phpBB.de

Ich wollte auch mal ein Board installieren und testen. Nach einiger suche bin ich auch auf dieses Board gestoßen.

Weiterhin habe ich dann durch ein wenig googlen. Ich bin auf folgende Seite gestoßen

http://www.serversupportforum.de/forum/ ... gen-2.html

Dort haben die User festgestellt das, dass phpbb Board nicht sicher ist.

Nun als Neuling wollte ich gerne mal wissen was nun wirklich dahinter steckt und warum das Problem scheinbar noch besteht.

Würde mich auf eine Antwort freuen.

Für alle verbreiteten Forensysteme gibt es vergleichbare Beispiele. Für die aktuelle Version sind keine derartigen Schwachstellen bekannt.


Internetsoftware muss man immer zeitnah updaten, sonst ist es ein Risiko für einen selbst und alle anderen - das ist bei phpBB nicht anders.

jeder server und sei er nur für html-seiten zuständig kann per DDOS zur strecke gebracht werden.

ein Vserver ist IMO sowieso eher etwas für leute die eben den rootzugang zum testen irgendwelcher einstellungen brauchen, einen vServer für ein produktivforum und als serverersatz einzusetzten ist IMO großer dumfug, da die maschine nicht nur die php,mysql&apache arbeit zu tunhat sondern muss auch noch den ganzen anderen mist mitberechnen, dann lieber guten sharedwebspace oder eben ne kleine echte maschine

ob ein vB dem phpBB hier überlegen ist sei dahingestellt da ich denke das ein vB mehr queries/seite braucht und damit wohl eher zum exodus neigt, aber das hängt eben von der verwendeten maschine ab, ein dual-operton mit 16GB ram steckt wohl nen größeren "angriff" weg als PIII mit 700MHz und 128MB ram

@Anommander Rake ja aber bei wbb habe ich das noch nirgens gefunden nur bei phpbb

@Fundus

Ja es ist ja alles ok. Aber wenn ich durch diese Sache einen Übertraffic
herbei beschwöre, weil das phpbb viele Sicherheitslücken hat,umuß ich dafür aufkommen. Das heißt wenn ich auch nur einen Traffic Grenze von 200 GB habe und der aber in 3 Stunden zusätzliche 400 GB verursacht, dann sollte ich mir nun doch mal Kopf machen welches Forum ich dann einsetze. Ich weiß auch das ich updats machen muss und so weiter aber wenn ich mal eine Woche nicht da bin möcht ich mir mal keinen Kopf machen müssen was mit mein Forum passiert. Wegen dem Traffic und so weiter. Ja klar ist vserver Preiswert was ich gesehen habe und jeder Provieder hat seine Vor-, Nachteile aber im Grunde geht es um das Forum was dann nich sicher ist. Dies kann mir auch bei Strato passieren (wo ich einen webhostingpaket habe). Nur ich habe keine lust den schaden zu bezahlen der da entstehen kann.

vielen Dank erst einmal für die Infos

naja wie gesagt wenn du DDOS als sicherheitslücke siehst hat selbst eine htmlseite diese lücke, wenn sich eine SW damit brüstet das nicht zu haben sollte man den jenigen mal auf seine kompetenz hin überprüfen.

das mit dem traffic ist klar, aber es gibt eben kein PHP skript das da was gegen machen kann und das mit dem vServer ist eben die gemachte erfahrung da boards die meines wissens auf vServern liegen eben meist eine recht bescheiden performance aufweisen, dagegen selbst kleinste 0815-server wahre zauberkünstler sind, deshalb finger weg von vservern wenn man nicht zwingend rootzugang braucht sich aber keinen "richtigen" server leisten will/kann.

die märchen von den wildesten sicherheitslücken kommen meist von leuten die die SW nicht einsetzen sondern nur vom schwager-seiner-tochter-ihrem-hund-derem-freundin-ihr-besitzer-bekannter gehört haben dass da was ist und meist auch selbst so gut wie keinen kontakt zur diskutierten SW haben.

und phpBB hatte vielleicht viele, aktuell ist aber gerade ruhe, was man als lückenfrei bezeichen könnte.

