Zur Boardunity Forenstartseite

Zurück   Boardunity Ratgeber Forum » Software & Projekte » Forensoftware

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1  
Alt 28.02.2008, 02:44
keine Ahnung
 
Registriert seit: 02.2008
Ort: FFM
Beiträge: 7

WBB2 gehacked - suche nach sicherem Forum


Der Titel sagt eigentlich alles.
Da der Hacker ziemlich motiviert zu sein scheint, wird er wohl beim Umzug auf einen neuen Server und ein neues Board mit von der Partie sein.

Das alte war ein Burning Board 2.3.3.

Gibt es was halbwegs sicheres?
  #2  
Alt 28.02.2008, 06:22
Mitglied
 
Registriert seit: 02.2006
Beiträge: 477
Wenn du Sicherheitsupdates nicht einspielst wird keine andere Software sicherer sein. Man muss sein Projekt schon pflegen.

  #3  
Alt 28.02.2008, 09:26
weiss meistens was er tut
 
Registriert seit: 11.2005
Beiträge: 427
für updatefaule Admins ist glaube ich zur Zeit das wBB3 noch das Beste, da der automatische Updater wenig Hirnschmalz braucht und sich mal nebenbei ausführen lässt

alternativ ist glaube ich auch das Viscacha mit so einer Technik erweiterbar und hätte den "Vorteil" einen geringeren Bekanntheitsgrad zu haben, weswegen sich das gemeine Skriptkiddie ohne die bebilderten Hackanleitungen schwer tun wird

  #4  
Alt 28.02.2008, 12:46
keine Ahnung
 
Registriert seit: 02.2008
Ort: FFM
Beiträge: 7
Der Admin war nicht ich.
Ich war bisher nur normaler User, der das Board jetzt notgedrungen übernimmt weil der Admin nach den Hackerangriffen keine Lust mehr hat. Deshalb wäre ich auch begeistert wenn die Software kostenlos wäre. Vielen Dank für den Tipp mit Vischara, das seh ich mir mal an.

  #5  
Alt 28.02.2008, 14:21
Benutzerbild von P@trick
Mitglied
 
Registriert seit: 10.2005
Beiträge: 107
Forensoftware Vergleich

  #6  
Alt 28.02.2008, 17:43
Mitglied
 
Registriert seit: 11.2006
Beiträge: 33
Hi,
mit dem Viscacha kann man nur updates von erweiterung etc beziehen. aber in der nächsten Version wird das Updaten viel einfacher gemacht.
Aber mit der Sicherheit steht es bei dem Viscacha gut, vorallem weil es noch relativ unbekannt ist. Das VB ist auch relativ gut, was die Sicherheit angeht.
Wenn du einmal gehackt worden bist, dann wirst du zumidest von dem einem "Hacker" nicht noch mal "gehackt".
Dono

  #7  
Alt 29.02.2008, 19:11
Benutzerbild von LonelyPixel
UNB-Entwickler
 
Registriert seit: 01.2004
Ort: Erlangen
Beiträge: 970
Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. Funktioniert vorerst sehr gut gegen das unbeabsichtigte Veröffentlichen oder Verändern von Beiträgen, ist aber noch nicht fälchendeckend umgesetzt. Welche andere Forensoftware hat das eigentlich noch?

__________________
Yves Goergen
Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit)
  #8  
Alt 29.02.2008, 20:29
keine Ahnung
 
Registriert seit: 02.2008
Ort: FFM
Beiträge: 7
@Dono wir wurden vier Mal gehackt. Da hatte scheinbar jemand Freude.

Wie ist es mit dem SMF, ich habe gehört, das soll auch relativ sicher sein?

  #9  
Alt 29.02.2008, 22:03
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
Wäre der Admin wenigstens nebensächlich bemüht gewesen, eine aktuelle Version laufen lassen zu haben, wärt ihr wahrscheinlich gar nicht gehackt worden.

Der Wechsel der Software ist !NICHT! die Lösung derartiger Probleme! Jede Software hat Fehler und es ist am Admin das beste noch draus zu machen. Mit anderen Worten: Wenn er die Software nicht aktuell hält, kann das mit jeder anderen Software genauso passieren.

