Hacker Info

phpBB2.de User Anmeldungsdatum: 06.08.2002 Beiträge: 1628 Wohnort: Hannover

Hi Leute,

Seit einiger Zeit ist eine Brasilische Gruppe aktiv. Sie hacken phpBB-Foren (http://www.zone-h.org/en/defacements).
Mein Forum hat es vorgestern getroffen. Seit dem haben es mehrere Hacker schon wieder versucht.
Sie hatten allesamt die IP 200.x.y.z
Usernames (Email) bei der Anmeldung:
affix (affix@linuxmail.org), lol (ejfef@fef.com), da (da@dada.com)
Ausserdem wurden diverse @linuxmail.org-Adressen verwendet.

Lasst uns hier eine Liste mit Informationen über diese Gruppe führen!

Gruss
/Holger

phpBB2.de User Anmeldungsdatum: 06.08.2002 Beiträge: 36 Wohnort: Delmenhorst

wurd auch gehackt:
gehackte seite:
http://www.zone-h.com/defaced/2002/11/03/www.maxisten.de/phpBB2
normale page:
www.maxisten.de

weitere "infos", die ich habe: website von denen: http://www.affix.kit.net
irc-kontakt: #affix auf irc.brasnet.org

bei mir benutzten sie die mailaddies: affix@hotmail.com, chorao_to@hotmail.com

edit: wollte mal betonen, dass die nichts "kaputt" gemacht haben. haben nur ein forum umbennannt und "verschoben" nötigung war es also nicht.

wirklich böse auf die bin ich nach meinem update nicht mehr auf die. besser einer hackt mein forum so und zeigt mir die sicherheitslücken, alsdass einer da daten zerstört oder so.

war fahrlässig von mir nicht auf phpBB 2.03 upzudaten.. nach dem update weiß ich, dass es eigentlich nen kleiner aufwand war. also sowas passiert mir bei der website nicht mehr.

Hallo,

nachdem das schon der 2te Fall ist, mach ich dieses Thema mal "wichtig"..
Wisst ihr schon, wie sie bei euch eindringen konnten. Habt ihr euren Adminbereich mit .htaccess geschützt?

Gruß Tom

phpBB2.de User Anmeldungsdatum: 06.08.2002 Beiträge: 1628 Wohnort: Hannover

Ich habe keine Info wie sie das geschafft haben!
Ich glaube der Fehler war einfach, dass ich nicht auf 2.0.3 upgedated hatte.

Ich hatte kein htaccess. Jetzt habe ich.
Habe im htaccess vorläufig auch alle 200.x IPs geblockt.

Weiter habe ich festgestellt, dass sehr viele Besucher durch die Suche "phpbb 2.0.0" durch die Suchmaschinen zu mir kommen (alleine schon über 150 Mal in diesem Monat).
Habe schon mit dem gedanken gespielt, den Seitenfuss einfach auf 2.0.3 oder 3.0.0 zu ändern, damit da keine Hits mehr herkommen ...

Mittlerweile habe ich mich an die Arbeit gemacht, auf 2.0.3 aufzudaten, nur habe ich über 20 MODs installiert ... das macht das ganze MÜHSELIG!

/Holger

Hallo Leute,

hab mal ein kleines Tut im FAQ-Bereich geschrieben.
Das Programm wurde von mir getestet und hat bestanden. Ich kann nur jedem raten, zumindest seinen Adminbereich mit .htaccess zu schützen.

Auch eine anfällige Quelle für Hackerangriffe ist der GenderMod, wie ihr ja vielleicht wisst. Auch darüber steht was in der FAQ..

Gruß Tom

phpBB2.de User Anmeldungsdatum: 06.08.2002 Beiträge: 1628 Wohnort: Hannover

Hi!

Danke für den Generator!

Wenn Du Dir mal die Liste bei http://www.zone-h.com anschaust, wirst Du feststellen, dass schon viele Boards gehackt wurden ...

Gruss
Holger

phpBB2.de User Anmeldungsdatum: 22.09.2002 Beiträge: 64 Wohnort: Germany

Danke für die Informationen und werde mich auch gleich an die Arbeit machen !! Da ich gerade meine Beiträge von V2.01 auf V2.03 Transferiere werde ich gleich noch diese HTACCESS miteinbauen !! Hmmm, alle Verzeichnisse auf 777 setzen ?? Ist doch ein Risiko ?? Oder kann man die nach der Änderung mit dem besagten File wieder auf 644 zurücksetzen ??

