phpBB.de

Vor einer Woche habe ich phpBB 2.0.20 installiert. Heute habe ich einen Spambeitrag entdeckt, was an sich ja noch nicht so schlimm gewesen wäre, aber der Benutzer (Graxujin2, vermutlich ein Bot) war in allen Boards als Moderator eingetragen!
Ich kann mir das nicht erklären, kann es sein dass ich etwas falsch konfiguriert habe oder ist das eine Sicherheitslücke von phpBB?
Mein Passwort ist sicher (Zahlen & Buchstaben), Erweiterungen habe ich keine installiert außer dem RSS Content Syndicator.

Davok hat geschrieben:der Benutzer (Graxujin2, vermutlich ein Bot) war in allen Boards als Moderator eingetragen!

Hmm, dieser Bot hat sich noch in zig anderen Foren eingetragen (den Namen findet man aber zum momentan Zeitpunkt seltsamerweise nur mit Yahoo oder MSN, nicht mit Google!).

Aber in keinem dieser Foren, wo er noch registriert ist und vom Admin noch nicht gelöscht wurde, steht er als Moderator drin, zumindest nicht in der jeweiligen Übersichtsseite von index.php oder viewforum.php...

Was mir außerdem aufgefallen ist: Der Link in der Spam-Nachricht, die der Bot einträgt, lässt sich nicht anklicken, obwohl er mit http:// beginnt und an sich gültig ist. Doch der Bot verwendet vor und nach dem Link (ohne URL-Codierung) die Formatierungszeichen für Fettdruck und dadurch wird der Link, der zu einer Pornoseite führen soll, nicht anklickbar. Selten so gelacht

Wie kann das denn angehen das ein User mit Mod-Rechten eingeschleust wird?

Leute, soetwas zu lesen macht mir Angst.
Als nächstes kommt jemand und legt statt mit Mod-Rechten einen Adminaccount an, Spammt dann nicht nur rum, sondern demoliert das Board auch noch ein wenig.

Derjenige wollte wohl besonders auffallen und hat sich damit ein Eigentor geschossen. *lol*

Davok: Prüf mal bitte per phpMyAdmin Deine phpb_users Tabelle und schau ob der Benutzer Anonymous existiert. Es wurden schon sehr eigenartige Effekte beobachtet, wenn dies nicht der Fall ist.

Gruß,
Tekin

Jawoll, existiert. Im Detail:

user_id` = -1, `user_active` = 0, `username` = 'Anonymous', `user_password` = '', `user_session_time` = 0, `user_session_page` = 0, `user_lastvisit` = 0, `user_regdate` = 1148488754, `user_level` = 0, `user_posts` = 0, `user_timezone` = 2.00, `user_style` = NULL, `user_lang` = 'german_formal', `user_dateformat` = 'd. M Y, H:i', `user_new_privmsg` = 0, `user_unread_privmsg` = 0, `user_last_privmsg` = 0, `user_login_tries` = 0, `user_last_login_try` = 0, `user_emailtime` = NULL, `user_viewemail` = 0, `user_attachsig` = 0, `user_allowhtml` = 1, `user_allowbbcode` = 1, `user_allowsmile` = 1, `user_allowavatar` = 1, `user_allow_pm` = 0, `user_allow_viewonline` = 1, `user_notify` = 0, `user_notify_pm` = 1, `user_popup_pm` = 0, `user_rank` = NULL, `user_avatar` = '', `user_avatar_type` = 0, `user_email` = '', `user_icq` = '', `user_website` = '', `user_from` = '', `user_sig` = '', `user_sig_bbcode_uid` = NULL, `user_aim` = '', `user_yim` = '', `user_msnm` = '', `user_occ` = '', `user_interests` = '', `user_actkey` = '', `user_newpasswd` = ''

Mir ist kein Exploit bekannt, der User direkt als Moderator registrieren lässt und eigentlich bin ich, was Exploits angeht immer up-to-date.

Hast Du ein ungemoddetes phpBB oder irgendwelche Mods drin?

Davok hat geschrieben:Erweiterungen habe ich keine installiert außer dem RSS Content Syndicator.

Vielleicht wäre es noch wichtig zu erwähnen, dass ich das Konvertierungsskript von phpbb.com benutzt habe, um ein altes THWBoard in phpBB zu konvertieren.

Hallo und guten Abend.

Sorry das ich das so platt sage, aber das phpbb ist ein Hacker-Forum ... will damit sagen, das es das liebste Spielzeug von "Freizeitkünstlern" ist ... und das nervt langsam.

Mir ist gerade bekannt geworden, das ein phpbb Version 2.0.19 heute "gehackt" wurde, will sagen, das jemand über einen künstlich erzeugten Beitrag zu Adminrechten gekommen ist und es geschafft hat, z.B. das Titelbild zu verändern.
Freundlicherweise nicht mehr ...

Aber ich finde das schon sehr beängstigend ....
Ist jemandem noch so eine Lücke (exploit) bekannt in dieser Version ??

Natürlich weiss ich das gerade die 2.0.20 raus ist, aber das hilft in diesem Fall wohl auch nicht, da sowas explizit nicht gefixt wurde (laut changelog).

Infos ??

Vielen Dank.

Zum Punkt Adminbereich kann ich nur immer wieder auf einen htaccess-Schutz hinweisen.

http://www.phpbb.de/viewtopic.php?t=73948

Tekin

DANKE ...

Aber mir machen die perl Exploit Scripts mehr Sorge ...
Hab schon in diversen Quellen gelesen, das man mit Perl da auch das 2.0.20 angreifen kann ... und dann ??
Scheint ziemlich aussichtslos zu sein ??!!