phpbb.com offline

Discussieer hier over alles rondom phpBB.
Forumregels
LEES: Algemene Voorwaarden. Dit forum is niet voor technische vragen!
pcexpert
Berichten: 126
Lid geworden op: 12 jun 2008, 20:03

phpbb.com offline

Bericht door pcexpert » 01 feb 2009, 16:22

ligt het aan mijn internet of is phpbb.com offline ?
hier de link van het forum waarover ik het heb...

Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20234
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:

Re: phpbb.com offline

Bericht door Paul » 01 feb 2009, 16:30

phpBB.com is offline ja.

Verplaats naar phpBB discussie.

Rove
Berichten: 37
Lid geworden op: 22 jan 2006, 15:09

Re: phpbb.com offline

Bericht door Rove » 01 feb 2009, 17:22

Heeft er misschien niets mee te maken, maar vanochtend zat er een mail in mijn box afkomstig van phpbb@phpbb.com die als volgt begon:
Email verwijderd
Ben wel benieuwd of dit waar is of een nieuwe vorm van spam...
Laatst gewijzigd door Paul op 01 feb 2009, 19:53, 2 keer totaal gewijzigd.
Reden: Urls verwijderd.

Erik Frèrejean
Berichten: 194
Lid geworden op: 02 apr 2008, 19:29

Re: phpbb.com offline

Bericht door Erik Frèrejean » 01 feb 2009, 17:26

Rove:
Die e-mail is helaas waar. Via een exploit in PHPList is de phpbb.com server gehacked. Alle *.phpbb.com sites zijn uit voorzorg uit de lucht gehaald.
Zie ook de topic titel in het #phpbb IRC kanaal:
*** Topic for #phpbb: We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation. phpBB.com and related sites will remain unavailable while we work to recover. No new vulnerabilities have been found in the phpBB software itself. | phpBB 3.0.4 available from http://www.ohloh.net/p/phpbb/download | Support available from this IRC channel | We apologise for the inconvenience
Proud member of the phpBB Afbeelding

Erik Frèrejean
Berichten: 194
Lid geworden op: 02 apr 2008, 19:29

Re: phpbb.com offline

Bericht door Erik Frèrejean » 01 feb 2009, 23:17

FYI: Een korte samenvatting van de gebeurtenissen van vandaag zijn nu te vinden op phpbb.com. Let er op dat je mogelijk je DNS cache moet vernieuwen om de pagina te zien. Tevens is er een tijdelijk support forum op area51.phpbb.com op gezet.

~ Erik Frèrejean
phpBB Support Team
Proud member of the phpBB Afbeelding

Insomnia
Berichten: 277
Lid geworden op: 15 apr 2006, 20:52
Contacteer:

Re: phpbb.com offline

Bericht door Insomnia » 02 feb 2009, 13:48

Handig he dat phplist software :D
Binnenkort Phpbb2Support.nl ! voor al je problemen/mods etc voor Phpbb2

We zoeken nog leden !!

Erik Frèrejean
Berichten: 194
Lid geworden op: 02 apr 2008, 19:29

Re: phpbb.com offline

Bericht door Erik Frèrejean » 02 feb 2009, 16:22

Ik meen dat de officiële mededeling met betrekking tot de hack hier nog niet gepost was daarom dus hierbij:
Marshalrusty schreef:As you may already be aware from the message on phpBB.com or the topic in the #phpBB channel on Freenode, we have recently been attacked via a vulnerability in an outdated PHPList installation. It is important to stress that no vulnerabilities have been found in the phpBB software itself.

We took area51.phpBB.com down along with phpBB.com to ensure integrity and prevent further damage. While we actively work to bring phpBB.com back online, we would also like to inform you of the damage that has been done.

The attacker gained entry through the PHPList application and was able to dump a complete backup of the emails on file. He then used the same exploit to access the phpBB.com database. Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.

phpBB3 uses a complex hashing algorithm in order to prevent someone from determining the plaintext value of a password. phpBB2, however, used a much simpler and less secure md5 algorithm to store passwords. This is one of the many reasons why we have decided to no longer support the phpBB2 software. Because hashes cannot be reversed, phpBB3 is set to convert phpBB2 hashes to the new phpBB3 standard during the first user login. Those users who registered while phpBB.com used phpBB2 and did not login on the new phpBB3 board continue to have their password hashes stored in the old format. Passwords stored in the old format are much less secure than those stored in the new format. The attackers have been focusing purely on the passwords stored in the old format.

If the password to your phpBB.com account is used anywhere else (especially with the same username), we strongly recommend that you change it. Using the same password across multiple sites is not security wise and should not be done under any circumstance. Additionally, you should change your password on phpBB.com, when it becomes available.