Wie sieht es mit Bildern aus ?? Man sollte die nur betrachten können aber nicht herunterladen ?? Das geht doch auch irgendwie mit dieser HTACCESS-Datei ??

phpBB2.de User Anmeldungsdatum: 22.09.2002 Beiträge: 64 Wohnort: Germany

Ist es normal das die erweiterte LOGIN-Abfrage beim betreten des ADMIN-Bereiches nur beim ersten Mal auftaucht und dann nicht mehr ?? Wer BOARDS wie das Invision-Board kennt, wird wissen das sich selbst der ADMIN bei jedem einloggen neu mit Password einloggen muß !!

Habe auch alle Cookies gelöscht, es kam aber trotzdem kein weiterer LOGIN-Screen nach dem ersten mal mehr !!

Ist das richtig ??

Gibt es die Möglichkeit einzelne Foren auch damit zu schützen, da ja diese nicht in einem gesonderten Verzeichnis liegen ??

phpBB2.de User Anmeldungsdatum: 06.08.2002 Beiträge: 1628 Wohnort: Hannover

TRANSWARP hat folgendes geschrieben:

Wie sieht es mit Bildern aus ?? Man sollte die nur betrachten können aber nicht herunterladen ?? Das geht doch auch irgendwie mit dieser HTACCESS-Datei ??

Hi!
Schau Dir mal
http://www.javascriptkit.com/howto/htaccess.shtml
an. Dort habe ich alle Infos bekommen die ich brauche.

Gruss
/Holger

phpBB2.de User Anmeldungsdatum: 27.08.2002 Beiträge: 192

Hi,

schau dir mein Beitrag hier

Am besten folgende Ordner: admin, db, include mit .htaccess schützen.

Gruß
BOGIE

TRANSWARP hat folgendes geschrieben:

Ist es normal das die erweiterte LOGIN-Abfrage beim betreten des ADMIN-Bereiches nur beim ersten Mal auftaucht und dann nicht mehr ?? Wer BOARDS wie das Invision-Board kennt, wird wissen das sich selbst der ADMIN bei jedem einloggen neu mit Password einloggen muß !!

Habe auch alle Cookies gelöscht, es kam aber trotzdem kein weiterer LOGIN-Screen nach dem ersten mal mehr !!

Ist das richtig ??

Gibt es die Möglichkeit einzelne Foren auch damit zu schützen, da ja diese nicht in einem gesonderten Verzeichnis liegen ??

Hi,

Bei .htaccess-Abfragen, muß man sich nur einmal authentifizieren solange der Browser geöffnet ist, wird dieser geschlossen, ist auch die Browser-ID ne neue, demnach muß sich neu authentifiziert werden.

Eine andere alternative, wäre es eine AUTH-Abfrage direkt über PHP zu verwirklichen. (Sollte der eine oder andere Server kein .htaccess unterstützen)

@Bogie:

Meinst du es wäre wirklich ratsam /db, /include "wegzusperren" ??
Demnach müßte sich jeder Benutzer via .htaccess authentifizieren...glaub nicht das dies gewollt ist.
Zum anderen frag ich mich wieso überhaupt ?

Die Files sind Standalone nicht ausführbar, und zum anderen liegen in den verzeichnissen noch index.html files mit entsprechender Weiterleitung.

Übrig bleibt letztenendes auch wieder nur /admin welches mit .htaccess zu schützen ist, da dort die einzigst ausführbare Datei (index.php) liegt. Wobei hier ein Login erscheint, welcher sicher recht einfach zu umgehen ist.

Nur mit .htaccess geschützte verzeichnisse sind auch nicht unbedingt sicherer. Wenn jemand daherkommt und rein will, der schafft das früher oder später auch!!

