[phpBB] Einbruch
 

Hallo,

habt ihr auch diese Nachricht bekommen? :(

Re: [PHP] Einbruch
 

Moin, jupp.

Aber falls du dir Sorgen um ein phpBB machst, das du installiert hast, sind diese unbedenklich. Das wurde dort auch irgendwo erwähnt.
Ich glaube auch kaum, dass jemand versucht, per Bruteforce von einem 0815-Benutzer, wie wir es sind (du weißt, was ich meine), ein funktionierendes Passwort zu ermiteln. Klar, die Gefahr besteht.

Das Passwort, das ich dort habe, nutze ich zum Glück nur in diversen, weniger wichtigen Foren.

Grüße

Edit: Dein Titel muss übrigens [phpBB] und nicht [PHP] heißen. ;)

Re: [PHP] Einbruch
 

Hallo Matze,

ich habe zumindest einmal mein Passwort des dort angegebenen eMail accounts geändert. :stupid:

Re: [phpBB] Einbruch
 

Hi Albert,

Tatsache, bei GMX hatte ich das gleiche PW. :shock:

Nun habe ich's geändert und auch promt vergessen, welche Sonderzeichenkombination ich eingegeben hatte. Beim Link "Passwort vergessen" muss ich die alternative E-Mail-Adresse angeben und ich weiß nicht mehr, welche das war. Meine gängigen sind es anscheinend nicht. Naja, nicht mal mehr der Besitzer dieser E-Mail-Adresse kommt mehr ans Postfach, also sind die Daten sicher. :mrgreen:

Edit: Hm irgendwie regt mich das nun schon auf. Wieso hab ich auch so wild die Sonderzeichen eingegeben (bei der wiederholten Eingabe konnte ich sie noch) und bei der FF-Speichernachfrage der Benutzerdaten "Diesmal nicht" angeklickt... :?
Ich werde langsam wirklich alt, hab eich den Eindruck, das ist meine einzige 100%-Spam-Adresse und die brauche ich doch. *g*

Re: [phpBB] Einbruch
 

Hallo Matze,

:duck: ich hatte dort dasselbe Passwort wie hier und der Benutzernahme ist sehr ähnlich. Nicht auszudenken, wenn hier irgend so eine Mütze mit Moderatorrechten rumtobt. Habe deshalb auch hier mein Passwort geändert. :cheer:

Re: [phpBB] Einbruch
 

Oha, na dann ist ja nochmal alles gut gegangen.
Wenigstens kannst du dir dein neues Passwort merken. :mrgreen:

Re: [phpBB] Einbruch
 

Tztztz, wer benutzt auch heute noch MD5 :drunken: . Aber durch den Salt kann doch quasi überhaupt nichts passieren, solange die DB nicht von jemandem gestohlen wurde, der gerade euch im Visier hat ;) . Ehm... bitte, bitte erzählt mir jetzt nicht, phpBB benutze gar keine Passwort-Salts :duck: .

Re: [phpBB] Einbruch
 

phpbb2 nicht, nach allem was ich weiß, ist mir zumindest nie einer übern weg gelaufen. wenns phpbb3 nicht hätt', würd mir auch schwindlig werden, aber soweit ich das sehen konnte, verwenden die phpbb2 auf phpbb.de...

Re: [phpBB] Einbruch
 

jaja, wenn man schon ein Board erstellt und das nicht fixxt/fixxen kann, dann sollte man es sicher machen.


Kleiner Tipp in der login.php einfach den Md5 gehashten HASH wieder md5 hashen .. das ein paar mal das auch inner reg.php und inner db (wenn das Forum schon existiert [USERS HAT])

MFG Berlinermauer

Re: [phpBB] Einbruch
 

Verleumdung! :wink:

Re: [phpBB] Einbruch
 

jaja, wenn man schon keine Ahnung hat, sollte man einfach mal die Fresse halten. Is so.

Der Einbruch erfolgte durch eine andere Applikation als das phpBB selbst. Ich finds lustig, dass das phpBB die Ursache ist, sobald ein phpBB aufm Server laeuft. Schonmal dran gedacht, dass es auch ne Luecke in einer anderen Applikation sein koennte? Beim grossen Angriff auf phpbb.com vor 2 Jahren wars ein Statistik-Tool, das als Einfallstor diente. Wenn mir ein Statistik-Tool Shell-Zugriff aufm Server gibt, dann ist es ne Leichtigkeit an die Daten zu kommen....

