Forum gehackt :(

G

Golden_hawk

0
HY!

SO.... ich hatte ziemlich viel Probleme mit meinem Board es wurde vor kurzem ein Videotut herusgebracht wie man Forums hackt und ich wurde ein Opfer davon :(...

www.msn-icq-board.at

Forumsoftware: phpmyforum

version 4.1.1

So ich würde jetzt gerne mal wissen von wo ich Sicherheitspatches... bzw: wie ich die Bugs fixen kann??

Danke schonmal..

MfG

Golden
 
Hallo Golden_hawk

du scheinst seeeeeehr viel Nerven zu haben! Nach so vielen Angriffen hätte ich mir ernsthaft überlegt, Anzeige zu erstatten, denn der Provider loggt sämtliche Vorgänge über FTP und von welcher IP-Adresse diese verübt wurden, bei dir etwa nicht?
Benutze eine andere Forum-Software wäre mein Tipp. WBB, wie es das HaBo benutzt, ist geeignet. Ich selbst bevorzuge jedoch das phpBB, weil ich mit diesem begonnen habe und damit vertraut bin.

MfG dfi
 
Habt ihr jemanden geärgert :D , ne Spass bei Seite.

1. Die Beleidigungen sind schon nicht schlecht, ich hab nicht alles gelesen, aber ich würde den "Typen" nicht ärgern ( falls ihr es tut ), wie man sieht ist er euch etwas voraus.

2. Die Foren Software würde ich tauschen, eine Suchmaschine wie www.google.de liefert viele Informationen was Bugs angeht.

3. Die Forensoftware ist egal, falls euer Provider ein System hat, mit lauter Bugs, da hilft nur ein Provider wechsel.
 
sehr wahrscheinlich wurde ein kleiner, aber gravierender fehler des phpmyforum's verwendet.

eine gewisse variable welche den pfad zu einer boardkonfiguration-datei (in php) beinhaltet, unterliegt keiner überprüfung und kann über get geändert werden.

somit kann eine eigene - externe - php datei als config-datei eingebunden werden, mit x beliebigem php-code.


es gibt 2 möglichkeiten:

* du updatest deine forensoftware (oder behebst den 'fehler' selbst)
* du suchst dir eine andere forensoftware raus.


... da anscheinend schon mehrere angriffe stattgefunden haben, würde ich damit zur polizei gehen und anzeige erstatten.
 
Hallo,
@little_Newbie: Das Problem, phpMyForum 4.1.1 ist die neuste Version.

Könntest du evt. noch einen Link mit weiteren Infos zu dem Bug geben.
 
Den Bug den little_Newbie ansprach kannst du vermeiden indem du in deiner mainfile.php die 2. Zeile änderst:
anstatt : include("$MAIN_PATH/config.php");
muss da stehen : include("config.php");
Der Bug ist jedoch schon recht alt, ich denke nicht das es daran liegt. Auf jeden Fall würde ich rechtliche Schritte einleiten. Desweiteren geh auf die phpmyforum Seite und lad dir ALLE Sicherheitspatches runter. Anschliessend änderst du deine Passwörter (FTP, MySQL und die deiner Admin Accounts), dabei solltest du darauf achten das du sichere Passwörter wählst! Sollte es dein Server sein Update den Apache!!! und sonstige Serverdienste, ansonsten wende dich an deinen Provider.

Hier ein Link zu den Updates: http://support.phpmyforum.de/topic.php?id=3052&
 
Hallo,
was noch wichtig ist: Evt. hat der Angreifer sich ein Admin Acc. eingerichtet, also nachschauen wer alles Adminrechte hat, evt. hat auch eine verstecke Gruppe Adminrechte.
 
Ja ... danke für eure hilfe... www.msn-icq-board.at habe es wieder hingekriegt.. habe einfach alle bugs gefixt =)...


so nun würde ich mal gerne ragen welche boardsoftware ihr empfehlt...?!

