Hacker usw - Thema anzeigen

"hallo" schrieb der Provider, "ihr V-Server ist gehackt worden, wir mußten diesen zur Vermeidung weiterer Kosten runterfahren. "

2 Dinge fand ich, die es sein könnten:

Kontaktformular (der alte Trick mit den Gänsefüßchen evtl... )
phpBB

Man liest hier und da von gehackten phpBB, aktuell sind sogar schon PA Foren davon betroffen. Es muß da offensichtlich eine Hintertür geben die ungebetenen Gästen das Verwüsten des Webspace und Mißbrauch ermöglicht. Na toll !
Aber hier sind ja wahre Spezialisten dafür im Forum.
Meine Fragen.

phpBB ist als vollständig offene Source natürlich für Hinz und Kunz mißbrauchbar. Aber wie hackt man so ein Forum, welche Möglichkeiten bestehen um es dagegen abzudichten?
Es soll derweil sogar schon Viren und Würmer geben die über phpBB arbeiten. Ich vermute über hochgeladene Dateien...
Besteht Sicherheit nun darin auf jeden Fall ein anderes Forum als phpBB zu verwenden, eines das nicht kommentiert ist?
Oder läßt sich phpBB mit zumutbaren Mitteln gegen solche Übergriffe abdichten?
Muß man phpBB auf separaten Webspace aufsetzen um V-Server nicht zu gefährden?
Fragen über Fragen...

Wer mit diesem Murk Erfahrungen hat melde sich bitte mit tollen Tips, dafür herzlichen Dank.

Ich bin da ziemlich ratlos.
Hab jetzt im Neubau des Webs ein par Dateien mit "tollen links" versteckt, wenn eine davon angesurft wird hab ich sofort Beleg über unbefugten Zugriff auf höchster Ebene. Abhilfe ist es aber nicht, nur Vorsorge.

Ein VServer hat eben den Nachteil dass er sich nunmal verhält wie ein echter Server und man dementsprechend auch für Administration und Update sorgen muss (da kann ich dann auch nur auf den Spruch der gelben Seiten verweisen).
Gleiches gilt für phpBB. Wenn eine Sicherheitslücke bekannt wird, wird die in aller Regel innerhalb von wenigen Tagen (teilweise Stunden) gefixt.

Ich hasse Crosspostings über mehrere Foren, aber naja...
Ist phpBB wirklich sicher?
So mache ich mein Board sicher
Mein Forum wurde gehackt, was nun?

Gruß, Dave

_________________
Ich mache KEINEN Support per PN, ICQ, E-Mail oder Teleofn
Meine Bibel-Community

phpBB ist leider kein Vorzeigekandidat, was Sicherheit anbelangt. Aufgrund der hohen Verbreitung und des oft umständlichen Einspielen von Updates (bei Verwendung von Mods und Themes teilweise wirklich unglaublich arbeitsintensiv!) lassen sich viele Administratoren dann etwas länger Zeit, die von Angreifern dann genutzt wird. Es liegt meiner Meinung nach in der 'Architektur' von phpBB und in der großen Verbreitung, weshalb hier gerne angegriffen wird...
Risikominimierung ist nur entweder durch Verzicht auf Themes und Mods, restriktive Sicherheitseinstellungen sowohl im Forum als auch am Server und schnellstmögliche Updates (noch am selben Tag!) oder aber durch Wechsel auf ein 'sichereres' Forum möglich.
Ein Angriff erfolgt oft über anfällige Codestücke, wie eine fehlerhafte Prüfung von Eingabedaten (auf Sonderzeichen, Länge oder ähnlichem). Aufgrund der Komplexität der Software ist eine umfangreiche 'Abdichtung' sehr aufwändig und zeitintensiv - die Entwickler sind teilweise nur damit beschäftigt...

Ich hatte auch mal das Problem, dass ich ein Update verpasst hatte und mir der Server-Admin zwei Tage später ein Ultimatum stellte: entweder von nun an noch am selben Tag updaten oder Sperrung des Accounts. Grund: 2 Rootkitattacken innerhalb eines Tages über eine phpBB-Sicherheitslücke. Da der Admin leicht paranoide Sicherheitsmaßnahmen getroffen hat, ist nichts schlimmeres passiert. (OpenBSD, chrooted V-Server, kein root/mehrere eingeschränkte 'root'-accounts, kein ftp, sftp/ssh-login nur mit hinterlegtem public-key usw.)
Hab dann phpBB wieder gelöscht, da das Forum ohnehin kaum genutzt wurde...

Greets,
N-Dee

Hallo Manuela, phpBB ist recht anfällig, wesentlich sicherer und komfortabler, und einen professionellen support, ist mit sicherheit http://www.vbulletin-germany.com/ kostet zwar einmalig 149€ aber es ist schon eine andere Liga. Wenn es sich um eine kommerzielle Seite handelt würde ich die Ausgabe nicht scheuen.

Alternativ und günstiger ist www.woltlab.de; obwohl es sicherheitstechnisch nicht allzu weit von phpBB entfernt ist es wesentlich einfacher vom handling, was updates betrifft.

was die erweiterungen angeht ist vbulletin ungeschlagen, wie ich finde.

ich bin nicht der php xperte doch konnte ich schon reichlich erfahrungen sammeln. ich würd wechseln

_________________
Alle sagten: Das geht nicht.
Dann kam einer, der wußte das nicht und hat's gemacht.

und einen professionellen support

Ist unser Support nicht professionell?

Gruß, Dave

_________________
Ich mache KEINEN Support per PN, ICQ, E-Mail oder Teleofn
Meine Bibel-Community

Dave hat geschrieben:

und einen professionellen support

Ist unser Support nicht professionell?

Gruß, Dave

*grübel* ... hast du das phpBB geschrieben, oder warum sprichst du von unser?

verstehe ich nicht???

Gruß

Marco

_________________
Alle sagten: Das geht nicht.
Dann kam einer, der wußte das nicht und hat's gemacht.

Ich bin im deutschen phpBB-Team.

Gruß, Dave

_________________
Ich mache KEINEN Support per PN, ICQ, E-Mail oder Teleofn
Meine Bibel-Community

ich hab mir nun überlegt das phpBB auf einem separaten Webspace einzuparken und dann einfach einzubinden, so müßte die Sicherheit des V-Servers eigentlich gehütet sein.
Ich such noch nach einem guten Weg um die MySQL zu kopieren.

phpMyAdmin, damit kannst Du ganz gut ein Backup ziehen und bigdump wieder aufspielen, wenn Du nicht vor einer DOS-Shell zurückschreckst, schau Dir mal die mysql.exe bzw. das entsprechende Linux-Derivat auf an.

Gruß, Dave

_________________
Ich mache KEINEN Support per PN, ICQ, E-Mail oder Teleofn
Meine Bibel-Community

wäre nicht auch ein XSS (Cross Site Scripting) Angriff möglich gewesen?

XSS ist wenn man die Url so verändert,dass in den Quelltext Scripte eimgefügt werden können.

Bsp: " index.php?id="