Nur für kurze Zeit: CBACK macht einen Sicherheitscheck

Beitrag von **cback** » Di 12.Apr, 2005 20:10

Huhu Leute!

Es gibt viele Möglichkeiten phpBB Boards zu schützen. Beispielsweise durch Update auf die neueste Version und durch verwenden von Sicherheitsmods wie zum Beispiel meinem CrackerTracker MOD. Doch macht dies Euer Board schon sicher? Beispielsweise filtert .htaccess und CrackerTracker nur die Exploit Attacken. Doch vielleicht hat ein anderer Mod eine neue Lücke in das Board gerissen? Oder vielleicht wurde beim manuellen Updaten auf phpBB 2.0.13 etwas entscheidendes übersehen und vermeintlich gefixte Sicherheitslücken im phpBB Kern sind immer noch vorhanden?

Nun ja langer Rede kurzer Sinn: Ich dachte mir, ich biete mal für kurze Zeit einen Service an und prüfe Euer Board (wer es denn möchte und sich hier meldet incl Link z.B) auf bekannte Sicherheitslöcher. Das Funktioniert auch ganz einfach und ohne zusätzlichen Zeitaufwand für Euch:

Ihr postet die Erlaubnis für mich und den Link zu eurem Board
Danach besuche ich Euer Board und versuche mit einigen Angriffsmethoden (natürlich alle so, das sie Euren Space nicht mit Traffic oder ähnlichem belasten, die von mir eingesetzten Mittel sind lediglich Firefox Browser und Windows Editor) und ich schaue ob ich durch bekannte Lücken z.B zum Admin werden kann.
Ist dies nicht der Fall kann ich sagen "Euer Board weist kein bekanntes Sicherheitsloch auf"
Komm ich doch durch werd ich hier eine Lösung anbieten, wie Ihr diese Lücke stopfen könnt.

Klingt jetzt sehr komisch aber ich hab einfach mal wieder Lust nach Sicherheitslöchern zu suchen

Wie lang diese "Aktion" läuft weiß ich nicht. Aber es ist natürlich zwingend erforderlich, dass Ihr, wenn Ihr diesen "Service" nutzen möchtet hier klar bestätigt, das mir die Erlaubnis erteilt wird das Board zu Testen und falls einer da ist per Backdoor zu betreten.

Wenn mir das eindringen gelingt werde ich nur kurz nen Post oder PM absetzen um die Tatsache zu beweisen und werde hier auf Oxpus.de dann versuchen eine Lösung dafür vorzustellen. Zerstört oder Beschädigt wird bei den eingesetzten Methoden nichts. Es wird lediglich Cookiesystem und Loginsystem von mir überprüft.

Mfg
CBACK

Beitrag von **Stoebi** » Di 12.Apr, 2005 20:12

http://komsomolsk.spec-f.de

Ich erlaube cback, Angriffe auf mein Forum duchzuführen, um eventuelle Sicherheitslücken
aufzudecken.

Dauer: unbestimmt ( brauchst nicht immer danach fragen ;-) )

Gruß Stöbi

Beitrag von **cback** » Di 12.Apr, 2005 20:23

OK dann danke für das Vertrauen und hier das Ergebnis des Tests:

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

Beitrag von **modbo** » Di 12.Apr, 2005 20:32

Na dann los.

LINK

hiermit erlaube ich CBACK, Angriffe auf mein Forum duchzuführen, um eventuelle Sicherheitslücken aufzudecken.

Beitrag von **cback** » Di 12.Apr, 2005 20:39

Vorbildlich die OXPUS Gemeinde bisher. Gleiches Ergebnis wie oben:

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

Und in Deinem CTracker is zumindest mal ein Eintrag im Log, der von mir hat hinter chr stehen "just_the_cback_test_string" sollte ich vielleicht noch an dieser Stelle mitteilen, da die IP ebenfalls nich meine eigene ist (Proxyserver).

