phpBB.de

Unser Forum ist ein phpBB2 Plus 1.52 mit phpBB2.11 Core.
Ich musste an jedem der letzten 3 tage ein backup einspielen da das forum jeden tag gehackt wurde.

Es wurden der Seitentitel bzw. die Boardeinstellungen modifiziert (meist auf "GoTT was here!" oder ähnliches) und die meisten Kategorien/User/Foren gelöscht.

Den Logs nach hat sich der hacker ganz normal eingeloggt und mittels acp die Änderungen vorgenommen.

Mein Account ist der einzige mit Administratorrechten im Forum und ich kann mir nicht vorstellen dass jemand an mein Passwort gekommen ist.

Auch als ich den unterordner "/admin" durch .htaccess geschützt habe, hat der hacker diese zusätzliche Sperre einfach umgangen.

hier die relevanten logs:

#hier antwortet der server nach fehlerhaftem login noch mit error 401:

148.244.150.58 - darktweaker [16/Feb/2005:06:17:34 +0100] "GET /freeboard/support/admin/index.php?sid=f222de7ff301ef8e258f95164eeae7de HTTP/1.0" 401 480 (-%)

#und eine zeile weiter schon mit 200 als würde der htaccess schutz gar nicht existieren:

148.244.150.58 - - [16/Feb/2005:06:17:40 +0100] "GET /freeboard/support/admin/index.php?sid=f222de7ff301ef8e258f95164eeae7de HTTP/1.0" 200 703 (-%)

#danach gehts kunterbunt weiter:

148.244.150.58 - - [16/Feb/2005:06:25:10 +0100] "GET /freeboard/support/admin/admin_forums.php?mode=deletecat&c=5&sid=f222de7ff301ef8e258f95164eeae7de HTTP/1.0" 200 2298 (-%)

...

Weiters dürfte der Hacker verschiedene Proxies aus den USA und Deutschland verwenden.

Wie Zum Teufel schafft es der Typ unser Forum Tag für Tag in weniger als einer halben stunde komplett abzuräumen??

darktweaker hat geschrieben:
Mein Account ist der einzige mit Administratorrechten im Forum und ich kann mir nicht vorstellen dass jemand an mein Passwort gekommen ist.

Du hast jedesmal wieder ein Backup eingespielt.
Hast Du seitdem mal das Password des Admins und in der .htaccess geändert?`

Hier würde ich als erstes ansetzen.
Ist das Passwort des Admins gleich dem für die .htaccess?

Hast Du seitdem mal das Password des Admins und in der .htaccess geändert?

ne

Ist das Passwort des Admins gleich dem für die .htaccess?

jo

Ich kann mir trotzdem nie im Leben vorstellen wie jemand an mein Passwort kommen sollte !?

Ausserdem hat er sich ja nicht in die htaccess eingeloggt, das seltsame war ja dass der server auf einmal die htaccess nicht mehr berücksichtigte und ihn uneingeloggt reinließ --> er weiss das passwort nicht.

Und so nebenbei hat er auch noch den phpBB Login geknackt.
Meinen Account mit Adminrechten hat er übrigens deaktiviert ...

Technisch kenne ich mich nicht so tief aus.

Aber ich vermute, dass er Dein Passwort geknackt hat.

Das Passwort würde ich schleunigst ändern.
Ist der Admin in der Memberlist zu sehen (falls ja: ausblenden!)?

Falls ja, braucht man nur ein Skript, dass das Passwortknacken übernimmt.

bist du der Darktweaker von phpbb2.de der dort schon kein Copyright hatte und dessen forum immer noch ohne copyright rumeiert (von wegen der böse hacker wars!!)

http://www.phpbb2.de/ftopic24590.html

http://80.89.110.35/freeboard/support/

toller Mann, man abgesehen davon, dass es nicht gern gesehen wird, kann man leider auch nicht sehen ob du tatsächlich ein 2.0.11 hast oder nur denkst eines zu haben (das Plus 1.52 gibts in 2.0.10 & 2.0.11 die richtige Version sieht man idR im footer beim copyright )

andererseits ist durchaus möglich dass der Hacker über einen der MODs eingedrungen ist

bist du der Darktweaker von phpbb2.de der dort schon kein Copyright hatte und dessen forum immer noch ohne copyright rumeiert (von wegen der böse hacker wars!!)

Da gibts doch son Sprichwort .. "Klappe halten wenn man keine Ahnung hat" .. oder so ..

Das copyright ist schon lange wieder drin!

Und JA ich habe meine Frage schon bei www.phpbb2.de gepostet und weil ich dort keine brauchbaren Antworten bekommen habe, hoffe ich nun hier auf anständigen Support.

andererseits ist durchaus möglich dass der Hacker über einen der MODs eingedrungen ist

???

darktweaker

darktweaker hat geschrieben:Da gibts doch son Sprichwort .. "Klappe halten wenn man keine Ahnung hat" .. oder so ..

das sagst gerade du

darktweaker hat geschrieben:

andererseits ist durchaus möglich dass der Hacker über einen der MODs eingedrungen ist

???
darktweaker

"wer im schlachthaus sitzt sollte nicht mit schweinen werfen"

darktweaker hat geschrieben:Das copyright ist schon lange wieder drin!

wäre es das vorhin schon gewesen hätt ich nichts gesagt, da man da auch schön sieht dass es tatsächlich ein 2.0.11 sein sollte

zur Erklärung, IMO der CashMod, attachment-mod & Albummod hatten sicherheitslücken, diese sind eben mal zu fixen.

Hast du schon mal versucht die Plus1.53Beta zu installieren da dort die bakannten sicherheitslücken soweit gefixt sind, auch wird dein Hacker vermutlich nochmal zurückkommen, währe zumindest einen versuch wert.

EDIT
außerdem war bei der ursprünglichen Meldung auf phpbb die index defaced, daher denke ich hat er mehr als nur dein adminpasswort

@darktweaker

In Deiner Memberlist sehe ich zumindest schon mal den Namen
des Admins ...

Das würde ich schleunigst ändern!
Dafür gibt es hier auch einen Mod.

In Deiner Memberlist sehe ich zumindest schon mal den Namen
des Admins ...

Auch wenn man den Admin aus der Memberlist ausblendet so kann man doch trotzdem mit Leichtigkeit herausfinden wer Admin ist und wer nicht .. man muss doch nur kucken wer z.b. in roter farbe angezeigt wird etc.

Ich werd mal auf die Beta4 upgraden, mal sehen ob es die Mühe wert ist oder ob ich morgen wieder restoren muss.

Hilfe!!

Heute wurde das Forum schon wieder gehackt!
Der Hacker 148.244.150.58 hat über die card.php, welche fürs austeilen der gelben und roten ban-karten zuständig ist, alle user des forums gebannt, jeden einzeln wie aus den logs hervorgeht.
Er hat einfach alle threads einzeln geöffnet und über die roten karten alle user die darin gepostet haben gebannt, was das häufige vorkommen der viewtopic.php in den logs begründet.
Ins acp ist er diesmal nie gekommen da der zusätzliche htaccess schutz anscheinend stand hielt.

148.244.150.58 - - [17/Feb/2005:14:57:58 +0100] "POST /freeboard/support/card.php HTTP/1.0" 200 16598 (-%)