Zweite Hackangriff auf unser Forum

[Diggi]

Deine phpBB Version: phpBB2 Plus 1.5.2
MODs: Nein
Dein Wissensstand: Einsteiger
Link zu Deinem Forum: [url]http://[/url]

PHP Version:
MySQL Version:


Was hast Du gemacht, bevor das Problem aufgetreten ist?



Was hast Du bereits versucht um das Problem zu lösen?




Fehlerbeschreibung und Nachricht

Zweite Hackangriff auf unser Forum

Version phpBB2 Plus 1.52 2.0.11.

Nach dem ersten Angriff habe ich alle Forumsdaten sowie die Datenbank
vom Server gelöscht. Dann alles von der letzten Sicherung wieder hochgeladen.

Habe mir dann von phpBB2 die Updates 2.011 to ...12, bis ..to 2.0.17 besorgt.
Mein erster Update versuch, 2.0.11 auf 2.0.12 ging nicht.
Darauf habe ich das einzige Plus Update was es gibt,
phpBB_Plus_1.5.2_core_2012, besorgt und eingebaut.

Dann ist mir noch dieses unter gekommen, habe ich auch gleich
verbaut. "2.0.13 released Critial Update".
Klick hier
Weiß jemand ob das Sinnvoll war oder nicht?.


Bevor ich es einbauen konnte hatten wir aber gestern den zweiten Hackangriff.
Diesmal war der Hacker im Adminbereich und hat sich auch den Admin
gegriffen.
In Zukunft möchte ich den Admin - Acount nicht mehr aktiv in der
Mitgliederliste haben.

Wenn das Board wieder online geht wird es haben:
Version 2.0.12.
(2.0.13 released Critial Update)
Wurmblocker, (schon seit Januar)
Sicherheitspatsch in der bbcode.php

Reicht das, oder muss ich Updaten bis 2.0.17 ?. Wobei es für die
Plusversion ja nur das 2.0.12 Update gibt.

2.
Ich möchte den Admin-Acount nicht mehr in der Mitgliederliste haben.
Welche Möglichkeiten gibt es für mich selbst, mir die Adminrechte wieder
zu geben?.

3.
Das Passwort der Datenbank steht in Klarschrift in einer ...php Datei. Was nutzt
denn die Passwort Änderung wenn dort alles steht?.
Oder ist diese Datei sicher vor Spionage?.

Viele Grüß
Diggi

[oxpus]

1. Unbedingt alle Updates bis zur 2.0.17 machen. Nur dadurch werden alle bislang bekannten Sicherheitslücken geschlossen.

2. In der Mitgliederliste sind SQL-Abfragen drinnen. Füge diese Bedingng zusätzlich ein, um den Admin auszugrenzen:

Code: Alles auswählen

AND user_id <> 2

Dazu auch diese SQL-Anweisung mit phpmyadmin ausführen, um Dich wieder zum Admin zu machen:

Code: Alles auswählen

UPDATE user_level = 1 WHERE user_id = 2;

Wichtig: Mach das erst, wenn Du Dein Board komplett aktualisiert hast. Sichere jetzt erstmal solange die Datenbank und sperre das Board.

3. Solange Du diese Datei weder per Browser noch per Download Manager öffnen und damit den Inhalt lesen kannst, was ja in der Regel nicht geht, ist dieses sicher. Wenn Du dennoch sicherer sein willst, installiere diesen MOD zusätzlich: http://www.phpbbhacks.com/download/4572
Und vielleicht noch diese hier, bei Gefallen:
http://www.phpbbhacks.com/download/3539
http://www.phpbbhacks.com/download/4478

[Diggi]

Danke Dir schon mal für die schnelle Antwort.

Zu Punkt 1.
Dann werde ich mal den steinigen Weg machen und das Board vorher
auch nicht wieder zugänglich machen. Wenn dann nur ganz kurz um
erforderliche Änderungen machen zu können.

Frage 1.
Kann ich alle Updates bis 2.0.17 abarbeiten ohne dazwischen das Board,
bzw. die Datenbank, mit „update_to_latest.php“ zu aktualisieren?.
Oder muss ich nach jedem Update auch „update_to_latest.php“ ausführen?.

Frage 2.
Ich habe nun das Board in einem anderen Verzeichnis auf dem Server.
Denke das dadurch Automatische Angriffe erschwert werden.
In welcher Datei ist die Pfadangabe zu finden?.
Oder kann ich das nur in einem lauffähigen Board im Adminbereich
ändern?.


Zu Punkt 2.
Ist für mich im Moment nicht so klar.
Wenn ich das richtig verstanden habe muss das in die Datenbank
Eingefügt werden, und der zweite Code bei gebrauch ausgeführt werden.
Keine Ahnung wie ich das machen muss.


Zu Punkt 3.
Danke für die Links.
Da werde ich mich später ranmachen und wenn ich was nicht verstehe
werde ich mich dazu melden.

Also noch einmal vielen Dank und viele Grüße
Diggi

[Scotty]

Ich würde den Adminbereich, also das Verzeichnis noch zusätzlich mit einem (.htaccess / .htpasswd) Schutz versehen, hab ich jedenfalls gemacht und hier natürlich andere Daten angegeben als für meinen Useracount selbst.

[oxpus]

Zu 1: Nein, am Ende das DB-Update reicht. Es wird dann alles automatisch erkannt und ausgeführt.

Zu 2: Du kannst das auch in der Datenbank selber. Zu finden ist die Angabe in der Tabelle phpbb_config und dort mit dem Eintrag "script_pfad".
Kannst Du z.B. mit phpmyadmin anpassen.

Zu Punkt 2: Öh, nein. Folgendes:
In der Datei memberlist.php sind SQL-Anweisungen enthalten. Das wären die beiden:

Code: Alles auswählen

$sql = "SELECT username, user_id, user_viewemail, user_posts, user_regdate, user_from, user_website, user_email, user_icq, user_aim, user_yim, user_msnm, user_avatar, user_avatar_type, user_allowavatar 
	FROM " . USERS_TABLE . "
	WHERE user_id <> " . ANONYMOUS . "
	ORDER BY $order_by";

und

Code: Alles auswählen

	$sql = "SELECT count(*) AS total
		FROM " . USERS_TABLE . "
		WHERE user_id <> " . ANONYMOUS;

Bei der ersten fügst Du nach der Zeile mit dem WHERE... o.g. Zeile mit der Bedingung

Code: Alles auswählen

AND user_id <> 2

ein, um den Haupt-Admin, also Deinen Accoutn auszuschliessen oder

Code: Alles auswählen

AND user_level <> 1

um alle Admin-Accounts auszuschliessen.
Das gleiche auch in der 2. SQl-Anweisung, allerdings musst Du das so einbauen:

Code: Alles auswählen

		WHERE user_id <> " . ANONYMOUS . "
				AND user_id <> 2";

bzw.

Code: Alles auswählen

		WHERE user_id <> " . ANONYMOUS . "
				AND user_level <> 1";

Bedeutung wie bei der ersten Abfrage.
Den UPDATE-Befehl musst Du mit phpmyadmin ausführen. Das ist das Tool, das die meisten Hoster Ihren Kunden zur Verfügung stellen, um die Datenbank verwalten zu können. Dort findest Du einen Link mit der Beschriftung "SQL", um das Eingabeformular für SQL-Anweisungen anzeigen zu lassen. Dort ist dieser Befehl einzutragen und mit "OK" auszuführen.

Zu Punkt 3:
Kein Problem. Ich laufe ja nicht weg.