Greetz
alcaeus

Re: [phpBB] Einbruch
 

Hallo,

es ist richtig, dass es nicht am phpBB selbst lag.

Ich denke, Berlinermauer meint den Hashalgorithmus MD5, denn wenn man den Hash hat und weiß, dass es mit MD5 gehasht wurde, kann man günlige passwörter generieren. Daher meint er, solle man den Hashalgorithmus modifizieren, dass man anhand des Hashs nicht so leicht auf die Passwörter schließen kann.
Das hätte phpBB.de natürlich machen können, doch da würde ich phpBB keinen Vorwurf machen. Ich bin überzeugt davon, dass die meisten phpBB-Foren den Algorithmus nutzen, der beim phpBB standardmäßig dabei ist (vielleicht auch die DP?). Ein Fehler kann immer mal passieren, wir sind alle nur Menschen.

Und ich finde es schon toll, dass die Leute von phpBB.de diesen Angriff so schnell bemerkt haben (ich würde dies vermutlich nicht so schnell bemerken) und auch sofort alle registrierten Benutzer darüber informierten. Wer überall das gleiche Passwort nutzt, ist selbst Schuld und wenn er dies doch tut, so hat er nun die Möglichkeit, die Passwörter anzupassen, also ist doch alles in Ordnung. Es ist zusätzlich immer Sache des Benutzers, selbst auf die höchstmögliche Sicherheit zu achten.

Gruß

Re: [phpBB] Einbruch
 

naja, das ganze zu salzen, ist ein nicht schwieriger patch, der bei jedem minor update mit maximal 10 zeilen in der upgrade.php eingeschlossen hätte werden können. da kann man den phpbblern also doch ein mittelschweres versäumnis unterstellen.

ich muss gleich mal schauen, wie das beim phpbb3 ist...

Re: [phpBB] Einbruch
 

Naja ganz so einfach ist die Sache aber nicht. Auch wenn zB. ein Statistiktool das Ausspionieren ermöglichte so muß man sich denoch fragen warum eine Serversoftware im Umgang mit Benutzerdaten so unsicher ist das man relativ einfach nach einem Diebstahl der Passwortdatenbank diese offline knacken kann. Es liegt also meiner Meinung nach sehr wohl an phpBB wenn meine Passwörter knackbar sind. Kryptographisch betrachtet weiß man schon seit vielen Jahren wie ein sicheres Loginsystem zu konstruieren ist ohne das man bei gestohlener Login Datenbank was damit anfangen könnte. Man könnte also zumindest "unterlassene Hilfestellung" unterstellen da phpBB nicht nach annerkannten Regeln die Accountdaten geschützt hat. Eine einfache Verschlüsselung der kompletten Daten und live Entschlüsselung während der Laufzeit mit einem Passwort im Speicher hätte schon einiges bewirkt, und das ist noch nichtmal eine kryptographisch sehr gute Lösung. Andererseits könnte man auch den Benutzern des Forums einen Vorwurf machen, immer nur ein Passwort pro Login benutzen und nicht immer das gleiche Passwort für verschiedene Logins. Das verhindert aber nicht das man an die eigene EMail Addresse und sonstwelche Benutzerinformationen rankommt, ergo sollte die phpBB Sicherheit erstmal verbessert werden.

Man muß immer davon ausgehen das der Server kompromittiert wird bzw. das der Server selber der Angreifer sein könnte.

Gruß Hagen

Re: [phpBB] Einbruch
 

Nein, ist es nicht. Sobald die Passwoerter erstmal gespeichert sind, bringt nachtraegliches Salten nichts mehr; es sei denn du hashst das bereits gehashte Passwort nochmal mit Salt, was aber wiederum die permanente Anwesenheit von Update-Code erfordert bis jedes Mitglied sein Passwort neu eingegeben hat.

AFAIK wird beim phpBB3 gesaltet.

