(Dringend HILFE)Wie geht das ? Forum Hack

[Red-Benz]

Hi

Bei mir im Forum hat jemand den ich gesperrt hatte durch änderung des Passwortes und löschung der eMail Adresse sich dennoch eingeloggt mit dem Vermerk er hätte das Forum gehackt.........

Ich benutze den Mod IP Treacking der mir anzeigt das der betreffende User folgendes ausgeführt hat.

Code: Alles auswählen

links.php
http://www.tuning-crew-nord.com/links.php?t=search&search_keywords=asd&start=1,1%20UNION%20SELECT%201,username,user_password,4,5,6,7,8,9,10,11,12%20FROM%20phpbb_users%20WHERE%20user_id=2/

ID 2 ist seine ID

ich benutze den ( Advanced Links Mod ) über den das scheinbar ausgeführt wird

wenn ich den Referer des IP Treacking zurückverfolge gelange ich auf die Suche der Linkseite und dort sehe ich dann das...

[ externes Bild ]

Er hat sich mehrfach nach kurzer Zeit eingeloggt obwohl ich immer sofort das Passwort geändert habe, ich habe den Usernamen jetzt in der Bannliste und warte ob er sich dennoch einloggt.........

Hat irgendjemand ne Idee was da abläuft oder wie er das macht ??


Gruß

Red Benz

[Mahony]

Hallo
Der phpBB Links MOD 1.2.2 MOD enthält eine Sicherheitslücke und es gibt ein Remote SQL Injection Exploit. Falls es für den MOD kein Update gibt, solltest du den MOD schnellstens wieder ausbauen (oder die Sicherheitslücke entfernen - entfernen lassen).




Grüße: Mahony

[Red-Benz]

Hi und danke für die Info

Gibts was um das Leck zu stopfen ??

Ich habe die von dir erwähnte Version........

Und der Sack der mich Hacken will ist hartnäckig am Ball, ich habe den Mod erstmal geblockt.

Gruß und Danke soweit

Red Benz

[Red-Benz]

Hi

Da ja scheinbar das Eindringen über die Suchfunktion der Linkliste funktioniert ist es dann nicht ausreichend wenn man nur die ( links_search.tpl ) entfernt und den Rest bestehen lässt ??

Da ja offensichtlich der SQL Befehl in die Suche eingegeben wurde sollte doch damit das Leck behoben sein oder ist von dem Mod sonst noch was zum Eindringen geeignet ?

Ich hatte nur das Glück das sich der Hacker in der ID verhauen hatte denn er wollte eigentlich den Admin aushebeln hat aber den Account eines gesperrten Users erwischt -


Gruß

Red Benz

[Dr.Death]

Hallo,

nein, es ist nicht ausreichend nur die *.tpl Datei zu entfernen.
Die links.php Datei ist der Angriffspunkt.


BTW: Auch für Dich gilt KB:16 - Topic Bumping.
Wenn Du neue Erkenntnisse vor den 24h hast, kannst Du gerne Deinen vorherigen Beitrag editieren.

[Red-Benz]

Danke für die Info......

und wenn man den Teil der Suche auch aus der links.php entfernt ??

Wenn keine Eingabe oder Abfragemöglichkeit mehr besteht sollte das doch den Weg schließen oder irre ich da ??



Ps: Kann ich den kleinen phpBB.de Knigge auch als Dauereinrichtung haben ? ich habe mich so daran gewöhnt !

Gruß

Red Benz

[Dr.Death]

Ich kenne die Datei selbst nicht. Daher kann ich Dir leider nicht sagen an welcher Stelle genau die Injection vorgenommen wird.


P.S.: Das mit dem Knigge kannst Du gerne haben:
Jede weitere Nicht-Beachtung hat eine Schliessung Deiner Beiträge zur Folge

[Red-Benz]

Hi

Wenn ich dir die Datei zur Verfügung stelle würdest du dir die Sache dann mal ansehen und eventuell den Fehler beheben ?? denn der Mod als solches ist gut und ich würde ihn nur ungern komplett entfernen.

Und nicht gleich hauen ich bin doch auch nur ein Mensch.......


Gruß

Red Benz

[Dr.Death]

Verlinke die Datei mal als TXT Datei.....

...allerdings hab ich heute und morgen keine Zeit mehr..... vielleicht jemand anderes ?

Ich schau mir das ansonsten mal nächste Woche an.

[Red-Benz]

Danke das du es versuchst !!

Hier wäre der komplette Mod als zip

Advanced Links Mod 1.2.2

und hier die links.php als Text

links.php.txt

Ich würde mich freuen wenn du da was hin bekämest oder aber auch ein Anderer daran arbeitet.

Gruß

Red Benz