Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Seether · Beitrag von **Seether** » 06.02.2008 10:05

[BTK] Tobi hat geschrieben:

RewriteEngine On
RewriteCond %{QUERY_STRING} (.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*)
RewriteRule (.*) http://127.0.0.1 [L,R=301]

Stimmt der Code so?

Hatte es gestern mal getestet und es funktionierte nicht. Bei mir klappt es mit:

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]

Man beachte die ^ Zeichen

Beitrag von **cYbercOsmOnauT** » 06.02.2008 10:12

Ich denke mal, er hat überall gelesen, dass es zur Strafanzeige gekommen ist und will nun seinen Kopf aus der Schlinge ziehen. Aber selbst wenn er "nur Vermittler" wäre, wäre er dran. Warum sollte jemand den Vermittler spielen, wenn er den anderen nicht gut kennt, oder es ihm keinen Vorteil bringt? Mitgefangen, mitgehangen heisst es nicht umsonst in der Justizwelt. Ich denke immer noch, dass es nun nur Ausflüchte eines verängstigten Jungen sind, der sich nicht bewusst war, welche Wellen seine "Schaut mal wie toll ich bin"-Aktion schlagen würde.

darkon · Beitrag von **darkon** » 06.02.2008 12:24

Eine Wertschätzung?

Das ist doch wohl die mit Abstand idiotischste Ausrede die ich gehört habe... dem wird einfach nur der Ar*** auf Grundeis laufen.

Sani9000 · Beitrag von **Sani9000** » 06.02.2008 13:05

Nun darf wieder geflamt und rum geheult werden.

Hallo,
ich muss gestehen, das ich die >40 Seiten Posts nicht ALLE komplett durchgelesen habe, aber als reiner Benutzer "anderer" Software (WL) bin ich doch wirklich erstaunt, wie gesittet im allgemeinen der Thread hier doch abläuft und wie Ihr hier die Admin´s unterstützt.

Feine Community hier!

Gruß

Beitrag von **Jan500** » 06.02.2008 13:06

kannst ja zu uns rüberwechseln

hoheidt · Beitrag von **hoheidt** » 06.02.2008 13:19

[BTK] Tobi hat geschrieben:Ein Schutz der aber recht gut gegen die meisten Angriffsversuche hilft und unschöne Einträge im Log vermeidet währe wie weiter oben schon gepostet ein Eintrag in der .htaccess, vorausgesetzt der Server unterstützt mod_rewrite
Code: Alles auswählen
RewriteEngine On
RewriteCond %{QUERY_STRING} (.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} (.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*)
RewriteRule (.*) http://127.0.0.1 [L,R=301]
Das verhindert das Sachen wie domain.tld?mode=http://crackerseite.tld/böses-script.txt aufgerufen und so durch eine Sicherheitslücke ausgeführt werden können. Alle solchen versuche werden einfach zu dem Rechner der versucht hat das aufzurufen zurück geleitet.

Muss der Eintrag nur in die .htaccess im root oder muss so eine .htaccess in jedes Verzeichnis?

Nebenbei: Dieser Thread strotzt nur so vor "Ich will hier raus" und "selber Schuld" und irgendwelchen anderen unproduktiven Beiträgen, die keinem helfen. Das macht es sehr schwer, die Beiträge herauszufiltern, die wirklich nützlich sind.

NBthekiller · Beitrag von **NBthekiller** » 06.02.2008 13:21

Root sollte eigentlich reichen

RubberDuck · Beitrag von **RubberDuck** » 06.02.2008 13:32

hoheidt hat geschrieben:"Ich will hier raus"

Alles Stars im (Internet)Dschungel

Und die wollen halt raus ....

miccom · Beitrag von **miccom** » 06.02.2008 13:52

darkon hat geschrieben:Eine Wertschätzung?

Das ist doch wohl die mit Abstand idiotischste Ausrede die ich gehört habe... dem wird einfach nur der Ar*** auf Grundeis laufen.

Immerhin hat es phpbb.de damit in eine heise-News geschafft!

Fürs verkaufen der Daten, gehört er aber geteert und gefedert - nicht aber fürs hacken selbst.

kbdcalls · Beitrag von **kbdcalls** » 06.02.2008 13:54

mgutt hat geschrieben:
Fennias Maxim hat geschrieben:
tost hat geschrieben:
In dem Sinne verwendet bessere Passwörter!

Grüße
Genau, mit dem MD5-Hash und der email-Adresse lassen sich nämlich keine Schweinereien anstellen...:rolleyes:
Doch kann man, da man sich mit einem Autologin-Cookie einloggen kann. Deswegen hat die neuere Version von phpbb2 auch ein 2-Stufen-Login-System für den Adminbereich erhalten bzw. deswegen sollte man das Admin-Verzeichnis zusätzlich per .htaccess schützen.

Ich habe mich von Kurzem mit dieser Problematik beschäftigt, weshalb ich da noch einen User-Agent integrieren werden, um sowas zu verhindern.

Gruß

Dann hätte man es auch gleich richtig machen können. Also meldet man sich mit Passwort A an . Will man dann in den Admin Bereich braucht man Passwort B . Und damits damit kein Vertun gibt wird man gleich bei der Installation gezwungen unterschiedliche Passwörter zu vergeben. Auch wenn man zusätzlich Admins einrichtet. Und diese müssen dann bestimmte Kriterien erfüllen. In Bezug auf Länge und welche Zeichen enthalten sind.