phpBB.de

Hallo,
ich nutze phpBB 2.0.10 welches ich bis ins Kleinste entsprechend der Anleitung auf 2.0.11 hochgestuft habe. Aber egal ob 2.0.10 oder 2.0.11, einem Hacker ist es für mich aus nicht nachvollziehbaren Gründen möglich, PHP-Dateien auf die WebSite zu legen, selbst die Einrichtubng von phpMyAdmin wurde schon installiert.

Die Verzeichnisse, wo man per Browser nicht direkt zugreifen muß, wurden von mir per .htaccess geschützt. Installations-Verzeichnisse und Dateien sind nicht mehr auf dem Server. Admin-Bereich ist per Passwort zusätzlich per .htaccess geschützt.

Dennoch gelingt es dem Hacker, da zu spielen. Außer der Befürchtung das er auf die Datenbank-Daten zugreifen könnte, ist bisher kein sichtbarer Schaden entstanden. Auch die von phpBB vorhandenen Dateien habe ich auf Veränderungen geprüft, wo nichts gefunden wurde.

Nun stellt sich die Frage, was ist passiert und wie kann man sowas in Zukunft verhindern. Und es würde ja nicht nur mich treffen.

Hallo,

Bei welchem Hoster bist du? Wenn du Zugriff auf die Servelogs hast dann gehe die mal durch und schau woher der kommt welche Atacker er macht.

Laut LogFiles wird mit der Variable $highlight in viewtopic.php Systembefehle ausgeführt. Trotz das ich den Empfehlungen gefolgt bin (Zeile 468 mußte geändert werden), war es dem Einbrecher möglich, ein phpRemoteView-Script zu installieren.

Konsequence? Ich habe die Variable vor deren Gebrauch direkt wieder leer gemacht und das Feature deaktiviert bis eine Lösung da ist.

Nun muß in viewtopic.php alles geprüft werden wo die Variablen
$HTTP_GET_VARS['highlight']
$highlight
$highlight_match
verwendet werden. Nur so können wir die Tore schließen. Für mich stellt sich jedoch die Frage was, wie und wo?

Der Bug wurde vor einiger Zeit erkannt und behoben.
Siehe: http://www.phpbb.com/phpBB/viewtopic.php?t=240513

Und das ist doch schon vorher längst erledigt gewesen. WIe ich es geschrieben habe:

Trotz das ich den Empfehlungen gefolgt bin (Zeile 468 mußte geändert werden)