__________________
MFG, rellek
Administrator rellek[org]

...gehen Sie bitte weiter, hier gibt es nichts zu sehen
  #10  
Alt 29.02.2008, 22:22
Mitglied
 
Registriert seit: 11.2006
Beiträge: 33
Hi,
weil ihr öfters gehackt worden seit, lässt sich daraus schliesen, das er das aus einem bestimmtem Grund macht, und wahrscheindlich nicht so viel ahnung hat. Also einfach eine Version hollen wo keine sicherheitslücken bekannt sind, und wenn sie schnell gefixt werden z.B. Viscacha, Vbuletin etc.
Dono

  #11  
Alt 01.03.2008, 20:45
keine Ahnung
 
Registriert seit: 02.2008
Ort: FFM
Beiträge: 7
Najaaa... ein Grund für den Umzug ist ja auch, dass es keine funktionierende Sicherung vom Forum gibt. Ich sehe, wie sich die ersten Zehennägel aufrollen.
Ich werde versuchen, alles besser zu machen

Danke für eure Bemühungen!

  #12  
Alt 02.03.2008, 11:51
Benutzerbild von LonelyPixel
UNB-Entwickler
 
Registriert seit: 01.2004
Ort: Erlangen
Beiträge: 970
Wieso gibt es keine funktionierende Sicherung? Dann mach doch einfach eine. Das geht unabhängig von der Software ungefähr so: Datenbank-Sicherung mit phpMyAdmin, Dateisicherung mit FTP. Wiederherstellung geht mit denselben Werkzeugen, nur in die andere Richtung. Außerdem ist eine Sicherung zum Schutz vor Verlust doch eigentlich Aufgabe des Server-Betreibers, der meist automatisiert täglich alle Benutzerdaten sichert.

__________________
Yves Goergen
Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit)
  #13  
Alt 02.03.2008, 13:15
keine Ahnung
 
Registriert seit: 02.2008
Ort: FFM
Beiträge: 7
Es gibt keine weil ich nicht der Admin bin und der Admin keine gemacht hat.
Es gibt jetzt eine, die aber nicht wirklich funktioniert, weil ich sie (ich werde das Forum übernehmen, damit es nicht geschlossen wird) erst nach dem Angriff machen konnte. - es ist Werbung eingebaut und das ACP funktioniert nicht mehr. Außerdem dürfte der Einbrecher einige/alle Passwörter haben. Die Forensoftware kann ich auch nicht mal eben nachkaufen (Admin hat sie auch nicht mehr wg. Festplattencrash), bin auch kein Profi so dass ich die Dateien selbst reparieren könnte. Deshalb sehe ich im Moment keine andere Möglichkeit, als das Forum ganz neu aufzusetzen.
Schade um User und Beiträge (290/30.000), aber hm, nunja.

Gestern bin ich auf die Möglichkeit eines Konverters gestoßen. Welche Daten/Dateien werden da mit übertragen? Wenn ich den H. und die Werbung dann mit an Bord habe, macht der Aufwand ja wenig Sinn. Dann lieber ganz neu anfangen.

Vielen Dank für die Geduld

  #14  
Alt 02.03.2008, 15:12
Benutzerbild von LonelyPixel
UNB-Entwickler
 
Registriert seit: 01.2004
Ort: Erlangen
Beiträge: 970
Ich würd bei der Gelegenheit u.U. auch den Webhosting-Anbieter wechseln, wenn der dir kein Backup anbieten kann.

So ein Zufall… weißt du eigentlich, wie selten Festplatten kaputt gehen? Ich vermute, dass es viel öfter vorkommt, dass der Benutzer vor dem Bildschirm grob fahrlässig alle Dateien löscht.

Es gibt oft die Möglichkeit, Daten aus einer existierenden Forendatenbank in ein neues Programm zu übertragen. Ob es so einen Konverter gibt, hängt vom bisher verwendeten und auch vom neuen Forum ab. Denn für genau diese Kombination muss es den Konverter geben. Und von diesem Konverter hängt es dann ab, welche Daten in welcher Qualität übertragen werden. Es kann sein, dass manche Angaben nachher fehlen, oder Zuordnungen falsch sind, oder es gar nicht funktioniert. Musst du halt suchen und selbst ausprobieren. Frag das am besten beim Hersteller/Support/Community des Forums nach, das du dann verwenden möchtest.

