Zur Boardunity Forenstartseite
  #1  
Alt 21.04.2009, 00:11
Mitglied
 
Registriert seit: 10.2006
Beiträge: 147

Forum gehacked: Datenbank verseucht?


Jemand hat vor längerer Zeit ein inaktuelles phpBB2 verwendet, das dann gehacked wurde (hab keine näheren Informationen darüber, "wie" es oder "was" passiert ist). Seitdem war das Forum offline.

Nun habe ich ein Backup der Datenbank bekommen, weil mir das Forum am Herzen liegt und ich es wieder online sehen möchte. Es besteht die Chance, dass das Backup erstellt wurde, nachdem sich der Unbefugte Zugriff verschafft hat.

Mein Plan: ich werde lokal ein phpBB2 installieren, die Datenbank importieren, und dann zu phpBB3 konvertieren/upgraden. Desweiteren werde ich natürlich immer aktuelle phpBB-Updates einpflegen. Von dieser Seite her gibt es also keine Bedenken.

Allerdings: falls die Datenbank "verseucht" ist, bringt mir das ja alles nichts. Leider kenne ich mich mit Datenbanken nicht weiter aus. Daher kann ich nur mutmaßen. Wäre über Anregungen, Einschätzungen, Hinweise etc. dankbar.

Da ich nur ein normaler User des Forums war, muss ich noch irgendwie die Adminrechte erhalten. Und sicherheitshalber werde ich dann erstmal alle außer mir zu normalen Nutzern machen (sprich: Moderatoren die Sonderrechte nehmen).

Besteht die Chance, dass in der Datenbank irgendwas schlummert, das Unbefugten wieder Zugriff verschaffen könnte? Da ich ja keine PHP-Dateien übernehme, kann ja nichts "von außen" aktiviert werden. Aber gibt es womöglich Funktionen vom phpBB selbst, die ... keine Ahnung ... irgendwas automatisch ausführen, was in der Datenbank liegt und nach "außen" telefonieren könnte?

Halt ganz platt gefragt: besteht eine Gefahr? Was soll ich beachten/machen?
  #2  
Alt 21.04.2009, 23:55
Benutzerbild von codethief
Visionär
 
Registriert seit: 09.2003
Beiträge: 803
Also ich wüsste nicht, was gegen eine lokale Installation sprechen sollte. </ohnegarantie>

  #3  
Alt 22.04.2009, 07:35
Benutzerbild von JonnyX
Sir SeVeN
 
Registriert seit: 10.2005
Beiträge: 886
Wenn würde dass der Konverter nicht mitnehmen, also ich hätte da keine Sorgen.

Aber schau dir mal in der Datenbank die Rechte an und schau, ob da wer was anderes hat als ein "normaler" User

  #4  
Alt 22.04.2009, 10:17
weiss meistens was er tut
 
Registriert seit: 11.2005
Beiträge: 427
Passwörter alle zurücksetzten wäre sicher ne gute idee, da phpBB2 nur die normalen md5 hashes hat! Wenn der Einsteiger die DB gesichert hat, kann er sich mit hoher Wahrscheinlichkeit mit jedem Account einwählen

  #5  
Alt 23.04.2009, 00:36
Mitglied
 
Registriert seit: 10.2006
Beiträge: 147
Danke für die Antworten bisher.

Zitat:
Zitat von codethief Beitrag anzeigen
Also ich wüsste nicht, was gegen eine lokale Installation sprechen sollte.
Lokal installiere ich es ja nur kurzzeitig, um auf phpBB3 upzugraden. Dann soll es wieder online gehen.

Zitat:
Zitat von JonnyX Beitrag anzeigen
Aber schau dir mal in der Datenbank die Rechte an und schau, ob da wer was anderes hat als ein "normaler" User
Meinst du jetzt die Rechte der Forumsmitglieder oder irgendwelche Datenbankrechte(?)? Falls Ersteres: ich wollt ja sowieso allen die Rechte nehmen (also alle Mitglieder zu normalen Nutzern machen), über die Oberfläche dann, wenn ich das PW des Admin-Accounts irgendwie erlange. Oder macht es einen Unterschied, ob ich das direkt in der Datenbank regle oder über das Backend?

Zitat:
Zitat von Titus Beitrag anzeigen
Passwörter alle zurücksetzten wäre sicher ne gute idee, da phpBB2 nur die normalen md5 hashes hat! Wenn der Einsteiger die DB gesichert hat, kann er sich mit hoher Wahrscheinlichkeit mit jedem Account einwählen
Hm, okay.Weißt du, ob es dafür im Backend eine Funktion gibt? Oder muss man da anders/manuell ran?

  #6  
Alt 05.05.2009, 21:50
neues Mitglied
 
Registriert seit: 08.2007
Beiträge: 4
In der DB kann nicht so viel schlummern und selbst wenn er Zugriff hatte, die Passwörter sind verschlüsselt, er kann schlimmstenfalls an den Zugriffsrechten gespielt haben.
Du musst im Grunde nur Änderungen in der Board Tabelle _users machen.
Logge dich einfach in PHPMyadmin ein und setze dort alle Rechte im Feld "user_level" auf den Wert "0", so hat niemand mehr Zugriff auf das ACP.
Dann änderst Du in der gleichen Tabelle im Feld user_password alle Passwörter zb. auf "Test" verschlüsselt dann "098f6bcd4621d373cade4e832627b4f6" ist völlig egal, allerdings Deins nicht
Das kannst Du jeweils alles immer mit einem einfachen Update Befehl machen wie zb:
PHP-Code:
UPDATE `DB-NAME`.`phpbb_usersSET `user_level` = '0' WHERE `phpbb_users`.`user_id` > 0
Jeder User kann sich somit nicht mehr einloggen, er muss sich das Passwort per Mail zusenden lassen.
Verifizierung über die eigene Mailadresse, es wird automatisch ein neues Passwort für jeden User generiert !
Dann gehst Du nochmal auf das Feld "user_level" und setzt in Deiner Spalte den Wert wieder auf "1", somit kannst Du Dich im Admincenter einloggen.
Somit ist das Schmlimmste erledigt, die DB ist schnell zu säubern, schlimmer wäre FTP Zugang gewesen.

Antwort


Stichworte
datenbank, hack, phpbb2, phpbb3

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Renault 5 - Forum | SAW Forum > Bitte um Feedback Ulf Projektvorstellung und Bewertung 0 04.12.2008 10:41
WBB2 gehacked - suche nach sicherem Forum Nebelkraehe Forensoftware 31 24.11.2008 20:46
Private Community: Forum + Wiki verknüpfbar? shob Blog, CMS, Wiki und Sonstige 7 29.07.2008 20:42
Forum einbinden skeff Entscheidungshilfe 3 02.08.2007 09:56
Gossamer Forum MrNase Forensoftware 4 17.04.2004 16:26






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24