We apologise that we allowed this to happen by not patching vulnerable software in time. This demonstrates how critically important it is to always make sure that you keep up to date with any software that is running on your machine. At this time, the team is working around the clock to restore phpBB.com and other resources.

Thank you,

- The phpBB Teams
Ik wil hier graag ook nog eens benadrukken dat als je op internet websites tegen komt die linken naar de gelekte data of wat dan ook met betrekking tot deze hack. Post deze dan niet in het openbaar, maar verstuur ze privé naar een phpbb.com team member. Er zijn er een aantal actief op dit forum dus dat moet goed komen (ik zelf, paul, Raimon en BartVB).

~ Erik Frèrejean
phpBB Support Team
Proud member of the phpBB Afbeelding

Gebruikersavatar
Johan
Berichten: 2376
Lid geworden op: 05 mei 2007, 15:24
Locatie: memberlist.php

Re: phpbb.com offline

Bericht door Johan » 02 feb 2009, 16:39

Nederlandse versie:
Zoals je waarschijnlijk al wel weet van het bericht op phpBB.com of de titel van het #phpBB kanaal in Freenode (IRC), zijn we onlangs gehacked door een lek in een verouderde versie van PHPList. Er zijn géén fouten gevonden in de phpBB software zelf.

We hebben area51.phpBB.com samen met phpBB.com offline gehaald om nog meer schade te voorkomen. Terwijl we hard werken om phpBB.com online te brengen, zouden we je ook willen informeren over de gedane schade.

De hacker heeft toegang geforceerd via de verouderde PHPList installatie, en daarmee was hij in staat een complete back-up van alle e-mailadressen op te slaan. Vervolgens gebruikte hij dezeflde manier om toegang te forceren tot de phpBB.com database. De e-maillijst van PHPList én de gebruikerstabel van de phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld

phpBB3 gebruikt een eigen, ingewikkelde methode om wachtwoorden gecodeerd op te slaan, om te voorkomen dat deze kunnen worden uitgelezen. phpBB2, daarentegen, gebruikt een MD5 codering, welke makkelijker, maar ook onveiliger is. Dit is ook één van de vele redenen dat we hebben besloten phpBB2 niet langer te ondersteunen. Omdat gecodeerde wachtwoorden niet teruggedraaid kunnen worden, slaat phpBB3 ze opnieuw op bij een eerste log-in in de nieuwe versie. Van de gebruikers die zich hebben geregistreerd op phpBB.com toen phpBB2 gebruikt werd, en niet meer zijn ingelogd sinds phpBB.com draait op phpBB3, is het wachtwoord nog in de oude codering opgeslagen. Deze wachtwoorden, opgeslagen in de oude codering, zijn minder goed beveiligd dat wachtwoorden in de nieuwe codering. De hackers hebben het voornamelijk gemunt op deze, slecht beveiligde, wachtwoorden.

Als je het wachtwoord, welke je op phpBB.com gebruikt, ook ergens anders gebruikt (en al helemaal met dezelfde gebruikersnaam), raden wij je aan deze te wijzigen. Dezelfde wachtwoorden gebruiken op verschillende websites is sowieso niet slim onder welke omstandigheden dan ook. Als laatste, we raden iedereen aan zijn/haar wachtwoord te veranderen op phpBB.com, wanneer deze weer online is.

Onze excuses dat dit heeft kunnen gebeuren, als gevolg van niet updaten. Dit is een goed voorbeeld dat je altijd de software die je gebruikt, moet updaten wanneer het kan. Momenteel werkt ons team dag en nacht om phpBB.com zo snel mogelijk weer online te kunnen zetten.

Bedankt voor jullie begrip,

- De phpBB Teams
Laatst gewijzigd door Johan op 02 feb 2009, 17:39, 1 keer totaal gewijzigd.
Voormalig Support Teamlid

Raimon
Berichten: 4397
Lid geworden op: 27 aug 2005, 12:59
Contacteer:

Re: phpbb.com offline

Bericht door Raimon » 02 feb 2009, 17:33

phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld
is echter incorrect.
En het staat er ook niet echt ;
Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
Dus in dit geval kan je beter niet van een mug een olifant maken, aangezien alleen de user tabel publieke is geplaatst en niet heel de database.

