tipps, wie man die anderen Verzeichnisse schützen sollte:
http://www.phpbb.de/viewtopic.php?p=839257#839257

Diese .htaccess schützt aber nicht vor allen Angriffen. Die Variable QUERY_STRING enthält nämlich nur GET Anfragen. Angriffe, die über POST oder COOKIE erfolgen werden so nicht verhindert.

Die Problematik, der doppelt eingesetzten Passwörter erkläre ich jedem meiner Mods auf Grund einer Erfahrung aus der Vergangenheit, wo ein Mitstreiter die Login-Daten mitgesichert hat, um sich dann als Mod in unseren Foren anmelden zu können.

Ich kann mir gut vorstellen, dass sowas auch hier passiert sein kann. Wenn z.B. ein Admin/Mod woanders das gleiche Passwort verwendet hat und dieser Seitenbetreiber genau darauf aus war, dann hat man schon verloren.

Daher als Admin/Mod IMMER unterschiedliche Passwörter nutzen. Niemals zweimal das gleiche.

Was ich persönlich erschreckend finde ist das Kommentar von dem Verkäufer der geklauten Datenbanken, der eindeutig gesagt hat, dass bei phpbb2.de das ACP per htaccess geschützt war. Das impliziert, dass es hier nicht so gewesen wäre, was ich schon irgendwie traurig finde.

Bitte informiert uns über die Lücke, damit wir uns entsprechend absichern können :!:

Zunächst vorab ein herzliches Danke für die geleistete Arbeit die
hinter phpBB steckt. Zum Thema kann ich folgendes beisteuern:

Über Monate hinweg konnte ich über die Logfiles beobachten das
sich eine sehr bekannte Suchmaschine ( allerdings mit einer ab-
weichenden IP als normal bekannt ) tagtäglich bis zu 10 000 x
über den nach aussen offenen Calender Scheduler hermachte,
um sich an den Nicknames zu bedienen. Fraglich durch ein Mit -
glied wurde dann anhand der Mitgliederliste der auf 1 stehende
Admin erkannt und so lange bearbeitet bis das Passwort gehackt
war.

Einem eher sehr glücklichen Zufall zufolge konnte der inzwischen
gehackte Account sekündlich erkannt und geblockt werden. Die
IP konnte gesichert werden, um anschliessend Anzeige zu erstatten.

Inzwischen haben wir unsere Homepage dahingehend gesichert das
der Inhalt Calender Scheduler nicht mehr öffentlich angezeigt wird,
Spider wurden * beschnitten * und können nur noch eine von uns
bestimmte vorgegebene Menge an Datenmaterial ermitteln, um an-
schliessend durch Löschung des Caches komplett neu zu suchen.

@ Hans
Hattet ihr denn keine Sperre drin, sobald jemand X Fehlversuche durchführt? Im phpbb ist dies Standard und verhindert auf diese Art Bruteforce-Angriffe.

Gruß

plACEbo hat geschrieben:

Olli Oberhausen hat geschrieben:Schön das manche Leute, darunter auch "Professionelle" ihre DB-Backups auf Ihren Servern rumliegen lassen...

Google
Google

Das ist echt krAAAs! (1. Link, 2. Suchtreffer) Sämtliche Kundendaten samt Telefon. Anschrift, email...
Vollidioten hoch 10 hoch 20

mfg

hmm... und wer genauer hinschaut sieht das es Fake Daten sind.... ist ja nett das Vor- und Nachname samt Telenummer
aber einen you Buba .... und einen jp Shama ... und die gleich mehrfach... also von daher...

PS: bei 4 oder 5 Usern .... wäre eh kaum jemand betroffen
ich glaube irgendwann hiess es mal das hier das Backup knapp 300MB wäre (lange her, länger als ich hier angemeldet bin) - um das zu laden würde das schon ein bisschen dauern... auch mit Standleitung... von DSL 16'000 und niedriger ganz zu schweigen...

Die Mitglieder-Datenbank alleine sind ca. 100 MB (ungepackt), wenn ich das mit meinen Daten vergleiche. Inkl. Beiträge und allem drum und dran sind es aber auch wiederrum viel mehr als 300 MB. Ich schätze mal hier sind es ca. 3 GB an Daten in der Datenbank.