Beitrag von **oxpus** » Di 12.Apr, 2005 21:11

Test doch mal http://www.oxpus.de

Beitrag von **blondi** » Di 12.Apr, 2005 21:17

Na dann auf gehts :-)) natürlich darfst du bei mir auch... Link

also sonnybaby... die bist echt krass für dein alter :-))
unglaublich der kerl... mich haut ja oxpus und amiga schon um.... aber du bist echt der oberhammer

ein meister der codes und das in dem alter

Beitrag von **schmidtedv** » Di 12.Apr, 2005 21:19

hm, hier ein sicheres: http://support.schmidtedv.de

und ein eventuell von mir noch nicht gänzlich abgesichertes: http://ehemaligenverein.geschwister-sch ... m.de/forum

Erlaubnis hiermit erteilt...viel Erfolg :-)

Beitrag von **modbo** » Di 12.Apr, 2005 21:24

[quote="cback - Di 12.Apr, 2005 20:39";p="28446"]Und in Deinem CTracker is zumindest mal ein Eintrag im Log, der von mir hat hinter chr stehen "just_the_cback_test_string" sollte ich vielleicht noch an dieser Stelle mitteilen, da die IP ebenfalls nich meine eigene ist (Proxyserver).[/quote]
Jupp steht drin. Danke für den Service

Beitrag von **cback** » Di 12.Apr, 2005 21:46

OXPUS

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

---------------------

BLONDI

Im Anhang hier liegt ein kleiner Screenshot bei. Dein Board war nach 1 Minute 20 Sekunden:

Bild

Dein Board ist UNSICHER.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking UNSICHER
Autologin Bug UNSICHER

Lösungswege:

Zumindest die eine Änderung, die phpBB Version 13 mit sich bringt solltest Du in Dein Board einbauen. Sonst kann jeder innerhalb weniger Sekunden jeden Benutzeraccount schnappen den er möchte.

Folgende Änderungen wären das:

Open includes/sessions.php

Find:

Code: Alles auswählen

if( $sessiondata['autologinid'] == $auto_login_key )

Replace with:

Code: Alles auswählen

if( $sessiondata['autologinid'] === $auto_login_key )

The second minor issue, reported to bugtraq several days ago, was the path disclosure bug in viewtopic.php. To fix it:

Open viewtopic.php

Find:

Code: Alles auswählen

$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));

Replace with:

Code: Alles auswählen

$message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));

Die andern beiden Board
Bearbeite ich sofort

PS: Hier noch der Anhang von Blondi, hab keinen Off Topic Bereich gefunden sonst hätt ich noch gepostet aber ich belasse es dabei das neben steht, dass ich als Admin eingeloggt bin

[ Attachment gelöscht am Mi 13.Apr, 2005 00:03 von oxpus ]

Beitrag von **cback** » Di 12.Apr, 2005 21:54

So und nun die beiden Boards von SchmidtEDV

Beide Boards sind SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

Nur ein Kritikpunkt bei Forum #2: Im Footer steht die Version (phpBB 2.0.13) öffentlich sichtbar. Wäre besser, wenn Du die Versionsnummer noch entfernst, dann können kommende Schädlinge (falls beim 2.0.13 auch was gefunden wird) nicht per Google gezielt nach Deinem Board suchen.

Beitrag von **SanTic** » Di 12.Apr, 2005 23:19

Wenn auch mit Vorsicht, gebe ich dir auch mein Einverständnis. ^^

Mein Board

Beitrag von **knallzapzerap** » Di 12.Apr, 2005 23:29

hier auch mein Einverständniss für mein Board. Vielen Dank schonmal für den Check

Forumslink

Beitrag von **oxpus** » Mi 13.Apr, 2005 00:04

@CBack
Auf Wunsch von Blondi habe ich den Screeni von Ihrem Board gelöscht.
Also nicht wundern, daß der plötzlich wech ist (Steht ja auch im Post, wer ihn wann gelöscht hat

).

Und HEY!
OXPUS.de ist sicher :heiss:

:klapp:

Beitrag von **blondi** » Mi 13.Apr, 2005 00:20

Fix schon drinne :-)) ... hatte wohl versehendlich eine alte viewtopic ohne fix bei einen mod einbau vertauscht, weil ich den fix ja damals gemacht hatte und plötzlich wieder eine alte auf dem server liegen hatte...

@oxpus
hast du einen tipp noch zu meinen anderen post bzgl. wikipedia

Beitrag von **oxpus** » Mi 13.Apr, 2005 00:41

hast du einen tipp noch zu meinen anderen post bzgl. wikipedia

Hab ich alles da gepostet...