Gebruikersavatar
Johan
Berichten: 2376
Lid geworden op: 05 mei 2007, 15:24
Locatie: memberlist.php

Re: phpbb.com offline

Bericht door Johan » 02 feb 2009, 17:39

Gewijzigd.
Voormalig Support Teamlid

svenn
Berichten: 5001
Lid geworden op: 14 jul 2004, 13:00
Locatie: Kortrijk
Contacteer:

Re: phpbb.com offline

Bericht door svenn » 03 feb 2009, 10:16

Raimon schreef:
phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld
is echter incorrect.
En het staat er ook niet echt ;
Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
Dus in dit geval kan je beter niet van een mug een olifant maken, aangezien alleen de user tabel publieke is geplaatst en niet heel de database.
Een community met zoveel mensen, zoveel paswoorden, zoveel e-mail adressen. Je weet best welke mogelijkheden er zijn, voor een slechte geest. Ik denk dat het belangrijkste publiekelijk is gesteld. Het is met andere woorden een olifant.

demonhunter
Berichten: 41
Lid geworden op: 06 jan 2008, 12:33

Re: phpbb.com offline

Bericht door demonhunter » 03 feb 2009, 12:34

svenn schreef:
Raimon schreef:
phpBB.com database zijn vervolgens publiekelijk beschikbaar gesteld
is echter incorrect.
En het staat er ook niet echt ;
Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
Dus in dit geval kan je beter niet van een mug een olifant maken, aangezien alleen de user tabel publieke is geplaatst en niet heel de database.
Een community met zoveel mensen, zoveel paswoorden, zoveel e-mail adressen. Je weet best welke mogelijkheden er zijn, voor een slechte geest. Ik denk dat het belangrijkste publiekelijk is gesteld. Het is met andere woorden een olifant.
Voor de mensen die hebben ingelogd na de convert zitten dus veilig, dit dan zij de "salt" has die wordt toegevoegd, voor ieder board zouden ze een andere vergelijkings tabel moeten hebben :| . Enkel mensen die na de convert niet hebben ingelogd zijn kwetsbaar :|

Erik Frèrejean
Berichten: 194
Lid geworden op: 02 apr 2008, 19:29

Re: phpbb.com offline

Bericht door Erik Frèrejean » 03 feb 2009, 13:32

De gekraakte wachtwoorden zijn inderdaad alleen de oude md5 wachtwoorden en dan alleen van gebruikers met korte/makkelijke wachtwoorden. (De reden waarom je hoofd letters/kleine letters/cijfers/speciale tekens door elkaar moet gebruiken voor een wachtwoord).
Maar iedereen wordt ten zeerste aan geraden om de wachtwoorden van al zijn accounts te wijzigen.

~ Erik Frèrejean
phpBB Support Team
Proud member of the phpBB Afbeelding

BetaDevil
Berichten: 2810
Lid geworden op: 28 mei 2006, 15:27

Re: phpbb.com offline

Bericht door BetaDevil » 03 feb 2009, 16:36

Nouw, als de mensen na 1,5 jaar ongeveer nog steeds hetzelfde wachtwoord gebruiken voor belangrijke en kwetsbare websites etc. dan ben je wel heel erg onveilig bezig :twisted:

svenn
Berichten: 5001
Lid geworden op: 14 jul 2004, 13:00
Locatie: Kortrijk
Contacteer:

Re: phpbb.com offline

Bericht door svenn » 03 feb 2009, 17:13

Als je 1000 keer diezelfde salt hebt kun je hem vast ook wel achterhalen lijkt me. Tenzij je 1000 keer een verschillende salt hebt maar als je die dan in de database op slaat ben je natuurlijk even ver :D. Wel spijtig dat een opensource project zo moet worden aangevallen.

Gebruikersavatar
Ger
Moderator-team
Moderator-team
Berichten: 4857
Lid geworden op: 03 jan 2006, 22:23
Locatie: 192.68.1.100
Contacteer:

Re: phpbb.com offline

Bericht door Ger » 05 feb 2009, 11:23

Een idee richting de .com ingewijden (Paul/Raimon/Eric): is het een idee om bij de melding dat .com offline is door te verwijzen naar een pagina met een overzicht naar lokale supportsites zoals phpbb.nl?

Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20234
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:

Re: phpbb.com offline

Bericht door Paul » 05 feb 2009, 13:13

support vragen kunnen op area51 gesteld worden :).

Erik Frèrejean
Berichten: 194
Lid geworden op: 02 apr 2008, 19:29

Re: phpbb.com offline

Bericht door Erik Frèrejean » 05 feb 2009, 14:29

En daarnaast denk ik ook niet dat het de moeite loont om zo'n pagina op te zetten. De tijd van het team kan op het moment beter besteed worden ;)
Proud member of the phpBB Afbeelding

BetaDevil
Berichten: 2810
Lid geworden op: 28 mei 2006, 15:27

Re: phpbb.com offline

Bericht door BetaDevil » 05 feb 2009, 15:10

Nou, je kunt niet zeggen dat dat zoveel werk is, en er zijn vast wel teammembers die wat tijd over hebben als er geen website is :P

Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20234
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:

Re: phpbb.com offline

Bericht door Paul » 05 feb 2009, 15:28

Ik kan je verzekeren dat de teammembers momenteel het drukker hebben als normaal als de site online is ;)

Plaats reactie