phpBB.de

... ich verwende phpbb 2.06 und heute nachmittag hat jemand meinen Adminaccount gehackt. Der Account wurde umbenannt in CrAcKeR-NiNi und das Paßwort offenbar auch geändert. Es gibt keinen weiteren Adminaccount.

Da ich den Hack sehr zeitnah bemerkt habe (vermutlich sogar noch während der Hacker im Board war), habe ich das Forenverzeichnis auf dem Server umbenannt, damit nicht zuviel Unsinn passiert.

Zugleich hab ich auch ein komplettes Datenbankbackup gezogen.

Außerdem hat der Angreifer an den Templates rumgedoktert und das Forum damit "defaced". Die eingebundene Grafik liegt hier:

http://picserver.mirror.twistspace.com/ ... 0086//w767

Sagt das jemandem was?

Den Adminaccount hab ich nur von meinem Notebook aus genutzt, mit Autologin allerdings.

Nun meine Fragen:

1. Gibt es bekannte Lücken in 2.06, die der Angreifer exploitet haben kann?

2. Mit meinem Datenbankbackup würd ich gern auf die neuest phpbb-Version "aufsteigen", aber die Useraccs und Posts etc. sollen natürlich erhalten bleiben. Was ist zu tun?

3. Wenn es dazu einen Weg gibt, wie krieg ich nach dem aufspielen der neuen phpbb-Version und dem Einbau der "alten Daten" den gehackten Adminaccount da raus bzw. wie kann ich die Kontrolle über den zurückholen?

4. Gibt es einen Weg, direkt in der Datenbank einen Adminaccount anzulegen?

Es liegt auch noch ein altes Backup der DB vor. Kann ich einfach in irgendeiner Tabelle den Record, wo der Adminaccount drin steht, mit meinem alten überschreiben? Was geht dabei verloren?

Es handelt sich um das Forum auf der Page www.magicplayer.org .

Vielen Dank im Voraus für jede Hilfe!

Admin Sicherheitslücke wurde in phpbb2.0.13 gefixt

D@ve hat geschrieben:Als erstes mal:
1. DB-Backup machen
2. Backup aller Files machen
3. ALLE Passwörter ändern

dann bist Du erstmal im grünen Bereich und Dir kann nichts passieren. Dann solltest Du

1. die Sicherheitslücke finden, durch die er reingekommen ist
2. Board komplett neu installieren (das Neuinstallieren der Hacks bleibt Dir wohl nicht erspart)
3. Datenbank überprüfen, ob sich der Cracker hier eventuell eine Hintertür eingebaut hat (zB. einen zweiten User mit Admin-Rechten)
4. Datenbank zurückspiele
5. Hoffen, dass Du nichts übersehen hast...

Gruß, Dave

... in dieser Knappheit bringt mich das kein Stück weiter. Erstens sind mir Deine Vorschläge unklar und zweitens habe ich doch 4 ganz konkrete Fragen gestellt...

Könnte mir das jemand etwas ausführlicher beantworten? Ich bin wie gesagt für jede Hilfe dankbar.

zu 1: ja

zu 2. das backup in die neue DB einspielen => KB:phpmyadmin, KB:phpmyadmin2 und KB:pma_faq.

zu 3. entweder user löschen, oder wenn es dein account war, passwort ändern

zu 4. ja, ist aber eigentlich nicht notwendig.

Kann ich einfach in irgendeiner Tabelle den Record, wo der Adminaccount drin steht, mit meinem alten überschreiben? Was geht dabei verloren?

ja + grundsätzlich nichts. solltest aber die foren synchronisieren hinterher, da der postcount evtl. nicht mehr stimmen könnte.

sturmgott hat geschrieben:1. Gibt es bekannte Lücken in 2.06, die der Angreifer exploitet haben kann?

ja. Besonders beim Update auf phpbb2.0.13

sturmgott hat geschrieben:2. Mit meinem Datenbankbackup würd ich gern auf die neuest phpbb-Version "aufsteigen", aber die Useraccs und Posts etc. sollen natürlich erhalten bleiben. Was ist zu tun?

schau mal hier

sturmgott hat geschrieben:3. Wenn es dazu einen Weg gibt, wie krieg ich nach dem aufspielen der neuen phpbb-Version und dem Einbau der "alten Daten" den gehackten Adminaccount da raus bzw. wie kann ich die Kontrolle über den zurückholen?

Wenn du phpMyAdmin hast und nen altes Backup würde ich in der tabelle phpbb_users beim Admin Account (ID2) den eintrag bei user_password rüberkoopieren. So stimmt schonmal das passwort und du kannst dich einloggen.. Dann sollte es kein Problem mehr sein sich ein zu loggen und deinen Namen zu ändern.

sturmgott hat geschrieben:4. Gibt es einen Weg, direkt in der Datenbank einen Adminaccount anzulegen?

Das wird schwer... Weil nicht nur ein eintrag gemacht wird. Wenn du nen test account hattest kann man den Admin Status einfach in phpMyAdmin geben. user_level = 1

sturmgott hat geschrieben:Es liegt auch noch ein altes Backup der DB vor. Kann ich einfach in irgendeiner Tabelle den Record, wo der Adminaccount drin steht, mit meinem alten überschreiben? Was geht dabei verloren?

phpbb_users wäre das dann... Aber dazu habe ich oben ja schon was geschrieben