Hallo,
habe ein vermutlich schwerwiegendes Problem.
Ich nutze das phpBB3 in der aktuellen Version. Bei mir gelangen interne Daten aus dem Forum nach aussen. (Foren-Rechte hab ich gecheckt.)
Daraufhin hab ich mir auch mal die "Apache Usage Logs" angeschaut und diese nach Aufrufen des entsprechenden Forums durchsucht.
Die IPs hab ich in dann mit der Session-Table in erDatenbank verglichen. Bei 2 Zugriffen auf diese Seite und diesen Artikel habe ich keinen entsprechenden Eintrag in der Session-Tabelle gefunden. (Habe IP und den Session-Key in der Datenbank gesucht.)
Leider weiss ich nun an dieser Stelle nicht mehr weiter.
* Hab ich ein Sicherheitsleck in der Software?
* Kann man sich als user einloggen und dann nicht in der session-table auftauchen?
* Wie bekomme ich raus, ob ich ungebetene Gäste im Forum gehabt habe oder haben könnte?
Danke und Gruß
chcb
Problem mit der Sicherheit?
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
Kellergeist2
- Mitglied
- Beiträge: 1133
- Registriert: 01.06.2003 00:21
- Wohnort: Dortmund
- Kontaktdaten:
Re: Problem mit der Sicherheit?
Die Session-Tabelle ist kein zuverlässiger Anhaltspunkt, da dieser eventuell nicht mehr alle Daten enthält.
Prüfe deine IP-Adressen doch einmal gegen dein Webserver-Log, wo sämtliche Seitenzugriffe protokolliert werden.
Dort siehst du genau, welche IP-Adresse zu welchem Zeitpunkt welche Datei abgerufen hat.
Prüfe deine IP-Adressen doch einmal gegen dein Webserver-Log, wo sämtliche Seitenzugriffe protokolliert werden.
Dort siehst du genau, welche IP-Adresse zu welchem Zeitpunkt welche Datei abgerufen hat.
Gruß, Kellergeist2
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
Re: Problem mit der Sicherheit?
ich hab die apache usage logs gecheckt und ganz genau rausbekommen welche IP zu welcher Zeit das Thema geöffnet habe.
Diese IPs hab ich mir notiert und dann in meiner Datenbank gesucht. Sollten ja in der Session Tabele zu finden sein, so dachte ich es - aber kein erfolg.
Diese IPs hab ich mir notiert und dann in meiner Datenbank gesucht. Sollten ja in der Session Tabele zu finden sein, so dachte ich es - aber kein erfolg.
