phpBB.de

Hallo,

ich betreibe ein Forum, das vor ein paar Tagen gehackt wurde.
Allerdings muss ich zugeben, dass ich es selbst Schuld bin,
da ich Version 2.0.8 verwendet und noch nicht upgedated hatte.

Bei den Datenbankupdates hatte ich immer Probleme mit den Umlauten der gespeicherten Daten für die Suchfunktion und deswegen hatte ich es immer weiter vor mir her geschoben.

Naja egal.
Jedenfalls....

Mein Forum wurde von einem gewissen "cwmex_x" gehackt,
der sich jetzt natürlich super toll vorkommen muss.


Ich habe einmal nach "cwmex_x" gegoogelt und bin anscheinend nicht der einzige dem das passiert ist.

Habt ihr ähnliche Erfahrungen gemacht?

Kann mir das mit der 2.0.22 Version nach Möglichkeit nicht mehr passieren oder sollte ich direkt auf die Beta 5 der 3er Version umsteigen?


Bye,
Martin

In der Version 2.0.22 sind alle derzeit bekannten Sicherheitslöcher beseitigt. Der Einsatz von phpBB3 BETA 5 in Produktivsystemen wird derzeit ausdrücklich NICHT empfohlen.

http://www.phpbb.de/doku/kb/artikel.php?artikel=gehackt

Hallo noch einmal,

ich bin immernoch auf der Suche nach der Ursache des Hacks.

Der Hack sah so aus,
dass meine Foren weg waren und es nur ein gesperrtes Forum "hacked by..." gab mit einer automatischen Umleitung auf eine einzelne Seite des Hackers.

Jetzt habe ich hier im Forum danach gesucht und dort stand das man mit phpMyAdmin die Einträge phpBB_forums und phpBB_categories entfernen sollte.

Dabei habe ich aber überrascht festgestellt, das dort meine alten Foren drin waren und nicht das Forum des Hackers.

Jetzt habe ich einfach die Dateien der alten phpBB 2.0.8 Version aufgespielt und es klappt wieder alles.

Die Datenbank habe ich natürlich nicht angerührt.

In der index.php Datei habe ich auch keine Hinweise auf den Hack gefunden.

Ich werde jetzt natürlich direkt auf die 2.0.22er Version updaten.
Trotzdem würde ich gerne nach dem Grund forschen.

Hat jemand eine weitere Idee wonach ich suchen kann/soll/muss?

Wurde vielleicht nicht das Forum sondern der FTP-Account gehackt?

Ich denke aber es wurde nur das Forum gehackt, da gezielt das Forum und nicht die Webseite manipuliert wurde.


Und noch eine weitere Frage...
Kann man im Administrations-Backend von phpMyAdmin irgendwie das FTP-Kennwort bzw. das MySQL Kennwort für die Datenbank auslesen?


Bye,
Martin

Hallo,
das

macap hat geschrieben:Trotzdem würde ich gerne nach dem Grund forschen.

ist überflüssig, weil es solange Du Dein Board nicht updatest/überarbeitest immer wieder passieren kann.

Ja klar werde ich updaten.

Aber aus reiner Neugierde würde ich gerne wissen woher es kommt.
Updates sind übrigens gerade am laufen.
Ich habe aber eine Sicherungskopie des gehackten Forums gemacht.

Wer mir also Tipps geben kann wo ich im Quellcode oder im SQL-Dump noch suchen kann... bin offen für alles.


Bye,
Martin

eine analyse der webserver-logfiles (sowohl access als auch errolog) aus dem in frage kommenden zeitraum gibt in aller regel aufschluss über den ablauf des hacks.

macap hat geschrieben:Und noch eine weitere Frage...
Kann man im Administrations-Backend von phpMyAdmin irgendwie das FTP-Kennwort bzw. das MySQL Kennwort für die Datenbank auslesen?

Um ins phpMyAdmin reinzukommen, braucht man schon ein Passwort...
Ich denke nicht, dass er das phpMyAdmin gehackt hat...

Ja klar braucht man da ein PW.

Aber nicht das FTP oder mySQL-PW.

Und noch eine andere Frage habe ich

Gibt es Hacks bei denen man gar nicht erst ins Admin-Backend rein muss?

Weil bei mir war es ja so, das in der Datenbank selbst noch alle Postings und Foren vorhanden waren.

Nur die Seite selbst zeigte keinen Foren mehr an sondern nur ein gesperrtes Forum des Hackers.
Habe immernoch keine Ahnung was da passiert ist.


Bye,
Martin

Kann es sein (nur mal angenommen) das der Hacker entweder eine Weiterleitung auf eine andere Seite eingebunden hat, oder was ich eher annehme, in config.php eine ganz andere Datenbank eingetargen wurde? Kontrolliere mal die config.php des gehackten Boards. Stimmt das mit deinen Daten überein oder wurde die geändert?

gloriosa hat geschrieben:Hallo,
das

macap hat geschrieben:Trotzdem würde ich gerne nach dem Grund forschen.

ist überflüssig, weil es solange Du Dein Board nicht updatest/überarbeitest immer wieder passieren kann.

Warum sollte die Forschung nach dem Vorgehen des Hackers denn überflüsig sein gloriosa? Ich finde es gut das es nicht einfach so mit einem "mach ein update" hingenommen wird, denn die Sicherheitlücke kann auch woanders als in phpBB selber liegen.

Hallo Fähnchen,
bei diesem

macap hat geschrieben:da ich Version 2.0.8 verwendet und noch nicht upgedated hatte.

Ausgangszustand ist es müßig andere Fehler gemäß Deiner Aussage

Fähnchen hat geschrieben:Warum sollte die Forschung nach dem Vorgehen des Hackers denn überflüsig sein gloriosa? Ich finde es gut das es nicht einfach so mit einem "mach ein update" hingenommen wird, denn die Sicherheitlücke kann auch woanders als in phpBB selber liegen.

zu suchen. Das ist in Anbetracht das da ein phpBB 2.0.8 gehackt wurde verschwendete Zeit.

Bevor sich macap o.w.a.i. mit einer zeitaufwendigen Analyse beschäftigt sollte er diese Zeit effektiver nutzen und sein Board updaten und ggf. die Sicherheit (gemäß >>> KB:sicher <<< ) zu erhöhen.