__________________
Yves Goergen
Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit)
  #15  
Alt 02.03.2008, 15:14
weiss meistens was er tut
 
Registriert seit: 11.2005
Beiträge: 427
nun, Werbung lässt sich ja normal löschen (wenn JScript in den Beschreibungen der Foren ist einfach im Browser JS deaktivieren) und zumindest vom SMF müsste es einen Converter geben fürs wBB2 (Viscacha hat im übrigen auch einen)

IDR brauchst du da auch nur die DB und evtl die Dateiangänge/Avatare wenn die unterstützt werden

Je nach Zustand des aktuellen Boards und Wichtigkeit der Themen kann man auch überlegen die alten Daten als ein Archiv zu erstellen und im neuen Board wirklich neu zu starten

  #16  
Alt 02.03.2008, 20:47
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
Zitat:
Zitat von Nebelkraehe Beitrag anzeigen
Die Forensoftware kann ich auch nicht mal eben nachkaufen (Admin hat sie auch nicht mehr wg. Festplattencrash)
Und Woltlab ist auch abgebrannt, sodass man denen keine Mails mehr schicken kann, man habe seinen Zugang zum Mitgliederbereich verloren. Ist klar.

__________________
MFG, rellek
Administrator rellek[org]

...gehen Sie bitte weiter, hier gibt es nichts zu sehen
  #17  
Alt 02.03.2008, 21:56
keine Ahnung
 
Registriert seit: 02.2008
Ort: FFM
Beiträge: 7
LonelyPixel: Jap, Webhostinganbieter-Wechsel ist bereits beantragt.
Hmm... ich glaube, ich würde auch von einem Festplattencrash erzählen, wenn ich das versemmelt hätte. Einen Konverter gibt es, den werde ich nach dem Umzug dann ausprobieren. Habe mich auch schon im entsprechenden Forum angemeldet und nachgefragt.

Titus: Das mit dem Löschen hatte ich bis vorhin irgendwie nicht hinbekommen. Das ACP funktioniert nicht mehr vollständig, und wenn ich die entsprechende Datei direkt geändert habe bekam ich beim Seitenaufruf eine Fehlermeldung, dass xyz nicht mit dem Cache übereinstimmt o.ä.. Jetzt bin ich soweit, dass die Werbung weg ist und ich nur noch im Fuß eine kleine Fehlermeldung habe. Brauche eben ein wenig weil ich noch nicht so viel Erfahrung habe. Außerdem habe ich erst seit ein paar Tagen die entsprechenden Rechte.
Das mit dem Archiv ist auch mein Notfallplan.

rellek: Daran hatte ich ehrlich gesagt noch garnicht gedacht:

Sehr geehrte Damen und Herren,

ich bin zwar nicht die Person, die einen Vertrag mit Ihnen abgeschlossen hat, aber ich habe ein Forum übernommen, dessen Besitzer das wohl mal getan hat. Würden Sie mir bitte einen Mitgliederaccount einrichten?

Mit freundlichen Grüßen
usw.

  #18  
Alt 02.03.2008, 22:51
Benutzerbild von rellek
Das bin ich!
 
Registriert seit: 02.2004
Ort: 192.168.0.3
Beiträge: 986
Naja das sollte der alte Besitzer schon machen. Die werden dann ein paar Daten wissen wollen (Name und Anschrift z.B.) und schicken dann die Lizenzdaten zurück. Die kann er dir dann geben und du kannst die Daten samt Passwort ändern.

__________________
MFG, rellek
Administrator rellek[org]

...gehen Sie bitte weiter, hier gibt es nichts zu sehen
  #19  
Alt 06.03.2008, 19:38
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Zitat:
Zitat von LonelyPixel Beitrag anzeigen
Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. [...] Welche andere Forensoftware hat das eigentlich noch?
phpBB3, standardmäßig (die Form Tokens die im Template eingefügt werden). Ich glaube SMF, IPB, vBulletin (und bestimmt auch andere) haben dies auch. Ist inzwischen Standard (oder sollte es zumindest sein).

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #20  
Alt 07.03.2008, 11:15
Benutzerbild von LonelyPixel
UNB-Entwickler
 
Registriert seit: 01.2004
Ort: Erlangen
Beiträge: 970
Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt).

__________________
Yves Goergen
Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit)
  #21  
Alt 07.03.2008, 19:12
Benutzerbild von Acyd Burn
phpBB Lead Developer
 
Registriert seit: 09.2003
Ort: Oldenburg
Beiträge: 106
Zitat:
Zitat von LonelyPixel Beitrag anzeigen
Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt).

