Hack des Rootforums

[nyxus]

Als Konsequenz können wir euch nur auffordern, eure Passwörter zu ändern, auch wenn er damit nicht viel anfangen kann.

Nur mal aus Interesse: Wie speichert phpBB die Userpasswörter? Doch wohl nicht etwa im Klartext?

[jamesb]

IMHO MD5.

JamesB

[hazze]

phpbb 2.0.7 behebt den Bug mit der übernahme des Boards als Admin

[jamesb]

Wir haben das Board schon gepatched.

JamesB

[markus72]

Wir haben das Board schon gepatched.

JamesB

also ich habe das selbe board drauf und ihr schreibt das ihr es schon gepatched habt aber unten steht immer noch die 2.0.6 Version und nicht die 2.0.7 ?!?!?

ich hoffe das ihr das richtig gemacht habt !!!

[Outlaw]

Ja, die Jungs verstehen ihr Handwerk. Es gibt die Patches auch für phpBB2 Version 2.0.6. Die letzte Version war 2.0.6d + die Patches, die in der 2.0.7a auch drin sind. die 2.0.7a ist im Prinzip die geptachte 2.0.6d mit allen bis dahin erschienenen Patches.
(Eben gleich alles drin.)

Gruß Outi

[floschi]

Richtig. Nachdem man es sich normalerweise nicht leisten kann, täglich Updates zu fahren, bleiben nur Patches.

[Outlaw]

Ok, wobei das Update auf 2.0.7a recht schnell geht aber hier im Forum sind einige Besonderheiten zu beachten, wie z.B. der Header und die zusätzlichen Hinweise. Da patcht man schneller. Wobei die letzte Aktion etwas umfanreicher war aber Olfi hat bestimmt das Patchfile benutzt, stimmts ??

Gruß Outi

[paranoid]

Irgendwie hab' ich sowas befürchtet, nachdem am Samstag auf der CeBIT im Hacker-Vortrag diese Schwachstelle von phpBB demonstriert wurde... hätte allerdings eher auf das Board getippt, das der Referent zu Demonstrationszwecken genutzt hat...

[floschi]

Irgendwie hab' ich sowas befürchtet, nachdem am Samstag auf der CeBIT im Hacker-Vortrag diese Schwachstelle von phpBB demonstriert wurde... hätte allerdings eher auf das Board getippt, das der Referent zu Demonstrationszwecken genutzt hat...

und welches war das?

[paranoid]

phpBB 2.0.4
Welches Board konkret betroffen ist, will ich hier allerdings nicht sagen, da der Fehler noch nicht behoben ist. Man muß das Glück des Admins ja nicht noch mehr herausfordern ;-)

[Outlaw]

Ok, das 2.0.4er is ja nun auch keine Herausforderung. Wer das selbst noch in Betrieb hat, sorry ....

Ich will jetzt nicht sagen, daß man mit dem 2.0.7a auf der sichersten Seite ist aber die alte Version is ja schon grob fahrlässig.

Gruß Outi

[:chris:]

Sorry aber dass seit ihr selber Schuld. Ich kenn mich vielleicht mit Rootservern nicht sonderlich aus aber mit Internetsecurity und PHP.
Das phpBB ist nicht gerade sauber programmiert worden. Zwar 1000mal besser als das WBB aber dennoch...
Sucht euch eine Boardsoftware, die entweder für ihre Sicherheit bekannt ist oder die niemand kennt. Keiner macht sich die Mühe und sucht aus Jux eine Sicherheitslücke in einer unbekannten Software. Bei einer Software wie phpBB haben Skript Kiddies leichtes Spiel.
Machen kann man, selbst wenn man die richtige IP hat nichts, je nachdem in welchem Land er wohnt. Mein Provider z.B. kann nicht verpflichtet werden irgendwelche Logfiles rauszurücken, wenn sie überhaupt länger als eine Tag existieren ( Ich wohn in Belgien ). Ich könnte Cracken, was ich wollte und keiner könnte mir was.

PS: Macht die Versionsnummer aus dem Copyright.

[Anonymous]

hallo forum denke mal um an die e-mailadressen zu kommen! ist nen gefundenes fressen fuern echten cracker, oder.

denke mal wir sollten jetzt alle besondere vorsicht beim "anschauen" unserer e-mails haben !