Greetz
alcaeus

Re: [phpBB] Einbruch
 

Ich werde innerhalb der nächsten sieben Tage noch sehr viel mehr zum Thema vBulletin schreiben, aber habe eben nachgesehen: Das vBulletin gibt jedem User sein eigenes "Salt" zum Passwort. Das stellt also schonmal eine Verbesserung dar.

Re: [phpBB] Einbruch
 

oh, hast recht. sorry.

Re: [phpBB] Einbruch
 

Das Ganze hat größere Auswirkungen:

(1) SMF-Portal.de :: "Benutzerdaten ausspioniert!"
http://www.smfportal.de/index.php?topic=2832.0
(Support-Forum zur Foren-Software "SimpleMachines")

(2) Woltlab.de :: "Einbruch in die Foren-Datenbank"
http://www.woltlab.de/forum/index.ph...hreadID=129164
(Offizielles Hersteller-Forum Foren-Software "Woltlab Burning Board")

Gemein bei Woltlab ist, dass auch die Datenbank des Support-Tickers geklaut wurde. Dort sind u.a. die Zugangsdaten (sei es FTP, SSH oder Admin-Zugänge) zu den Kundenservern hinterlegt, soweit diese für eine Support-Anfragen nötig waren.

und natürlich (3), der Einbruch bei phpBB.de, den MrSpock bereits berichtet hat.

:shock:

Re: [phpBB] Einbruch
 

Meine Güte. :shock:

Was auch verantwortungslos ist: Ich habe mich soeben bei der 1und1 und der SonyEricsson-Website eingeloggt und zuvor auf den Passwort-Vergessen-Link geklickt. Per E-Mail erhalte ich dann das Passwort, das ich damals eingegeben hatte, im Klartext!
Wenn da mal so etwas passiert, ist das ja noch schlimmer ...
Und das sind sicher nur 2 von ganz vielen Websites.

Re: [phpBB] Einbruch
 

Das selbe ist mir gestern bei lokalisten.de passiert :?

Was aber die ganze Einbruchssache noch bedenklicher macht: Die erhaltenen Informationen werden zum Verkauf angeboten (Quelle und Verkaufsangebot) :shock:

greetz
Mike

Re: [phpBB] Einbruch
 

:shock: OOh, ja, das war nicht persönlich gemeint. :mrgreen:

Re: [phpBB] Einbruch
 

Derjenige bekommt dann wahrscheinlich die Ohren lang gezogen. :mrgreen:

Re: [phpBB] Einbruch
 

Wie ich gehört habe waren weder Fehler im Server noch in der Boardsoftware Schuld. Es wurde social engineering verwendet. Bei der Datenbank von Woltlab weiß ichs nicht genau ..

Link:
http://www.picload.org/image/e2821f8...e4/h4ckyou.png

Re: [phpBB] Einbruch
 

Social engineering? Der Admin wurde überredet, einen Datenbank-Dump rauszurücken? :wiejetzt:

Re: [phpBB] Einbruch
 

Das Umfeld des Admins wurde unter die Lupe genommen und daraus wurden mögliche Passwörter extrahiert - und eines davon hat scheinbar gestimmt, vielleicht der Name seines Hundes ;)

Re: [phpBB] Einbruch
 

Es wird demnächst eine ausführliche Stellungnahme auf phpBB.de geben, in der die Lücke erörtert wird. Der Angreifer hatte übrigens keinen Zugriff auf einen Administrator-Account bzw. das Admin-Panel. :wink:

Re: [phpBB] Einbruch
 

noch nicht

ich verlinke jetzt die Bilder Zacherls Screenshot

1
2
3
4

Re: [phpBB] Einbruch
 

Re: [phpBB] Einbruch
 

Ich verkneife mir jetzt die im Internet ueblichen Begriffe wie "ROFL", "LOL", usw., sondern sag es schlichtweg so: der Smiley hinter dem "Social Engineering" duerfte wohl alles sagen. Der Verkauf dieser Daten liegt je nach Verkaufsland in einer rechtlichen Grauzone wenn die Daten legal beschafft wurden, und ist absolut strafbar wenn die Daten illegal beschafft wurden. Von daher wird wohl niemand zugeben, dass er die Daten geklaut hat. Kurzum: an Datenbank-Dumps kommt man nicht per Social Engineering.

Greetz
alcaeus