Deine phpBB Version: phpBB2 Plus 1.5.2
MODs: Nein
Dein Wissensstand: Einsteiger
Link zu Deinem Forum: [url]http://[/url]
PHP Version:
MySQL Version:
Was hast Du gemacht, bevor das Problem aufgetreten ist?
Was hast Du bereits versucht um das Problem zu lösen?
Fehlerbeschreibung und Nachricht
Werden Sicherheitslücken geschlossen wenn:
1.
Es keinen Automatischen Locin mehr gibt?.
2.
Mitglieder das Kennwort jede Woche ändern müssen?.
3.
Das Forumsverzeichnis nicht phpBB2 heißt?.
5.
Der Account mit Admin rechten irgendwo zwischen den
anderen Mitgliedern liegt und auch farblich sich nicht unterscheidet?.
Also statt ID 2 dann z.B. ID 187 hat.
Viele Grüße
Diggi
Werden Sicherheitslücken geschlossen wenn: .....
1
Wenn man nur dies nicht benutzt, es aber weiterhin in phpBB verankert ist, so ändert sich nichts an der Situation. Wird es komplett ausgebaut und es bestehen andere Lücken hält es gar nicht auf, ansonsten hält es je nach können des Angreifers ein bisschen auf - aber nur für den Login.
2
Rechtsklick > Eigenschaften auf ein Bild und schon weiß ich den richtigen Pfad, sollte dieser über die Adresszeile verdeckt worden sein. Würmer gehn übrigens auch über die URL, wo das Board dann letztendlich drinliegt ist sowohl Skript als auch Mensch egal.
3
(Hmm verrat ich jetzt schon zu viel über Angreifertaktiken? Ne das geht noch.)
Simpler Trick: Adminuser Registrierdatum == Board Startdatum - Schlau was?
Trick Nummer 2: Lottospielen: Admin meist der User der am meisten postet oder am häufigsten Online ist. Wenn man wirklich wo reinwill findet man das über beobachten schnell raus. Und wenns länger dauert plaudern schon die User ungewollt. Man findet nen Admin meistens wenn man über die Suche nach "Jawohl Chef" oder sowas halt sucht. Ansonsten halt beobachten.
Trick Nummer 3: Admin ist da eingetragen wo normale User nicht hinkönnen. Also guck ich mal auf Leiter von Benutzergruppen oder wer im Kalender was einträgt. (Ich ist in dem Fall der Angreifer in denen ich mich gerade psychologisch hineinversetze, so hab ich das auch gemacht als ich CrackerTracker entwickelt habe )
Joah also diese Änderungen bringen nich viel... Anders: Sie laden sogar mehr zum spielen ein.
Wenn man nur dies nicht benutzt, es aber weiterhin in phpBB verankert ist, so ändert sich nichts an der Situation. Wird es komplett ausgebaut und es bestehen andere Lücken hält es gar nicht auf, ansonsten hält es je nach können des Angreifers ein bisschen auf - aber nur für den Login.
2
Rechtsklick > Eigenschaften auf ein Bild und schon weiß ich den richtigen Pfad, sollte dieser über die Adresszeile verdeckt worden sein. Würmer gehn übrigens auch über die URL, wo das Board dann letztendlich drinliegt ist sowohl Skript als auch Mensch egal.
3
(Hmm verrat ich jetzt schon zu viel über Angreifertaktiken? Ne das geht noch.)
Simpler Trick: Adminuser Registrierdatum == Board Startdatum - Schlau was?
Trick Nummer 2: Lottospielen: Admin meist der User der am meisten postet oder am häufigsten Online ist. Wenn man wirklich wo reinwill findet man das über beobachten schnell raus. Und wenns länger dauert plaudern schon die User ungewollt. Man findet nen Admin meistens wenn man über die Suche nach "Jawohl Chef" oder sowas halt sucht. Ansonsten halt beobachten.
Trick Nummer 3: Admin ist da eingetragen wo normale User nicht hinkönnen. Also guck ich mal auf Leiter von Benutzergruppen oder wer im Kalender was einträgt. (Ich ist in dem Fall der Angreifer in denen ich mich gerade psychologisch hineinversetze, so hab ich das auch gemacht als ich CrackerTracker entwickelt habe )
Joah also diese Änderungen bringen nich viel... Anders: Sie laden sogar mehr zum spielen ein.
[quote="cback - Mi 12.Okt, 2005 00:33";p="45619"]Simpler Trick: Adminuser Registrierdatum == Board Startdatum - Schlau was? [/quote]
Na gut in meinem Board haben sich 7 User zwei sekunden nach Installation direkt regestriert ob der Hacker da noch weiss wer wer ist?
Nur das dumme ist das das die Staff ist und alle Adminrechte haben
Na gut in meinem Board haben sich 7 User zwei sekunden nach Installation direkt regestriert ob der Hacker da noch weiss wer wer ist?
Nur das dumme ist das das die Staff ist und alle Adminrechte haben
[quote="fanrpg - 10.Oktober 2005, 12:55";p="45865"][quote="cback - Mi 12.Okt, 2005 00:33";p="45619"]Simpler Trick: Adminuser Registrierdatum == Board Startdatum - Schlau was? [/quote]
Na gut in meinem Board haben sich 7 User zwei sekunden nach Installation direkt regestriert ob der Hacker da noch weiss wer wer ist?
Nur das dumme ist das das die Staff ist und alle Adminrechte haben [/quote]
Cracker. Ein Hacker will gar nicht in Dein Board.
Und Cracker sind meistens Skript Kiddies. Die haben also Zeit wenn sie wo reinwollen. Da schrecken die auch vor 12 Userversuchen nicht zurück.
Na gut in meinem Board haben sich 7 User zwei sekunden nach Installation direkt regestriert ob der Hacker da noch weiss wer wer ist?
Nur das dumme ist das das die Staff ist und alle Adminrechte haben [/quote]
Cracker. Ein Hacker will gar nicht in Dein Board.
Und Cracker sind meistens Skript Kiddies. Die haben also Zeit wenn sie wo reinwollen. Da schrecken die auch vor 12 Userversuchen nicht zurück.
naja ein adminaccount der nur fürs acp verwendet wird und ein mod-account fürs tägliche allerlei ist teilweise sicher besser als wenn man immer als root rumhüpft (wie beim heimischen PC halt auch)
ob es so viel bringt lasse man mal dahingestellt, wenn der verbrecher es schafft einen eigenen account anzulegen mit adminrechten oder sonstwas mit der DB anstellt wird ihm der admin noch die wenigsten gedanken machen.
am sichersten ist hier wohl .htaccess auf den adminordner
wenn man dann keine automatisch eingefärbten accounts hat kriegt man es nicht mal mit wenn einer als priviligierter rumrennt
dann doch lieber alle admins / mods mit automatischer färbung bei userlevelX
ob es so viel bringt lasse man mal dahingestellt, wenn der verbrecher es schafft einen eigenen account anzulegen mit adminrechten oder sonstwas mit der DB anstellt wird ihm der admin noch die wenigsten gedanken machen.
am sichersten ist hier wohl .htaccess auf den adminordner
wenn man dann keine automatisch eingefärbten accounts hat kriegt man es nicht mal mit wenn einer als priviligierter rumrennt
dann doch lieber alle admins / mods mit automatischer färbung bei userlevelX