phpBB.de

Hi,

Ich möchte gerne das integrierte MD5 Verschlüsselungsverfahren durch ein anderes auswechseln, wo muss ich den Code ändern?

Warum willst du das machen?
Ich denke mal das sind mehrere Dateien.
usercp_*.php, login.php

Mein Forum wurde nun schon, trotz Providerwechsel, durch 3 Attacken von irgendwelchen Scriptkiddys ruiniert. Bei jeder Attacke gelangten sie an die MD5-Hashes, und hatten sie dann höchstwahrscheinlich lokal gebruteforced.
Ich informiere mich zwar regelmäßig auf phpBB.com über die neusten Vulnerabilitys, aber irgendwie gelingt es diesen Kiddys immer wieder.

MD5 ist zwar eine recht sichere Verschlüsselungsmethode, aber da der Algorithmus zur generierung des Haswerts vorliegt, ist es eben nur eine Frage der CPU-Leistung und eine Frage der Zeit, bis man sich eine gewisse Datenbank angelegt hat, in der man Plains, sowie auch Hashes angelegt hat - um in Zukunft jeden Hash mit einer gut organisierten Datenbank zu entschluesseln....

Was denkst du Dwing, ist es sehr aufwendig, die Verschlüsselung auszuwechseln, bzw. kennst du eine bessere Schutzmaßnahme?

Nun ja, shs-1 ist zwar etwas sicherer - aber auch mit Brute-Force zu knacken (vor allem wenn 0815-Passwörter verwendet werden). Natürlich kannst du das ersetzen - das Problem wird nur sein, dass sich dann alle User nicht mehr anmelden können bzw. ein neues Passwort benötigen.

Gruß, Philipp

öhm. ... Natürlich es ist richtig, daß der SHA-1 "sicherer" ist als MD5, aber schon für MD5 müsstest Du Dir ein Lexikon mit 2^128 (!) Schlüsseln erstellen, um alle Keys zu haben. 2^128 ist nichts anderes als eine Zahl mit 39 Stellen - vor dem Komma, wohlgemerkt.
Für gewöhnliche Bulletin-Boards inklusive deren Admin-Accounts sollte diese Sicherheit mehr als ausreichend ausreichend sein.

Rechnen wir doch mal zum Thema Bruteforce:
Einschlägige Tools sollen auf einem 1.5 GHz AMD etwa 5 Mio Keys / Sekunde prüfen können. Verbleibt eine Rechenzeit der Größenordnung 10^31 Sekunden. Das sind überschlagsweise 10^25 Jahre.

Die ganze Rechnerei wird natürlich durch die Nutzung simpler Passworte durch die User zunichte gemacht. Aber es gibt ja Mods für das phpBB, die eine gewisse Komplexität der Passworte fordern. Durch eine Kombination von Klein- und Großbuchstaben sowie Ziffern macht man es Brute-Forcern schwerer, jedes andere Zeichen (!"§$%&/() etc.) sowie eine größere Länge des Passwortes geben zusätzliche Sicherzeit.

Ich vermute die Schwachstelle bei Dir auch nicht in den MD5-Hasches sondern vermutlich eher in einem gepatchten Cookie oder dergleichen. In diesem Fall reicht nämlich der einfache MD5-Schlüssel und das doch eher lästige Cracken fällt weg.

Du kannst jetzt natürlich trotzdem SHA1 einsetzen und Dich künftig auf 160 Bits an Sicherheit betten. Eine Implementation findest entweder in PHP 4.3.0 ff oder zum Beispiel hier: >klick<

Zu ändern sind die Dateien "./includes/usercp_register.php" sowie "login.php".



Grüße,
Gérome

Es sind allerdings im Zweifel noch ein paar Dateien mehr

Gruß, Philipp

@Gérome
An die Möglichkeit, dass sich das Kiddy das Cookie mit dem MD5-Hash selbst gesetzt hat, habe ich noch gar nicht gedacht, doch frage ich mich, wie er das angestellt hat (kenne mich mit den Cookies nicht sehr gut, wäre dankbar wenn mal jemand ein Beispiel für ein gesetztes Cookie mit MD5-Hash liefern würde).

Kann niemand mit einem Beispiel dienen?

Cloud hat geschrieben:Mein Forum wurde nun schon, trotz Providerwechsel, durch 3 Attacken von irgendwelchen Scriptkiddys ruiniert. Bei jeder Attacke gelangten sie an die MD5-Hashes, und hatten sie dann höchstwahrscheinlich lokal gebruteforced.
Ich informiere mich zwar regelmäßig auf phpBB.com über die neusten Vulnerabilitys, aber irgendwie gelingt es diesen Kiddys immer wieder.

Ich möchte doch stark bezweifeln, das das an phpBB liegt.

Mögliche Fehlerquellen:

1. FTP: Dadurch gelangt man den DB-Account und das wars dann.
2. DB: Dadurch gelangt man bei installiertem Easy Mod eventuell an den FTP-Account und das wars dann.
3. Andere Skripte auf der Website.
4. confixx oder eine andere Konfigurationssoftware.
5. Mods.

weitere möglichkeit wäre das er zu deinem pc per virus oder ähnliches zugang hat...

ah