@Transwarp nochnmal:
Es ist nur das zu schützende Verzeichniss auf 777 zu setzen WÄHREND du access.php ausführst, damit in diesem Verzeichniss .htaccess und .htpasswd abgelegt werden können. Danach kannst Du es problemlos wieder auf 644 setzen.
Das imageverzeichniss auf 644 setzen, um die Bilder vor download zu schützen ist Käse weil:

1.) Kann man die Bilder via rechtsklick -> Bild speichern unter auch bekommen.
2.) Können die Benutzer des Forums dann keine Avatare mehr hochladen
3.) Kann man dort wo NUR Bilder liegen eh keinen schaden anrichten Wink

So das wars von mir....

Gruß,
Anti M&M

phpBB2.de User Anmeldungsdatum: 22.09.2002 Beiträge: 64 Wohnort: Germany

Danke für Eure Tips Und mittlerweile habe ich auch gesehen das es wunderbar funktioniert !!

Zu der Bilder-Sache: Es gibt diverse Scripte mit denen man die ganze rechte Maustaste lahmlegen kann und auch alle Browser-Cache Dateien löschen kann, da er ja die Bilder auch zwischen speichert !!

Ich wollte lediglich einige meiner Kreationen die in einem gesonderten Verzeichnis liegen schützen denn keiner hat es gern wenn alles über das Internet verstreut wird !! Jedoch wenn man auf diesem Server wo man es ablegen will kein PHP hat um die Datei auszuführen ?? Also muß ich Sie doch wohl auf dem FORUM-Server mitablegen !!

mh...die Scripte sind die eine Sache, geht aber alles mit JavaScript. Mit einem Browser bei dem JavaScript abgeschalten ist, geht das dann auch wieder.

Vorteilhafter wäre doch aber, deine Kreationen, weiß ja nicht wie unfangreich die sind, schützen zu lassen, und wenn du das Bild irgendwo anders wiederfindest kannst du rechtlich dagegen vorgehen, und kassierst zu dem auch noch ordentlich Kohle *g*

ODER, leg se eben nicht auf dem Forenserver ab. Oder sollen diese Bilder als Avatar angezeigt werden ??

Gruß,
Anti M&M

phpBB2.de User Anmeldungsdatum: 27.08.2002 Beiträge: 192

Anti M&M hat folgendes geschrieben:

@Bogie:z

Meinst du es wäre wirklich ratsam /db, /include "wegzusperren" ??
Demnach müßte sich jeder Benutzer via .htaccess authentifizieren...glaub nicht das dies gewollt ist.
Zum anderen frag ich mich wieso überhaupt ?

Die Files sind Standalone nicht ausführbar, und zum anderen liegen in den verzeichnissen noch index.html files mit entsprechender Weiterleitung.

Übrig bleibt letztenendes auch wieder nur /admin welches mit .htaccess zu schützen ist, da dort die einzigst ausführbare Datei (index.php) liegt. Wobei hier ein Login erscheint, welcher sicher recht einfach zu umgehen ist.

Nur mit .htaccess geschützte verzeichnisse sind auch nicht unbedingt sicherer. Wenn jemand daherkommt und rein will, der schafft das früher oder später auch!!

Hi,

irgendwo habe ich es gelesen das man auch die /db und /include schützen soll.

=> wieso muss sich jeder Benutzer via .htaccess authentifizieren?

Zitat:

Nur mit .htaccess geschützte verzeichnisse sind auch nicht unbedingt sicherer. Wenn jemand daherkommt und rein will, der schafft das früher oder später auch!!

glaube ich nicht.

Gruß
BOGIE

phpBB2.de User Anmeldungsdatum: 06.08.2002 Beiträge: 48

Anti M&M hat folgendes geschrieben:

Meinst du es wäre wirklich ratsam /db, /include "wegzusperren" ??
Demnach müßte sich jeder Benutzer via .htaccess authentifizieren...glaub nicht das dies gewollt ist.
Zum anderen frag ich mich wieso überhaupt ?

Die Dateien im Admin-Bereich sollte man auch nicht ohne Authorisierung aufrufen können 8und genau so werden nun alle .0.0er gehackt) ... Gerade das macht ja eine Sicherheitslücke aus. Wink

btw: Man kann auch eine .htaccess mit "denx from all" in /db und /include setzen, also alle webserverzugriffe aussperren. Denn die Dateien müssen NIE durch den apache. Auf den PHP-parser hat das keinen Einfluß. Das FOrum läuft also weiter wie gehabt.