Werden Sicherheitslücken geschlossen wenn: .....

Sicherheit des Webservers, der Server und rund um phpBB
Antworten
Diggi
Beiträge: 275
Registriert: Mo 08.Nov, 2004 16:50

Werden Sicherheitslücken geschlossen wenn: .....

Beitrag von Diggi »

Deine phpBB Version: phpBB2 Plus 1.5.2
MODs: Nein
Dein Wissensstand: Einsteiger
Link zu Deinem Forum: [url]http://[/url]

PHP Version:
MySQL Version:


Was hast Du gemacht, bevor das Problem aufgetreten ist?



Was hast Du bereits versucht um das Problem zu lösen?




Fehlerbeschreibung und Nachricht

Werden Sicherheitslücken geschlossen wenn:

1.
Es keinen Automatischen Locin mehr gibt?.
2.
Mitglieder das Kennwort jede Woche ändern müssen?.
3.
Das Forumsverzeichnis nicht phpBB2 heißt?.
5.
Der Account mit Admin rechten irgendwo zwischen den
anderen Mitgliedern liegt und auch farblich sich nicht unterscheidet?.
Also statt ID 2 dann z.B. ID 187 hat.

Viele Grüße
Diggi
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Reicht alles nicht unbedingt soooo aus, um Hacker erfolgreich abzuwehren...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

1

Wenn man nur dies nicht benutzt, es aber weiterhin in phpBB verankert ist, so ändert sich nichts an der Situation. Wird es komplett ausgebaut und es bestehen andere Lücken hält es gar nicht auf, ansonsten hält es je nach können des Angreifers ein bisschen auf - aber nur für den Login.


2

Rechtsklick > Eigenschaften auf ein Bild und schon weiß ich den richtigen Pfad, sollte dieser über die Adresszeile verdeckt worden sein. ;) Würmer gehn übrigens auch über die URL, wo das Board dann letztendlich drinliegt ist sowohl Skript als auch Mensch egal.


3

(Hmm verrat ich jetzt schon zu viel über Angreifertaktiken? Ne das geht noch.)

Simpler Trick: Adminuser Registrierdatum == Board Startdatum :D - Schlau was? :D

Trick Nummer 2: Lottospielen: Admin meist der User der am meisten postet oder am häufigsten Online ist. Wenn man wirklich wo reinwill findet man das über beobachten schnell raus. Und wenns länger dauert plaudern schon die User ungewollt. ;) Man findet nen Admin meistens wenn man über die Suche nach "Jawohl Chef" oder sowas halt sucht. Ansonsten halt beobachten.

Trick Nummer 3: Admin ist da eingetragen wo normale User nicht hinkönnen. Also guck ich mal auf Leiter von Benutzergruppen oder wer im Kalender was einträgt. (Ich ist in dem Fall der Angreifer in denen ich mich gerade psychologisch hineinversetze, so hab ich das auch gemacht als ich CrackerTracker entwickelt habe :))



Joah also diese Änderungen bringen nich viel... Anders: Sie laden sogar mehr zum spielen ein.
fanrpg
Beiträge: 3
Registriert: Mo 16.Mai, 2005 10:50

Beitrag von fanrpg »

[quote="cback - Mi 12.Okt, 2005 00:33";p="45619"]Simpler Trick: Adminuser Registrierdatum == Board Startdatum :D - Schlau was? :D[/quote]

Na gut in meinem Board haben sich 7 User zwei sekunden nach Installation direkt regestriert ob der Hacker da noch weiss wer wer ist?
Nur das dumme ist das das die Staff ist und alle Adminrechte haben ^a
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

[quote="fanrpg - 10.Oktober 2005, 12:55";p="45865"][quote="cback - Mi 12.Okt, 2005 00:33";p="45619"]Simpler Trick: Adminuser Registrierdatum == Board Startdatum :D - Schlau was? :D[/quote]

Na gut in meinem Board haben sich 7 User zwei sekunden nach Installation direkt regestriert ob der Hacker da noch weiss wer wer ist?
Nur das dumme ist das das die Staff ist und alle Adminrechte haben ^a[/quote]

Cracker. Ein Hacker will gar nicht in Dein Board.

Und Cracker sind meistens Skript Kiddies. Die haben also Zeit wenn sie wo reinwollen. ;) Da schrecken die auch vor 12 Userversuchen nicht zurück. ;)
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

naja ein adminaccount der nur fürs acp verwendet wird und ein mod-account fürs tägliche allerlei ist teilweise sicher besser als wenn man immer als root rumhüpft (wie beim heimischen PC halt auch)

ob es so viel bringt lasse man mal dahingestellt, wenn der verbrecher es schafft einen eigenen account anzulegen mit adminrechten oder sonstwas mit der DB anstellt wird ihm der admin noch die wenigsten gedanken machen.
am sichersten ist hier wohl .htaccess auf den adminordner :D
wenn man dann keine automatisch eingefärbten accounts hat kriegt man es nicht mal mit wenn einer als priviligierter rumrennt :eek:
dann doch lieber alle admins / mods mit automatischer färbung bei userlevelX ;)
Antworten