phpBB.de

Hallo,

auf irgendeine Weise schafft es jemand, sich in meinem phpBB-Board Admin-Rechte zu verschaffen. Ich kann mir das nur so erklären, dass ich beim Patchen, also Einfügen der jeweiligen Codeänderungen bei neuen Versionen von phpBB) irgendwo etwas vergessen habe.

Gibt es irgendwo eine Liste, der ich entnehmen kann, mit welchen Fixes die unbefugte Erlangung von Admin-Rechten beseitigt wurde? Bspw. kann ich mich daran erinnern, dass es mal eine Cookie-Sicherheitslücke gab, die ich aber mit Codechanges eigentlich beseitigt hatte.

Wäre für rasche Hinweise sehr dankbar!


Nette Grüsse
testit

leider ist das nicht soo einfach.. das gerade war zum Beispiel kein Admin Problem, sondern Cookie, auch ein auslesen der MD5 schlüsselwerte kann Probleme machen, das dauernde ausprobieren der Passwörter, wenn du immer ein Standard-Passwort hast, Mods haben häufig auch mal eine Lücke (manche gerne eingesetzten, aber nicht mehr gewarteten Mods [nickpage-mod als Bsp], das nutzen von Rechnern in Schulen, WLAN, InternetCafes, ...

um da mehr zu erfahren müsstest du schon die Log-Files anschauen, das ist aber wohl nicht einfach

das beste - zuhause das Forum neu aufsetzen, alle Mods neu einbauen (zuhause Lokal, siehe auch KB:eigener_server )
Datenbank sichern (bei Mods oder großen Boards mit phpmyadmin oder ähnlichen Programmen
Daten zuhause einspielen, Berechtigungen prüfen
jetzt dem Admin ein NEUES Passwort geben, VÖLLIG neues, also nicht das von ebay, GMX oder gar hack-mein-board.de
dann Webspace plattschlagen - komplett, alles runter... und dann neu hochladen
Vorteil: relativ einfach, du übersiehst nichts und du hast wirklich die neuste Version
Nachteil - VIEL arbeit

Vielen Dank fuer Deine Hinweise!

Das mit den LOGs stellt kein Problem dar! Aber es sieht in der Tat so aus, als ob jemand die Admin-Rechte bereits direkt bei Aufruf von groupcp.php schon hat.

Was das Cookie-Problem angeht, hatte es sehr wohl mit dem Admin zu tun, da man sich mit einem zurechtgeschusterten Cookie sofort Admin-Rechte mit dem Betreten des boards sicherte.

Interessant sind fuer mich Deine Angaben zum Nickpage-MOD. Dazu gab es vom Verfasser ja nochmal später einen SecurityFix, den ich auch drin habe. Es tauchen auch keine Nickpage-MOD-Requests auf.

Hat noch jemand Hinweise zur gesuchten Security-Liste?

Danke und Gruss
testit

der Security Tracker, aber der ist dem phpBB Team vorbehalten, dann die Update Anleitungen und abschliessend heise und google...