Wenn du das implementierst dann achte auf 2 Dinge:

1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind.
2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen.

__________________
Meik Sievertsen
phpBB Development Team Leader
phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln
  #22  
Alt 07.03.2008, 21:14
Benutzerbild von LonelyPixel
UNB-Entwickler
 
Registriert seit: 01.2004
Ort: Erlangen
Beiträge: 970
Zitat:
Zitat von Acyd Burn Beitrag anzeigen
1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind.
Allerdings sollte sich die verwendete Domain oder der SSL-Status nicht zwischen dem Formular und der Aktion einer „kritischen“ Funktion ändern, also Beitrag absenden, Foren löschen etc. (Ach nee, SSL ist mir sowieso egal, hauptsache die Domain passt.)

Zitat:
2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen.
Das ist zum Glück kein Problem in diesem Fall, sonst gäbe es gegen CSRF tatsächlich keine Lösung. In diesem Szenario wird ja der Browser einer regulären Benutzers verwendet, der vom Angreifer (normalerweise) nicht manipuliert werden kann. In meinen Tests wurde auch bei XmlHttpRequest-Aufrufen der Referer übertragen. Also entweder er kommt korrekt an, oder gar nicht, weil ihn z.B. ein Privacy-Filter blockiert. Wenn ein Benutzer aber seinen eigenen Browser selbst so manipuliert, dass ein bestimmter CSRF-Angriff möglich wird, ist er ja praktisch selbst der Verursacher – und das könnte er auch einfacher haben.

__________________
Yves Goergen
Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit)
  #23  
Alt 10.03.2008, 15:30
Mitglied
 
Registriert seit: 03.2005
Beiträge: 13
Zitat:
Zitat von LonelyPixel Beitrag anzeigen


Das ist zum Glück kein Problem in diesem Fall, sonst gäbe es gegen CSRF tatsächlich keine Lösung. In diesem Szenario wird ja der Browser einer regulären Benutzers verwendet, der vom Angreifer (normalerweise) nicht manipuliert werden kann.
Das stimmt so nicht. Z.B. kann der Referrer via meta refresh unterdrückt werden - das ist durchaus im Ramen eines CSRF.

~H

  #24  
Alt 10.03.2008, 16:52
Benutzerbild von LonelyPixel
UNB-Entwickler
 
Registriert seit: 01.2004
Ort: Erlangen
Beiträge: 970
Zitat:
Zitat von Rake Beitrag anzeigen
Das stimmt so nicht. Z.B. kann der Referrer via meta refresh unterdrückt werden - das ist durchaus im Ramen eines CSRF.
Oh, du hast Recht. – Aber nun, so kann man ja keine POST-Formulare absenden. (Hab das grade mal ausprobiert.) Zumindest das kann man damit ein Stück zuverlässiger gegen diese Angriffe absichern.

__________________
Yves Goergen
Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit)
  #25  
Alt 28.09.2008, 23:05
neues Mitglied
 
Registriert seit: 09.2008
Beiträge: 3
Ich empfehle Ihnen auf keinen Fall eine OpenSource Forum-Software zu nehmen. Bei kommerzieller Software ist der Source-Code nicht frei verfügbar und deswegen werden dort nicht so heufig Sicherheitslücken gefunden.

Oder Sie nehmen einen Forum-Hoster, der auf eigener Software basiert. Wir haben mit communityhost.de gute erfahrung gemacht. Allerdings haben Sie bei solchen Hoster keinen direkten Zugriff auf alle Daten und das ist aus meiner sicht ein entscheidender Nachteil.

Antwort


Stichworte
wbb, woltlab

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Suche sehr gut besuchtes PC Modding Forúm tschekowski Projektvorstellung und Bewertung 3 28.03.2009 01:24
Vorstellung Forum TalkClub Ingrid Projektvorstellung und Bewertung 7 18.02.2008 16:28
Suche Forum mit Profilfeldern svenhein Entscheidungshilfe 6 19.08.2007 23:40
Forum einbinden skeff Entscheidungshilfe 3 02.08.2007 10:56
Gossamer Forum MrNase Forensoftware 4 17.04.2004 17:26






1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24