phpBB.de

Verfasst: **07.02.2006 10:41**

Hallo,
da wird eine Fa. mit aehnlichem Namen wie Kleinweich belaechelt, wenn dort Passwoerter nicht oder nur primitiv codiert werden und jetzt staune ich nicht schlecht, dass beispielsweise das Datenbankpasswort in der phpBB-Forumssoftware so pur lesbar abgelegt wird.
Ich glaube ja nicht, dass die phpBB-Programmierer zu dumm oder zu faul sind, Passwoerter zu verschluesseln. Was kann denn dann sonst noch ein Grund dafuer sein?
Ist es vielleicht fuer ein Kaninchenzuechtervereinsforum (sorry, nicht abwertend gemeint) nicht so tragisch, wenn es mal gehackt wird?
Oder gibt es einige Leute mit kommerziellem Hintergedanken, die in manchem Fall (nach einem Hack) einen fetten Wartungsvertrag erhoffen? Andererseits glaube ich aber auch, dass hier 99% der aktiven Mitglieder selbstlos und ohne Hintergedanken Hilfe leisten.
Sind wir denn alle nur Anwender-Versuchskaninchen fuer einige wenige, die Vorteile davon haben, wenn die phpBB-Software etwas unsicher ist?
Es schreibt ein etwas frustierter Anwender, dessen Forum (Rev. 2.018) in knapp 4min gehackt wurde (in den Provider-Log-Dateien habe ich (hoechstwahrscheinlich) den Uebeltaeter wiedergefunden, deshalb die genaue Zeitangabe)
P.S.:
Ich habe jetzt auch "wie mache ich mein Board sicher" gelesen

Frage: koennte man nicht die phpBB-Software von vornerein so gestalten (beispielsweise Passwoerter nicht so lesbar ablegen), dass man eben nicht wie ein IT-Profi mit 'htaccess' etc. 'rummachen' muss?

Verfasst: **07.02.2006 11:24**

Auf die config.php kann doch normalerweise niemand zugreifen ? Und wenn ein Hacker erstmal Zugang zum FTP hat, ist es eh aus.
Da hilft auch eine Verschlüsselung nicht weiter, da er diese ja auch hätte wenn er Zugang zum FTP hat.

Verfasst: **07.02.2006 11:44**

Die Passwörter der User sind zudem als MD5 Hash in der Datenbank abgelegt und nicht "pure" Lesbar.

Verfasst: **07.02.2006 12:00**

Dr. er spricht nicht von den Passwörtern in der Datenbank, sondern von dem Passwort der Datenbank die in der config.php steht. Und wie Miroerr schon sagte, wie soll man das Passwort zur Datenbank schützen? Es muss ja entschlüsselbar sein, sonst kann die Boardsoftware schliesslich nicht auf die Datenbank zugreifen.

Die Frage ist wie der Hacker an die FTP-Daten herankam, wenn er es denn tat. Ich denke eher, es war ein Exploithack, ohne das er config.php auslesen konnte.

Tekin

Verfasst: **07.02.2006 12:52**

cYbercOsmOnauT hat geschrieben:Ich denke eher, es war ein Exploithack, ohne das er config.php auslesen konnte.

Tekin

Hallo,
da der Schaden bei gekacktem ftp-Zugang wahrscheinlich viel groesser gewesen waere, haste mit der Annahme wohl recht.
Deiner Signatur entnehme ich, dass du dich mit der IT-Materie auskennst, deshalb die Frage:
haette eine htaccess-Massnahme (Verzeichnisschutz) -(bei der es ja auch um Verschluesselung geht)-
Link dazu
bei diesem "Exploithack" etwas geholfen?

Verfasst: **07.02.2006 13:46**

Es gibt eine Möglichkeit die Angaben in der config.php verschlüsseln zu lassen, das haben wir ja auch drin.
Ich sitz momentan aber an nem anderen Rechner, deswegen kann ich den Link nich geben.
Möchte aber dazu sagen, das das ganze keinen 100% Schutz bietet (den es ohnehin nicht gibt).
Wenn der Cracker (Unterschiede zwischen beiden beachten

) Zugang zur a.php hat (die von dem Mod zur Encrypt/Decrypt verwendet wird) isses auch aus.

Verfasst: **07.02.2006 14:46**

Diano, der htaccess-Passwortschutz dient dazu ganze Verzeichnisse vor dem Zugriff Fremder zu schützen. Dein Board wäre dann für Gäste unerreichbar. Jeder müsste den Zugang kennen um überhaupt die Startseite sehen zu können.

Du kannst im .htaccess jedoch RewriteCond's setzen, die bekannte "Hackmethoden" umleiten und somit ausschalten. Oder nimm gleich den Cracker Tracker von cback. Der bietet noch etliches mehr an Schutz. Ansonsten hilft auch ein sehr schnelles Update wenn neue Versionen herauskommen von phpBB. Denn die Exploits die jeder Kiddie im Netz findet erscheinen meist einige Tage oder gar Wochen später als die neuen gefixten Versionen der Boardsoftware.

Falls Du doch lieber nur den schnelleren Weg wählst und kein großes Mod einbauen willst, pack einfach das Folgende als .htaccess in den Root Deines Boards.

Code: Alles auswählen

RewriteCond %{QUERY_STRING} .*'.* [OR]
RewriteCond %{QUERY_STRING} .*\%27.* [OR]
RewriteCond %{QUERY_STRING} .*".* [OR]
RewriteCond %{QUERY_STRING} .*\%22.* [OR]
RewriteCond %{QUERY_STRING} .*`.* [OR]
RewriteCond %{QUERY_STRING} .*\%60.* [OR]
RewriteCond %{QUERY_STRING} .*\%25.* [OR]
RewriteCond %{QUERY_STRING} .*echr.* [OR]
RewriteCond %{QUERY_STRING} .*esystem.* [OR]
RewriteCond %{QUERY_STRING} .*passthru.* [OR]
RewriteCond %{QUERY_STRING} .*wget.*
RewriteRule .* - [F,L]

HdZ: Wenn Du es so genau nimmst, lass Dir sagen, das Cracker auch Hacker sind. Nur hacken diese zum Eigennutz (auch Blackhat genannt), wohingegen ein Hacker (respektive Whitehat) nur Sicherheitslücken sucht, diese dem Server-/Boardadmin meldet und ansonsten nur sein Wissen erweitern und helfen will.

Gruß,
Tekin

Verfasst: **07.02.2006 15:49**

Siehe auch hier:

http://www.phpbbhacks.com/download/3539
http://www.phpbbhacks.com/download/4478
http://www.phpbbhacks.com/download/4572

Verfasst: **07.02.2006 16:09**

schon mal Danke fuer die Tips!
bei mir war es uebrigens ein roter Hacker

seine 'Signatur':
HACKED BY HACKER06 & DELİDOLU [ReD-HacK-TeaM]

als naechstes werd ich mich mal an einen cronjob ranwagen, um auch Datenbank-BackUps zu kriegen, wenn ich mal keine Lust dazu habe.
Das muesste ich eigentlich mit eigenen Boardmitteln noch schaffen

- aber weitere Tips sind natuerlich willkommen

Verfasst: **08.02.2006 09:25**

@cybercosmonaut: Ich kenne den Unterschied zwischen beiden.
Desweiteren sind rewrites nicht bei allen Hostern erlaubt, bei meinem z. B. nicht

phpBB.de

Unverschluesseltes Passwort

Unverschluesseltes Passwort