phpbb niet veilig!

[Hubit]

Ik had phpbb onder (linux) apache draaien nog in een test fase. Dus niet meer dan een admin plus een user aangemaakt. Het was de bedoeling phpbb als forum te gaan gebruiken achter de webpagina van het bedrijf waarvoor ik werk. De install heb ik begin december gedaan en tot mijn stomme verbazing kon ik vandaag niet meer inloggen.
Als snel zag ik dat onderaan de link was veranderd en kwam ik terecht op een lullige site van een puber. Ik zal de link niet vermelden omdat deze achterlijke puber dit niet waard is en ik deze snob zeker niet in de veronderstelling wil brengen dat hij een soort wijsneus is. Hij heeft volgens mij gebruik gemaakt van een simpele lek in phpbb. Ik ben hier echt niet blij mee.

Ik heb wat gelezen over een soort van search lek en eerder al in september over een aantal aanpassingen. De patch van september heb ik gedaan. Voorlopig zet ik phpbb maar aan de kant omdat ik het niet zie zitten dat de eerste de beste oen in de code kan rommelen.

Ik wil toch graag een reactie of meer mensen hier last van hebben gehad en of phpbb wel betrouwbaar is als forum. Nu heb ik niet al te veel vertrouwen meer in phpbb

gr,

HuBit

[Kharay]

phpBB is net zo betrouwbaar of onbetrouwbaar als andere bb oplossingen. Ik zou je eerder willen vragen: ben je wel zo zeker of je Apache configuratie zo hackerproof is?

Of een ander element in je webserver instellingen.

Je schrijft dat je niet meer kon inloggen omdat die link was verwijderd en er iets anders voor in de plaats was gezet. Let wel dat het ONMOGELIJK is met phpBB2.0.x om online je template dusdanig te editten dat er zoiets zou kunnen gebeuren. phpBB heeft geen enkele online template editting functionaliteit. Buiten kleurinstellingen om dan.

Die search lek die er was gaf anderen eventueel de mogelijkheid password te achterhalen. Maar, zelfs al heeft iemand anders je admin pw, hij kan niet je files online editten. Dan moet ie via een andere manier zijn binnen gekomen.

[Hubit]

phpBB is net zo betrouwbaar of onbetrouwbaar als andere bb oplossingen. Ik zou je eerder willen vragen: ben je wel zo zeker of je Apache configuratie zo hackerproof is?

Of een ander element in je webserver instellingen.

.

Is nu moeilijk te achterhalen. Maar het kan zo zijn dat ik een pw. heb gebruikt en dat er daarna met een ssh progje is ingelogd omdat ik hetzelfde pw heb gebruikt. Voor zover ik weet kan ik geen lek ontdekken in apache maar goed ik heb ook de wijsheid niet in pacht. Maar waar het omgaat is dat er op zo'n simpele manier een pw. is te lichten.

gr,
HuBit

[Kharay]

Is nu moeilijk te achterhalen. Maar het kan zo zijn dat ik een pw. heb gebruikt en dat er daarna met een ssh progje is ingelogd omdat ik hetzelfde pw heb gebruikt. Voor zover ik weet kan ik geen lek ontdekken in apache maar goed ik heb ook de wijsheid niet in pacht. Maar waar het omgaat is dat er op zo'n simpele manier een pw. is te lichten.

gr,
HuBit

Zo makkelijk is het nog niet hoor. En sowieso, alles heeft lekken. Je zou schrikken van de gigantische lekken die er in Apache zitten. Maar toch gebruik je het.

Klein voorbeeldje: Userdirs... zo lek als een mandje.

MySQL is ook niet geheel veilig, lekker gevoelig voor SQL bombers enzo. Punt is: niets is feilloos. Feit blijft wel dat die search_id bug tijdig is gevonden en is verholpen.

[Hubit]

****Ik dacht met linux beter af te zijn vandaar dat ik een lamp install heb gemaakt. Dus linux, apache,mysql en php. Als nu blijkt dat dit ook zo lek is als een mandje dan kan ik beter bij windows blijven. Heb ik in ieder geval geen last van al die spartaanse installs en hoef ik me niet wezenloos te zoeken naar juiste driver.

in ieder geval bedankt voor je reactie.

gr. Hubit

[Kharay]

****Ik dacht met linux beter af te zijn vandaar dat ik een lamp install heb gemaakt. Dus linux, apache,mysql en php. Als nu blijkt dat dit ook zo lek is als een mandje dan kan ik beter bij windows blijven. Heb ik in ieder geval geen last van al die spartaanse installs en hoef ik me niet wezenloos te zoeken naar juiste driver.

in ieder geval bedankt voor je reactie.

gr. Hubit

Apache bestaat ook voor Windows. En als je Apache goed configureert (lees: userdirs module meteen er uit knallen, heb je meestal toch niet nodig) dan kan ie veilig zat zijn.
Zelf draaide ik tot vanmiddag een webserver met Windows XP, Apache 2, MySQL 4 en PHP 4.3.x. Nog nooit een hacker doorgekomen. Door een juiste configuratie van Apache en door een nette firewall.

Enfin, phpBB is niet 100% veilig... maar veilig genoeg. Er zijn zat hele grote spelers die phpBB gebruiken (DJ Tiesto is een interessant voorbeeld hier) naar volle tevredenheid.

[WebmasterX]

Is nu moeilijk te achterhalen. Maar het kan zo zijn dat ik een pw. heb gebruikt en dat er daarna met een ssh progje is ingelogd omdat ik hetzelfde pw heb gebruikt. Voor zover ik weet kan ik geen lek ontdekken in apache maar goed ik heb ook de wijsheid niet in pacht. Maar waar het omgaat is dat er op zo'n simpele manier een pw. is te lichten.

gr,
HuBit

Je gebruikt dus je ssh root wachtwoord ook voor web logins? Dat lijkt mij de grootste lek die er maar kan zijn. Bedoel je wachtwoord is toch ook niet letterlijk 'geheim' ofzo?

Het bedenken van meerdere wachtwoorden is gewoon aan te raden en hoe kritischer het proces hoe moeilijker het wachtwoord en nooit mixen daar komt ellende van. Wees blij dat die 'snotneus' alleen die link heeft gewijzigd en niet in andere configs heeft zit *beep*. Daarbij zou ik ook niet te veel vertrouwen op Windozen als dit uberhaupt een probleem is van de OS die gedraait wordt.

Denk dat je de fout eerst bij jezelf moet zoeken en heel dicht bij in je omgeving en wellicht is het ook handig om voortaan meteen je logfiles zeker te stellen zodat je met zekerheid kunt zeggen hoe dit is gegaan want nu is het natte vingerwerk.

WebmasterX

ps. Ik draai phpBB nu ruim 3.5 jaar en never nooit niet problemen gehad met eventuele 'hackers' en ik ben niet de snelste updater. En ik draai ook nog eens een jongerenwebsite.