phpBB.nl

Zojuist is mijn Forum gehacked. Er staat nog 1 bericht op het forum met als titel: "owned by 4ce cre nemam_nick &dee^jay

"

Ik gebruik phpBB 2.0.10

Heeft iemand relevante info betreft het hacken van phpBB?

De beste tip die ik je kan geven is je forum upgraden naar 2.0.11. Het kan ook geen kwaad om je wachtwoorden te veranderen.

Spambot schreef:De beste tip die ik je kan geven is je forum upgraden naar 2.0.11. Het kan ook geen kwaad om je wachtwoorden te veranderen.

Dit lees ik ook op phpbb.nl (beetje laat...)
"Het is iedereen dringend aan te raden up te graden naar deze versie, zeker als je nog niet voorzien was van 2.0.10. De veiligheids risico's zijn als zeer ernstig bestempeld door het phpBB team! "

Ik gebruikte -nog niet echt lang- 2.0.10. Ik wil graag weten hoe het mogelijk is om phpBB te hacken. Dan krijg ik inzicht in hoe het mogelijk was mijn forum om zeep te helpen. Wie heeft een antwoord?

De ontwikkelaars en hackers hebben het antwoord. Het lijkt me voor de hand liggen dat er niet uitgelegd zal worden hoe dit precies mogelijk is

Spambot schreef:De ontwikkelaars en hackers hebben het antwoord. Het lijkt me voor de hand liggen dat er niet uitgelegd zal worden hoe dit precies mogelijk is

Thx voor je reactie!

Mocht iemand nog een suggestie hebben, graag !

jeroenb schreef:Ik gebruikte -nog niet echt lang- 2.0.10. Ik wil graag weten hoe het mogelijk is om phpBB te hacken. Dan krijg ik inzicht in hoe het mogelijk was mijn forum om zeep te helpen. Wie heeft een antwoord?

Zonder kennis van PHP is het zo goed als onmogelijk om dit soort bugs te begrijpen, en dat geeft ook niets, omdat phpBB dat al voor je doet. Als je zorgt dat je op de hoogte blijft van de updates, en ze telkens zo snel mogelijk gebruikt, is het risico op een nieuwe hack minimaal.

mosymuis schreef:
jeroenb schreef:Ik gebruikte -nog niet echt lang- 2.0.10. Ik wil graag weten hoe het mogelijk is om phpBB te hacken. Dan krijg ik inzicht in hoe het mogelijk was mijn forum om zeep te helpen. Wie heeft een antwoord?
Zonder kennis van PHP is het zo goed als onmogelijk om dit soort bugs te begrijpen, en dat geeft ook niets, omdat phpBB dat al voor je doet. Als je zorgt dat je op de hoogte blijft van de updates, en ze telkens zo snel mogelijk gebruikt, is het risico op een nieuwe hack minimaal.

Wie zegt dat ik geen kennis heb van PHP? Ik probeer alleen de oorzaak te ontdekken. phpBB is over het algemeen een veel gebruikt systeem voor fora. Dus als je het probleem kunt uitleggen post dan ff de oorzaak?

jeroenb schreef:Wie zegt dat ik geen kennis heb van PHP?

Dat nam ik aan, omdat dat bij 95% van de bezoekers hier het geval is.

jeroenb schreef:Ik probeer alleen de oorzaak te ontdekken. phpBB is over het algemeen een veel gebruikt systeem voor fora. Dus als je het probleem kunt uitleggen post dan ff de oorzaak?

Je wilt dat ik ze voor je uitschrijf? Dat kan ik onmogelijk doen, als supporter van phpBB. Ik kan je alleen vertellen dat je het zelf kan opzoeken op internet. Ook kan je met phpBB's patch en het gegeven dat men PHP kan uitvoeren met deze exploit, het één en ander uitzoeken.

Ok daar heb je gelijk in. Maar volgens mij is het doel van dit forum om wijzer te worden, te leren, voor iedereen die dit leest. Op de 1 of andere manier konden de 'hackers' de database heel simpel aanpassen en daardoor het forum vernielen. Hiervoor moet je rechten hebben, betekent dit dat men zich eerst geregistreerd heeft op het forum om zodoende 'voldoende' rechten te hebben om gebruik te maken van een bug in phpBB?

Nee, zoals ik al zei laat deze exploit PHP executie toe, wat dus betekent dat ze query's kunnen draaien. Daarvoor hoeven ze niet ingelogd te zijn.

ok thx voor je reactie.

Hoi,

Ik had zelf ook 2.0.10 en heb een update doorgevoerd naar 2.0.11.

Alle files in het forum lijken te zijn upgedate.

Echter als ik naar het forum zelf ga, blijft onder in het scherm staan dat het versie 2.0.10 is , weet niet hoe dit kan.

Wie kan me helpen ?

Johan

Er zit nog een php bestand bij wat je moet uitvoeren, deze past onder andere het versie nummer aan in de database.

Dank je,

maar hoe heet die file dan en waar staat ie ?

Groetjes Johan

oh heb hem al gevonden

het is update_to_2011.php,
had ik al weer verwijdert...oeps
thx

ik krijg steeds foutmeldingen van functions.php op lijn zoveel en lijn zoveel maar hoe meer je mods toevoegd hoe moeilijker het word om te updaten

verschrikkelijk he

Als je ons nu vertelt wat die error letterlijk zegt, kunnen we je helpen.

tjmeijer schreef:oh heb hem al gevonden

het is update_to_2011.php,
had ik al weer verwijdert...oeps
thx

Dit is ook voldoende. Draai dit als SQL query in je database:

Code: Selecteer alles

UPDATE phpbb_config
SET config_value = '.0.11'
WHERE config_name = 'version';

Bij 2.0.10 naar 2.0.11 is er toch meer database verandering dan alleen het nummer (tabel phpbb_confirm)

Je kan het beste het bestand uitvoeren

Luuk schreef:Bij 2.0.10 naar 2.0.11 is er toch meer database verandering dan alleen het nummer (tabel phpbb_confirm)

gek genoeg niet, bekijk het update bestand maar eens.

mosymuis schreef:
Luuk schreef:Bij 2.0.10 naar 2.0.11 is er toch meer database verandering dan alleen het nummer (tabel phpbb_confirm)
gek genoeg niet, bekijk het update bestand maar eens.

Maar die tabel is toch wel nodig? Wanneer wordt hij dan gemaakt?

phpBB.nl

Zojuist is mijn Forum gehacked

Zojuist is mijn Forum gehacked

update van 2.0.10 naar 2.0.11