phpBB.de

Hallo zusammen,
ich möchte den Faden von einigen anderen Themen hier noch einmal aufnehmen, da ich gestern bei heise.de wieder eine Warnmeldung über mögliche Wurmangriffe auf unser Forum gefunden habe:

http://www.heise.de/newsticker/meldung/67768

Meine Situation ist in diesem Zusammenhang folgende:
Ich betreibe ein Version 2.0.4 Forum und habe ein paar Mods installiert, die mich davor zurückschrecken lassen, auf die aktuelle phpbb-Version zu updaten. Ich könnte mit Sicherheitslücken leben, wenn ich davon ausgehen könnte, dass sich jemand hinsetzen müßte und mein Forum gezielt angreifen will. Da ich nicht glaube, dass jemand meiner Besucher ein Interesse und den notwendigen Sachverstand hat dies zu tun. Beunruhigend finde ich aber den Automatismus, mit dem die genannten Würmer vorgehen, wenn sie einmal losgelassen sind.

Die Frage die mich nun beschäftigt:

Würde es nicht einen deutlich besseren Schutz vor solchen automatisierten Angriffen bedeuten, wenn man die wenigen *.php-Dateien wie z.B. viewforum.php, posting.php, memberlist.php usw. alle umbenennt?

Ich stelle mir das durchaus machbar vor mit einem Textprogramm und "Suchen und Ersetzen" alle *.php-Dateien zu durchsuchen und abzuändern.

Es ist ja nun einmal der Fluch jeder Standard-Anwendung, dass sie standardmäßig tausendfach installiert wird und somit ideale Bedingungen für standardisierte Angriffe bietet (Microsoft-Nutzer können ein Lied davon singen). Nun ist ja die phpbb-Forensoftware auch schon sehr verbreitet und wenn ich mal nach "/phpBB/login.php"+"Powered by phpBB" unter Google suche, finde ich genügend Login-Seiten von phpbb-Foren, um z.B. dort einen Angriff zu starten.

Ich möchte hier nicht die Frage diskutieren, wie viel Arbeit das Umbenennen machen würde, oder dass man sich danach mit der Installation weiterer Mods oder Updates schwer tut oder das man die Sicherheitslücken in der Software ja nicht beseitigt hat. Sondern es geht mir nur darum Eure Meinung zu hören, ob man mit dieser Maßnahme automatisierten Wurm-Angriffen vorbeugen kann, da man sich nicht mehr in der phpbb-Standard-Foren-Installation befindet.

Danke für Eure Kommentare!

Holger2

Löschen

michi50 hat geschrieben: Wenn ich schon 2.0.4 lesen weis ich worums geht.
Update einfach auf 2.0.18!

Hallo michi50,
wolltest Du mit Deiner Antwort:
a) die Datenbank hier aufblähen?
b) den 1. Preis im "Wie mache ich schnell eine Frage tot?" gewinnen?
c) Hast Du die Frage nicht verstanden?

Man kann das Thema auch völlig losgelöst von einer Versionsdebatte behandeln und fragen, ob auch ein Umbenennen der 2.0.18 *.php-Dateien vor standardisierten Wurmangriffen besseren Schutz bietet?

Konstruktive Beiträge weiterhin willkommen!

Holger2

Wie du den Wurm-Angriffen vorbeugen kannst, steht doch in dem von dir verlinktem Artikel: Updaten auf 2.0.18

Da ich nicht glaube, dass jemand meiner Besucher ein Interesse und den notwendigen Sachverstand hat dies zu tun.

Doch, solche Besucher gibt es - In massen. Du kannst ja mal nach beiträgen schauenmit Titeln wie "Hilfe, mein Board wurde gehackt!" oder "Forum gehackt" schauen - Findest hier in massen.
Einfach auf phpBB 2.0.18 updaten und keine Angst mehr vor solchen Nachrichten haben oder früher oder später ebenfalls einen "Board gehackt" Thread posten.
Dann bist du aber auch selbst Schuld!

Ich finde das Verhalten gegenüber der User auch unverantwortlich.

Für ein 2.0.4 gibt es zig Exploits !

Falls du selber Angst vor dem Update hast stelle eine Anfrage in der Jobbörse.
Auf Dauer ist ein 2.0.4 ein gefundenes Fressen.

Mit dem Hilfsprogramm patch ist ein Update recht schnell erledigt und das Forum wieder einsatzbereit.

Außerdem merkt der Angreifer doch, dass deine login.php einloggen.php heißt, oder nicht ?

Grüße
tost

Außerdem merkt der Angreifer doch, dass deine login.php einloggen.php heißt, oder nicht ?

Aber wenn der Angreifer ein Script ist, dann muß es schon etwas intelligenter sein.

