phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Sicherheitslücke in phpBB3?

https://www.phpbb.de/community/viewtopic.php?t=172326

Seite 1 von 1

Sicherheitslücke in phpBB3?

Verfasst: 11.06.2008 21:22
von jjk
Hallo!
Ich habe ein phpBB3 das letzte woche gehackt wurde. (phpbb 3.0.0)

Als ich das Forum betrat, waren alle die meisten Forums unsichtbar !
Einen Moment später beim neuen Laden kamen die Forums dann wieder, waren aber leer !
Ich vermute ein Hacker hat sich zugriff zur Moderatorenkontrolle verschafft. (Adminkontrolle schließ ich aus, da er sonst ja viel mehr hätte anstellen können.)

Gibt es diesbezüglich irgendwelche Schwachstellen im phpbb 3.0.0?
Falls das aufdecken der Schwachstelle im Forum ein zu großes Risiko ist würde ich mich auch mit einer Privatnachricht zufriedengeben.

Update wird die Tage gemacht.
Da ich mich aber mit der Skriptsprache auskenne, würde ich das Problem auch gerne verstehen, nicht nur durch ein Update beheben.

Verfasst: 11.06.2008 21:26
von Dr.Death
Wenn Dein Forum gehackt worden wäre, hättest Du Einträge im Adminlog oder Moderatoren Log sehen sollen.

Ein Moderaoter kann die LOG Einträge nicht löschen.

Ich vermute eher ein Problem mit Deinem WebServer oder Cache.

Verfasst: 11.06.2008 21:26
von 4seven
es gibt keine bekannten schwachstellen,
dennoch erstmal auf die 3.0.1er version updaten.

wer war noch admin/mod?
wer wußte um das passwort?
wer hat zugang zu deinem lokalen rechner?
wer hat zugang zu deinem mailprogramm?
evtl. ein trojaner auf deinem rechner?
usw.

ansonsten siehe dr.death

Verfasst: 11.06.2008 21:51
von jjk
4seven hat geschrieben:es gibt keine bekannten schwachstellen,
dennoch erstmal auf die 3.0.1er version updaten.

wer war noch admin/mod?
wer wußte um das passwort?
wer hat zugang zu deinem lokalen rechner?
wer hat zugang zu deinem mailprogramm?
evtl. ein trojaner auf deinem rechner?
usw.

ansonsten siehe dr.death
Entwarnung!
Benutzer war Moderator, danke für den Tipp, mochte mich vorhin noch nicht einloggen aus Angst das Passwort könnte geklaut werden.

Verfasst: 11.06.2008 21:57
von Boecki91
jjk hat geschrieben:Entwarnung!
Benutzer war Moderator, danke für den Tipp, mochte mich vorhin noch nicht einloggen aus Angst das Passwort könnte geklaut werden.
Wieso?

Du verwendest doch sicherlich nur Einmal-Passwörter die du sonst nirgendwo anders hast. Wenn das Passwort dann ausgelesen worden wäre, hätte der eventuelle Hacker eh nicht viel damit machen können.

Da du dich mit der Sprache auskennst hättest du auch einfach das ACP "hacken" können, in dem du unter bestimmten Vorraussetzungen bestimmte If-Bedingungen außer Kraft setzt :-? Schließlich hast du ja Zugriff auf die Dateien
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de