naja und wegen updates braucht bei vB keiner mehr mit dem finger zeigen wenn ich da in die ankündigungen reinsehe machen die phpBB schon derbe konkurenz, die hatten aber nicht die bösen hacker am Ar**h kleben und verlangen haufenweise Euronen dafür, daher gehe ich schon davon aus das releases zumindest nicht 1Monat später wieder gefixt werden müssen

nun schau dir mal an, wieviele boards es gibt, die auf phpBB basieren und wieviele hilferufe kommen, weil jemand gehackt wurde. es sind immer diejenigen, die nicht oder viel zu spät updaten. ein up-to-date board ist so sicher wie jede andere internet software auch. und wie schon gesagt, jede seite ist angreifbar mittels DDoS attacke und dagegen ist kein kraut gewachsen, man erinnere nur an den angriff auf microshift im jahre '03, ich glaube, es war der lovesan-virus. selbst ein riese wie die mussten ihre server offline stellen unter der wucht.

aber: nutze die software, die dir zusagt. wenn du denkst, phpBB sei unsicher, weil du es irgendwo von irgendwem gelesen hast, dann sei es so...

*edit*
ups, ich hab' mein 3000. post verpasst, mist!

super was ihr an Meinung habt.

@Fundus --> ja das mit den Vservern weiß ich auch und ich danke dir

Ihr habt ja recht da ist kein Kraut gewachsen gegen solche Sachen. Mein erstreben ist es ja kostengünstig zu fahren. da ist das phpbb kostenlos aber wie zum Beispiel B und wbb2.3.3 kosten da schon richtig Geld. Nun ich gehe davon aus das da ständig dran gearbeitet wird und verbessert wird und solche Sicherheitslücken nicht auftreten. Aber ich bin ja auf der Suche...

Nein Ihr habt ja auch recht. Aber ich fahre auch nicht in den Urlaub ohne mich vorher zu informieren wie das Hotel ist.

Ich möchte hier kein Board schlecht machen oder so nur ich suche nach einer Lösung. Weil wie man sieht und merkt steckt in einem Board auch viel Arbeit drin und da möchte ich mir schon ein bisschen kopf machen wenn was wie passiert. Und wie gesagt ich möchte auch mal ein paar Tage Urlaub machen ohne gleich Ärger damit zu haben.

@rabbit nein ich habe nicht über 5 Ecken gehört ich habe es von einem Arbeitskollegen der auch ein Board betrieben hat. Diese Board wurde mit so einen DDos Sache ausgesetzt und er hatte innerhalb von 3 Stunden (ist in der Nacht passiert von 0-3 Uhr) 400 GB Traffic. danach hat der Provider seinen Account automatisch gesperrt. Nach Überprüfung von seinen Server durch Ihn und einem Techniker der Providers wurde anhand der log Dateien festgestellt, dass dies durch das Board passiert ist. Die Kosten die da entstanden sind möchte ich nicht schreiben. Die sind hoch genug.

Die Ironie war, dass er an seinen Server nur die Ausstattung des Providers hatte mit den ganzen Sicherheitsmaßnahmen. Er selber hatte keine Veränderungen am Server vorgenommen. Doch in allen AGB steht das du als Server Besitzer verantwortlich bist was passiert. Also musst du auch auf die Kosten aufkommen die bei einem so entstanden Schaden entstehen.
ich wollte hier im Board gerne mal die Meinung wissen was die Leute für Erfahrungen mit solchen Sachen haben.

ich bezweifle das es bei einem anderen board besser ausgesehen hätte

aber!!!

400GB 3h ??

(man korrigiere mich wenn das falsch ist)
100Mbit / 8bit = 12,5MB (pro sec.) * 3600 = 45GB/Stunde * 3 = 135GB wo max geflossen sein können, den provider würde ich mal gewaltig ans schienbein treten!!
ist vermutlich so ne errechnete statistik, ich hab schon einige webalizer logs gesehen wo mehrere TB/monat erschienen lt abrechnung waren es dann nur 200-300GB, ich weis nicht was der misst aber das ist teilweise MIST

"ich bezweifle das es bei einem anderen board besser ausgesehen hätte "

das weiß ich ja nicht des wegen bin ich ja am Überlegen und Diskutieren. Da ich so viel von den anderen Boards nicht gelesen habe darüber.

Ich habe Ihn noch mal gefragt und er hat gesagt es ist zweimal gewesen an diesem Tage. Einmal wo der Server bis kurz vor dem limit also 200 GB
und dann noch über 200 GB. Danach wurde er abgeschalten.

Da ich so viel von den anderen Boards nicht gelesen habe darüber.

simple antwort: phpBB ist die meisteingesetzte foren-software, da sie freeware ist. somit gibt es hier auch die meisten meldungen und das größte interesse 'fragwürdiger naturen', diese software zu knacken.

auch hier wieder der vergleich mit microshift und windows: windoze ist das meisteingesetzte betriebssystem, daher ist es für angreifer auch am attraktivsten.