Beitrag von **LaraCroft** » Mi 13.Apr, 2005 04:51

Na dann will ichs auch mal wissen.
cback du darfst mein Forum tottesten *zwinker

Machst du klick

Beitrag von **Stoebi** » Mi 13.Apr, 2005 06:26

Guten Morgen,

bei mir fand ich heute Morgen im Fehlerprotokoll ( Admin Error Log) folgenden Meldung:

Error ID: 2
User ID: Testuser 13.04.2005 04:26:44
Error: Allgemeiner Fehler
Errortext: Das verlangte Modul existiert nicht oder Sie sind nicht authorisiert darauf zuzugreifen.
SQL Code: 0
SQL Text: Line: 49 in File: .../phpbb2/admin/pagestart.php
SQL Store:

Testuser ist ein ganz normaler angelegter User ohne besondere Rechte.
Eben noch mal gegengeprüft. Kommt nichts ins ACP.

Seltsam.

CrackerTracker Log ist leer.

Gruß Stöbi

Beitrag von **volker58** » Mi 13.Apr, 2005 07:13

Ich erlaube cback, Angriffe auf mein Forum duchzuführen, um eventuelle Sicherheitslücken
aufzudecken.

http://www.papageien-welt.de und http://dimension.saab-cars.de

Beitrag von **Bootenks** » Mi 13.Apr, 2005 10:13

Da ich hoffwetnlich ncoh nicht zu spät komme... Darfst du auch bei mir mal gucken :'(

http://www.yami-knowledge.de

Dank dir im vorraus. ^^

Beitrag von **diegoriv** » Mi 13.Apr, 2005 14:58

ich will auch bitte, wenn noch zeit bleibt.

berge nichts als berge

danke

//edit: hab eben noch den crack_xtreme eingebaut. kann oder soll ich jetzt die 1.0.1 version, die ich in index, faq, login, search, viewtopic, .... eingebaut habe wieder rausnehmen?

Beitrag von **oxpus** » Mi 13.Apr, 2005 15:17

Ja, der alte sollte besser raus, stört aber auch nicht weiter.

Beitrag von **cback** » Mi 13.Apr, 2005 15:20

OK das hier waren dann mal vorerst die LETZTEN Boards die ich teste. Hier die Ergebnisse:

Nachtest: BLONDI

Nach dem Fix ist Dein Board nun auch wieder Sicher, Blondi.
Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

SanTic

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

Knallzapzerap

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

HINWEIS: Du hast auf die ctrack.txt des CrackerTrackers kein CHMOD 666 oder 777 gesetzt, daher funktioniert das Logging nicht. Die Angriffe werden abgewehrt, aber Deine Logdatei bleibt leer, da Du kein CHMOD draufgesetzt hast. Vielleicht ja absicht?!

LaraCroft

Dein Board ist SICHER MIT EINSCHRÄNKUNG auf bekannte Attacken.

Geprüft:

Exploit Angriff WARNUNG
SQL Injection WARNUNG
Cookie Faking SICHER
Autologin Bug SICHER

HINWEIS: Zwar ist Dein Board auf Exploit & SQL Angriffe ebenfalls geschützt, da Du auf die neue phpBB 2.0.13 aktualisiert hast, allerdings könnte eine solche DoS Attacke zum versuch SQL Befehle in Dein Forum einzuschleusen starker Datenverkehr aufkommen. Daher ist "WARNUNG" auch gelb geschrieben. Zwar könnte keiner so in Dein Board eindringen, doch ich empfehle Dir zum Schutz vor kommenden Würmern oder Attacken die Dein Board bremsen noch meinen CrackerTracker Mod einzubauen. Geht auch schnell

volker58

Beide Boards von Dir sind SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

Bootenks

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

diegoriv

Dein Board ist SICHER auf bekannte Attacken.

Geprüft:

Exploit Angriff SICHER
SQL Injection SICHER
Cookie Faking SICHER
Autologin Bug SICHER

@Stoebi

Kein Grund zur Besorgnis, das war keine Hackattacke, da hat nur sich jemand als Dein Testuser eingeloggt und hat versucht das ACP aufzurufen was ja nich geht

So und des warn dann die letzten Prüfungen

Beitrag von **blondi** » Mi 13.Apr, 2005 15:24

hättest dir bestimmt nicht träumen lassen...das cracken mal zum stress aus artet

die andere seite ist... nicht jeder darf legal cracken

Beitrag von **Markus Wandel** » Mi 13.Apr, 2005 15:28

Hi back,

wenn Dein Angebot noch steht würde ich dieses gerne annehmen und erlaube Dir hiermit mein Forum zu besuchen und Deine Test durchzuführen.

http://www.rocofa.de/phpBB2/index.php

bye
Markus