Bitte wenns geht mit Preis .. und version .. Danke

ichw eis ich kann auch in google anchschauenaber ich will mal von euch wissen was ihr bevorzugt!
Leider habe ich eine Freeware Boardversion !
PS: Danke das Board ist echt super ;)
 
Was heißt denn "...Leider...Freeware Board..."??? Ich würde weiterhin phpmyforum empfehlen, imo das umfangreichste Freeware-Board, Chris und Teile der Community leisten einen Top-Support. Und wenn Du Dir jetzt schonmal die Mühe mit den Bugfixes gemacht hast... ;)

Aber ich will Dich nicht hindern Geld auszugeben, WBB (dieses Board, Link ganz unten) kostet ca 25 EUR (gibt auch ´ne kostenlose Light-Version), vor Bugfixes und Updates wird Dich das aber auch nicht schützen... 8o
 
aso... THX.. na dchte nur weil es schon ne freeware version ist.. dann kann es vll. nicht so gut sein wie andere...

Aber sonst ist es ein TOP Board.. wirklich zu empfehlen..

Habe das wegen den Bugs gemeint!
 
Hallo,
also in, ich sage mal 'insidern Kreisen', wird immer darüber diskutiert, dass Freeware-Lösungen nicht allzuviel Taugen.

Der Hauptgrund ist:
- Für sehr umfangreiche Communitys sind die Möglichkeiten & die Geschwindigkeit von Freeware-Lösungen zu gering. Vorallem gibt es Performance-Probleme.
- Die Freeware-Programmierer verbringen i.d.R. nicht genauso viel Zeit mit der Programmierung des Boards als eine Firma die 'davon lebt'.
=> Langsame Bugfix
=> Keine intensiven Code-Audits
=> Langsamer/Schlechterer Support....


Was das im Bezug auf Sicherheit zu tun hat:
-Freeware-Programmierer haben oft nicht den gleichen Wissensstand wird Profis => Mehr Sicherheitslücken.
Aber das liegt doch stark vom Programmierer ab.
- Freeware-Programmierer verbringen nicht soviel Zeit beim Suchen nach Bugs => Viele Bugs bleiben ungefunden
-Freeware-Programmierer testen eine Beta nicht so intensiv, das sie ja nichts zu verlieren haben + keine Zeit=> Mehr Bugs im Code auch in der 'stable Version'.
- Vorallem: Wenn schwere Bugs in einem Freeware Programm gefunden werden, ist das halb so schlimm.
Eine Firma, die 'davon lebt', hätte aber einen extremen Image-Schaden.

Man schau in der Bugtraq nur z.B. nach 'phpBB' und dann nach 'wBB/Woltlab' oder 'vBB/vBulletin'



Aber die Hauptursache für Bugs bleiben die Programmierer.
Wenn hinter einem Free-Board ein guter & sicherheitsbewusster Programmierer steckt, dann fährst du mit dem Board schon ganz gut.

Nur wenn du wirklich große Communitys hast (50 000+ User), sollte man aus Performance-Gründen lieber zu einer professionellen Lösung wechseln.
 
@Elderan:
Ich dachte immer, dass gerade OpenSource-Software sicherer ist (du hast unter anderem phpBB angesprochen), weil die Entwicklung eben schneller von statten geht.
Und ich habe seit kurzem selbst ein phpBB-Forum auf meiner Homepage installiert und aktualisiere es schnellstmöglich wenn eine neue Version herauskommt. Daher besteht hier ein gewisses Interesse von mir mehr über die Sicherheit von OS-Software zu erfahren.

Ein anderes und sehr populäres Beispiel für sichere OS-Software ist z.B. FireFox. (Naja, in Opera sollen angeblich bereits 100% aller bekannten Bugs gefixt sein, in FireFox erst 80%...)