:) oh , ja ich spreche auch deutsch,,, aber manchmal ist mein hirn schon sooo denglish das ichs erst nach ein paar glaesern gutem wein abschalten kann.

anbei mal ein generelles hallo ans forum :-D habe jetzt ein par 1und1 rootys unter meine fitiche genommen.
da ich mich in suse noch nich so ganz "eingearbeitet" habe - hab ich wohl etwas panisch auf den chkrootkit output reagiert; wie ihr in http://www.rootforum.org/forum/viewtopic.php?t=24732 sehen koennt :?

groetjes eure netnurse

[floschi]

Ich kommentiere die angesprochenen Punkte bezgl. phpBB nicht zum 100.sten Mal, bei Bedarf die bisherigen 99 Threads dazu heraussuchen. Fakt ist, dass es derzeit keine Alternative gibt und die Frage berechtigt ist, warum soviele "Checker" über das phpBB urteilen (also lästern), aber keiner dieser "Halbgötter" im Sinne des Communitygedankens dem phpBB-Team hilft, ihre Software zu verbessern! Sehr seltsame Einstellung...

[captaincrunch]

Zum einen: komplettes ACK zu olfis Kritik. Meckern kann nun wirklich jeder, und genau das passiert hier regelmäßig alle paar Wochen. Daher sieht es IMHO eher so aus, dass gewisse Leute entweder nur die oft gehörten Dinge stumpf nachplappern, denn helfen will ja anscheinend niemand.

P.S:

Macht die Versionsnummer aus dem Copyright.

Auf solche Sachen habe ich gewartet. Security by obscurity macht uns ja soooooo sicher... :roll:

[relativity]

hmm
aber ich versteh das immernoch net
der hatte den MD5 des Passworts
und den dazugehörigen Usernamen (aufgrund der Usernummer)

und dann?

MD5 ist doch ne einweg verschlüsselung
was will er also mit dem crypt des passworts?
wie kam er an das ungecryptete pass damit er sich einloggen konnte?

*nixraff*

[smurfslayer]

bruteforcen & dictionary attacke vielleicht?!

[outofbound]

So, ich spiele mal wieder Smartass:

Die Frage ist niemals ob man gehackt wird, sondern WANN.

Und ja, es kann jedem passieren. ;)

Alles eine Sache der Vorbereitung ;)

Gruss,

Out

[flo]

Hi,

Kopf hoch - das ist kein Fehler, auf den Ihr anders reagieren konntet oder überhaupt schneller reagieren konntet.

Die Art und Weise, wie Ihr damit umgeht, zeugt von Verantwortungsbewußtsein und Professionalität, andere Betreiber hätte Ihr Board gepatched und stillschweigend weiterlaufen lassen!

Grüße,

flo.

[relativity]

bruteforcen & dictionary attacke vielleicht?!

für nen bruteforce muss ich aber net mir den MD5 des Passes vom
Admin ausgeben lassen sondern brauche nur den Namen des Admins
und den bekomm ich ja über die Memberliste bzw. Profilbeschreibung.

[smurfslayer]

für nen bruteforce muss ich aber net mir den MD5 des Passes vom
Admin ausgeben lassen sondern brauche nur den Namen des Admins
und den bekomm ich ja über die Memberliste bzw. Profilbeschreibung.

Richtig, müsste man nicht.. aber ich denke ein Bruteforce mit zufallswerten auf einen MD5 Hash abzusetzen, den man lokal auf der Platte hat, ist etwas effektiver als ein Bruteforce an eine Loginseite einer Webanwendung..

Und ne Dictionary Attacke ist ja eigentlich auch nicht was großartig anderes als Bruteforce - die könnte ich ebenso "manuell" an der LoginSeite absetzen. (Wenn ich die Geduld hätte, bis der Webserver alle meine zigtausend Anfragen beantwortet.)

[relativity]

ok, überzeugt =)

[wonderland]

Ihr hattet geschrieben das ihr gerade daran arbeitet so etwas in Zukunft zu verhindern. Könnt/wollt ihr näheres dazu schreiben? Wäre recht interessant.

..- Wonderland

[floschi]

Ihr hattet geschrieben das ihr gerade daran arbeitet so etwas in Zukunft zu verhindern. Könnt/wollt ihr näheres dazu schreiben? Wäre recht interessant.

Wir probieren z.B. mit mod_security herum, wobei das etwas komplexer ist, als gedacht, d.h. einige Postings werden mit 500er Fehlern abgewiesen.

Weitere Maßnahmen sind eher organisatorisch ;)