Ich könnte mir schon denken, das ein simples umtaufen der Dateien und anpassen aller Skripte zum Verwenden des neuen Namens einfachere exploits durcheinander bringt.

Wenn das viele machen werden die exploits aber sicherlich angepasst. Und den richtigen Namen zu finden dürfte kein Problem sein. Man muß nur nach dem Link mit dem Linktext "Login" suchen. Gut, man kann den Text auch ändern, aber irgendwann wird das Forum dann auch nicht mehr bedienbar.

Kurzfristig mag es was bringen, langfristig eher nicht. Dann schon lieber auf die aktuelle Version updaten.

Und allzuoft sollte man ein umtaufen nicht machen, sonst mögen einen die Suchmaschinen nicht mehr

knutes hat geschrieben:Ich könnte mir schon denken, das ein simples umtaufen der Dateien und anpassen aller Skripte zum Verwenden des neuen Namens einfachere exploits durcheinander bringt.

Ja, das ist richtig. Ein simples Umbenennen schützt schon vor vielen bösen Scripten. Das gilt übrigens auch für Kontaktformulare und Gästebücher.

tost hat geschrieben:Ich finde das Verhalten gegenüber der User auch unverantwortlich.

Dem ist nichts hinzuzufügen. Wer zu faul oder geistig nicht in der Lage ist, ein Board auf dem aktuellen Stand zu halten, sollte nicht Admin spielen. (Sorry, wenn das hart klingt. Ist aber meine ehrliche Meinung.)

Man kann sich zwar durch diverse Kunstgriffe a la Umbenennen von Dateien und v.a. Installation des CrackerTracker (Link in meiner Signatur) vor bösen Scripten schützen. Ein 2.0.4-Board ist aber derart anfällig, dass jeder zweite interessierte Zehnjährige, der googlen kann, das Board cracken könnte.
Ich weiß ja nicht, worum es in Holgers Board geht. Für die meisten Themen gibt es aber mehrere Boards, sprich: Konkurrenz. Und die schläft bekanntlich nicht... Kleiner Tipp von mir an Holger: Gib bloß nicht bekannt, um welches Board es geht!

Viel Glück - Du wirst es brauchen!
IPB_Flüchtling

hiho Holger,

losgeloest von der drohenden Gefahr ....

bedenke bitte eines, wenn Du X Dateien umbenennst und deren Querverweise ebenfalls, wird es fuer die Zukunft nahezu unmoeglich auf eine neue Version upzugraden und der Zeitaufwand duerfte in der selben Groessenordnung liegen, wie ein sauberes upgrade

ich kenne das Problem, je mehr Mods man hat, desto schwerer ist ein upgrade. Was ich mache, um den produktiven Betrieb nicht zu stoeren/gefaehrden, ich habe eine "tote" Kopie des Forums laufen, das ich immer zuerst auf den neuen Stand bringe. Wenn das sauber laeuft, kopiere ich die Dateien auf das Live System und ziehe nur den DB upgrade nach.

Vielleicht wuerde Dir das auch helfen.

Sehe es so: wenn Du das phpBB neu aufsetzt (Version 2.0.18 ), dann hast Du das neueste phpBB und:
Du sparst Dir damit nicht nur die aufwändigen updates der Forensoftware, sondern kannst auch gleich die bereits installierten Mods mit einer neuen Version einbauen (denn auch die Mods haben teilw. Sicherheitslücken) - hängt aber davon ab, wieviele und welche mods Du bereits installiert hast)

(sind aber nur meine 0,02 Euro)

P.S: eine Änderung der Dateiendung (kann man ja IMO golbal in der extension.inc einstellen) nimmt der Server nicht, oder?

Umbennen wird sicher den automatisierten Angriff abblocken. Das ein Update danach dann unmöglich ist sehe ich nicht so. Nur etwas anstrengender die Stellen zu finden.
Allerdings sollte man wirklich den "kosten-nutzen" Faktor dabei nicht aus den Augen verlieren. Wie bereits einige schon erwähnt haben: ein 2.0.4 lässt sich von jedem 10 jährigen innerhalb einer Minute aufmachen.

Für mich wäre das Umbennen keine ernsthafte Alternative. Entweder updaten auf die aktuelle Version - oder, wenn Du Deinen Usern vertrauen kannst, das ganze Forum hinter eine .htaccess mit .htpasswd setzen. Würmer und Zehnjährige sind damit dann ausgesperrt.
Das ist in meinem Augen die einzige Möglichkeit über die man reden kann wenn man nichts mehr mit Updates zu tun haben möchte. Aber der wahre Jakob ist das auch nicht...

Gruß

Saint