MfG, BattleMaker
 
Hallo,
@BattleMaker: Du vergisst, dass alle namenhaften, großen Boards 'OpenSource' sind, auch wenn diese Geld kosten.
Denn 'OpenSource' bedeutet nur, dass man den Quellcode einsehen kann.

Denn PHP führt es mit sich, dass es relativ schwer ist (für eine große Benutzermengen), fertige Scripts als compilierten PHP-Code zu verteilen.

Deswegen sind alle großen Boards (vBB, wBB, ivB ....) 'OpenSource', sonst gäbe es viel zu viele Probleme damit.

Und von dem phpBB kann ich nur abraten. Wenn man sich da mal etwas genau die Fehler anschaut, und Ahnung von PHP&Co hat, dann haut man sich manchmal die Hände über den Kopf zusammen....
Denn manche Teile sind echt stümperhaft programmiert, kein Wunder das es immer wieder Würmer fürs phpBB gibt.
Ich denke mal das liegt auch daran, dass 'viele Köchen den Brei verderben'.

Ein Beispiel:
http://www.hardened-php.net/advisory_172005.75.html
 
@Elderan:
Danke für diese Info. Ich hätte nicht gedacht, dass phpBB sooo viele Lücken aufweist, allein schon weil OpenSource. Bleibt wohl auf Dauer nichts anderes übrig als zu wechseln ==> also werde ich mich erstmal schlau machen müssen.

Aber auf keinen Fall werde ich für mein Forum Geld ausgeben. Lieber programmiere ich mir mein eigenes... kostet zwar Zeit, würde aber viel Erfahrung einbringen :)


MfG, BattleMaker
 
"Lieber programmiere ich mir mein eigenes... kostet zwar Zeit, würde aber viel Erfahrung einbringen"

falls du diese idee auch in die praxis umsetzen willst, solltest du folgendes (vorher) beachten:

informiere dich über die funktionsweise von mysql injections, und code inject., und vermeide derartige fehler. diesbezüglich solltest du dir ruhig auch mal die fehler anderer programmierer von board-software anschauen, sprich: bugtraq.

alleine wirst du wahrscheinlich nicht sehr weit kommen, da die programmierung eines forums eine menge arbeit kostet. schließlich will man ja auch einige funktionen einbauen. erstelle deshalb unbedingt vorher einen plan, wie das forum aussehen soll, bzw. wie die einzelnen module miteinander arbeiten sollen. und suche dir wenigstens noch 1 - 2 helfer ;-)



... aber eigentlich ... wie heißt es so schön?! erfinde das rad nicht ein zweites mal ;-)
 
aber wenn er dann sein selbstgemachtes board ned offenlegt.. als den source.. isses unwahrscheinlicher das sich leute die mühe machen das board auf fehler zu prüfen

klar musst auf die mysql injections aufpassen aber ich würd fast sagen das das eigene board sicherer is wenn mans gscheit macht...
 
@little_Newbie:
Vielen Dank für deine Tipps. Dass ich mir vorher ein Konzept machen muss ist mir bewusst, obwohl ich oft (trotz guter vorheriger Planung) alles wieder über den Haufen schmeissen muss, weil mir dann andauernd eine neue geniale Idee einfällt. :D

SQL-Injection ist mir ebenso bewusst und ich bin es gewohnt, immer addslashes zu verwenden. ABer ich bin mir nicht so sicher ob das wirklich schon als Schutz ausreicht ?(

Aber 'code-injection' kenn ich nicht... da werd ich mich wohl wirklich mal informieren müssen.
Also vielen Dank ;D


MfG, BattleMaker
 
Das sollte seinen Dienst tun (jedoch keine Garantie :)):

PHP: 
// Überprüft Strings, um SQL-/HTML-Injection zu verhindern.
function sql($input) {
	if (get_magic_quotes_gpc()) $input = stripslashes($input);
	if (!is_int($input)) $input = mysql_real_escape_string(htmlspecialchars($input));
	return $input;
}

Gruß
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben