phpBB.de

Hi,

wir haben folgendes Problem:

Wir haben die aktuelle Version des phpBB (2.06) auf unserem Webserver installiert (inkl. Portal Mod).

Nun gibt es bei uns einen User, der sich selbst immer wieder Adminrechte gibt.

Meine Frage: WIE macht er das und WIE kann man das verhindern?
Das er einen Datenbankzugriff hat ist unwarscheinlich, da wir ständig z.b. die Passwörter ändern und auch das Verzeichnis zurm phpMyAdmin via htaccess abgesichert haben (Passwort wird auch ständig geändert.)

Liegt es am phpBB? Gibt es da Sicherheitspachtes, die wir nicht beachtet haben oder muss der User zwangsläufig den direkten Zugang zur DB kennen, um dies zu machen?

Für schnelle hilfe bedanken wir uns im voraus.

Gruss,
Ben

Hier unser Forum: http://forum.rpc-clan.com

Hast du das alles installiert? KB:patches
Ggf. auch mal prüfen, welche User alles Admin-Rechte haben.

Gruß, Philipp

Hi, nun, die Patches haben wir noch nicht eingespielt bzw. erstellt. Sollte es nur daran liegen? Wieso werden den noch Variablen mit $HTTP_POST_VARS und $HTTP_GET_VARS im phpBB übergeben und nicht wie in PHP4 üblich mit $_GET und $_POST? Dieser User hat keine Adminrechte von uns erhalten, er war ein ganz normaler User halt, der sich dort angemeldet hat.

Wir werden am SO die Patches einspielen. Falls es danach immer noch nicht behoben ist, dann gehe ich davon aus, das diser USer wohl direkte MySQL Zugangsdaten haben muss, was jedoch mir sehr zudenken gibt. Ich werde wohl das ganze phpBB dann ggf. umschreiben, so dass die Datenbank-Daten aus der config.php via MD5 verschluesselt werden.

Danke schonmal.

Gruss,
Ben

Ob $HTTP_GET_VARS oder $_GET benutzt wird, ist im wahrsten Sinne des Wortes Jacke wie Hose: $_GET ist nur ein Verweis auf $HTTP_GET_VARS.

Das Umschreiben der config.php wird Dir nicht viel helfen, vor allem aber wird Dir MD5 nicht helfen: MD5 ist keine Verschlüsselung, sondern eine Checksumme

Was Du tun könntest, damit die config.php nicht mehr per Web erreichbar ist, wäre, sie zu verschieben.

Die Frage bleibt, wie der User an die MySql-Daten herankam. Wahrscheinlich per FTP, erraten wird er sie kaum haben. Oder es gibt eine Lücke in Eurem Webserver, die unter bestimmten Umständen dafür sorgt, das PHP-Dateien nicht geparst, sondern direkt ausgegeben werden.

BTW, schonmal das Webserver-Log überprüft, ob da irgendwelche seltsamen Querystrings gesendet werden?

PS: Wenn Ihr eine IP habt, bzw. wisst, wer der User ist, solltet Ihr in Erwägung ziehen, ihn anzuzeigen...

DJConan1976 hat geschrieben:Hi, nun, die Patches haben wir noch nicht eingespielt bzw. erstellt. Sollte es nur daran liegen? Wieso werden den noch Variablen mit $HTTP_POST_VARS und $HTTP_GET_VARS im phpBB übergeben und nicht wie in PHP4 üblich mit $_GET und $_POST?

Der Grund dafür ist, dass phpBB auch unter PHP 4.0.x und PHP 3 läuft
Ein Sicherheitsrisiko stellt das aber nicht dar...

Gruß, Philipp