Datenbank sicher unter phpbb2 ?

[TheMorpheus2000]

Hi da

betreibe noch ein altes Forum unter phpbb2.23

Anonymer hinweis:

Hihi lieber Webmaster ist es nicht mal langsam Zeit das Forum auf die Version 3 anzuheben? Weil man kann ja frei in eurer Datenbank umherschauen !!!

Deswegen mal pls upgraden.

byby der Besserwisser

Ist das bei phpbb2.23 einfach so, oder habe ich wo ein Tor offen gelassen? Möchte das Forum gern auf 2.23 weiterlaufen lassen wenn irgend möglich ...

Danke für hilfe!

P.S. im root haben die dateien alle permission 640 (-rw -r- -r-)

Die meisten folder 755

[oxpus]

Hallo,

es geht nicht um die Dateizugriffsrechte auf dem Webserver, sondern eher darum, über die Forendateien direkt auf die Datenbank oder gar den Server zu kommen.
Das Risiko ist in jeder Software vorhanden, allerdings im phpBB 2.0.23 auch nicht soooo gross, wie vielleicht dir genannt wurde.
Ausser, du hast MODs dort eingebaut, die Sicherheitslücken in das Board reisen.

Dennoch ist es schon angebracht, auf phpBB 3 zu aktualisieren, zumal es das aktuelle System darstellt nach modernen Techniken arbeitet und der Support und die Weiterentwicklung für das phpBB 2 zumindest von offizieller Seite bereits seit Monaten eingestellt wurde.

[coolsoft]

Ist das ein Post?
wenn das so ist - den kenn ich glaub ich - hat tatsächlich Zugang zur DB gefunden -
scheint irgendeinen Trick zu haben...
will nix versprechen: der an den ich mich erinnere war höllisch lästig, aber nicht böse.
Hast Du mysqldumper ohne Passwort laufen?

[TheMorpheus2000]

Hallo,

es geht nicht um die Dateizugriffsrechte auf dem Webserver, sondern eher darum, über die Forendateien direkt auf die Datenbank oder gar den Server zu kommen.
Das Risiko ist in jeder Software vorhanden, allerdings im phpBB 2.0.23 auch nicht soooo gross, wie vielleicht dir genannt wurde.
Ausser, du hast MODs dort eingebaut, die Sicherheitslücken in das Board reisen.

Dennoch ist es schon angebracht, auf phpBB 3 zu aktualisieren, zumal es das aktuelle System darstellt nach modernen Techniken arbeitet und der Support und die Weiterentwicklung für das phpBB 2 zumindest von offizieller Seite bereits seit Monaten eingestellt wurde.

D.h. es gibt keine möglichkeit Datenbankserver und Datenbank passwort aus config.php auszulesen?
Wenn ich die Datei anonym direkt im Browser aufrufe erscheint gar nichts ...

Mods: Portal von root ; EasyMOD 0.3.0 ; UploadPic 1.3.7 ; Kalenderfunktion N/A ; Birthday 1.6.1; (<- Gibts damit bekannte Security issues?)

Danke für deine schnelle Antwort

Ist das ein Post?
wenn das so ist - den kenn ich glaub ich - hat tatsächlich Zugang zur DB gefunden -
scheint irgendeinen Trick zu haben...
will nix versprechen: der an den ich mich erinnere war höllisch lästig, aber nicht böse.
Hast Du mysqldumper ohne Passwort laufen?

Das ist ein Post, ja. Aber in dem Forum gibts einen öffentlichen Teil wo anonyme User in bestehende Posts antworten düfen, von daher O.K.

Einen eindeutigen Beweis dafür das es ein Sicherheitsloch gibt habe ich noch nicht entdeckt...

lg morph

[coolsoft]

also doch eher nervig und provokativ.
Laß Dir dochmal einen Beweis für den Zugiff auf die DB liefern.

[TheMorpheus2000]

Mods: Portal von root ; EasyMOD 0.3.0 ; UploadPic 1.3.7 ; Kalenderfunktion N/A ; Birthday 1.6.1; (<- Gibts damit bekannte Security issues?)

Was mir zum update zu phpbb3 noch einfällt ...

Ich betreibe bereits zwei Foren auf phpbb3, aber die habe ich erst mit bestehen von phpbb3 eingeführt... und laufen auch sehr zufriedenstellend. Mein altes (phpbb2) habe ich unter anderem deswegen noch nicht upgegraded weil es mit diversen mods probleme geben würde... z.B. UploadPic - gibt es nicht für phpbb3 - ich könnte zwar den Pic-Ordner 1:1 ins neue Forum übersiedeln damit die alten Bilder angezeigt werden können, aber neue zufügen wird dann nicht mehr möglich sein. Kalenderfunktion & Birthday MOD, auch diese Daten würde ich verlieren, und müsste sie händisch ins neue Forum eintragen ... und abgesehen davon, es ist mein erstes Forum, und so wie es da steht etwas besonderes für mich

lg morph

[coolsoft]

Wie sieht denn Deine .htaccess aus?

[TheMorpheus2000]

tja, das wüsste ich auch gerne ^^

Hab den Artikel "Wie mache ich mein board sicher" aber vorher nochmals durchgelesen, und werde heute Abend die Datei config.php damit absichern ...

[coolsoft]

na - ftp ins Forenroot - versteckte Dateien anzeigen einschalten - und text kopieren

[TheMorpheus2000]

also. ich habe nun eine .htaccess datei angelegt, die nun wie folgt aussieht ...

Code: Alles auswählen

<Files config.php>
Deny from all
</Files>

sieht ok aus? hab in der .htaccess-Anleitung auch etwas gelesen von einem Verweis zu einer .htpasswd Datei die nicht vom Web aus abgerufen werden kann, aber:

- Da muss ich ja den root-pfad zu meinem webspace angeben, womit ein potentieller hack ja wieder wissen würde wo meine .htpasswd datei liegt
- Und ich müsste jeden Forenuser hier manuell eintragen?

Untauglich ... ich hoffe das die .htaccess wie oben beschrieben genügen wird

lg morph

EDIT// hab mir die .htaccess von meinen phpbb3 boards angesehen:

Code: Alles auswählen

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

<Files "common.php">
Order Allow,Deny
Deny from All
</Files>

DirectoryIndex portal.php index.php index.html index.htm

Würde es Sinn machen meine phpbb2 .htaccess genau so zu gestalten?