Boardunity & Video Forum

Boardunity & Video Forum (https://boardunity.de/)
-   Programmierung und Datenbanken (https://boardunity.de/programmierung-datenbanken-f23.html)
-   -   Forum gehacked: Datenbank verseucht? (https://boardunity.de/forum-gehacked-datenbank-verseucht-t6697.html)

shob 21.04.2009 01:11

Forum gehacked: Datenbank verseucht?
 
Jemand hat vor längerer Zeit ein inaktuelles phpBB2 verwendet, das dann gehacked wurde (hab keine näheren Informationen darüber, "wie" es oder "was" passiert ist). Seitdem war das Forum offline.

Nun habe ich ein Backup der Datenbank bekommen, weil mir das Forum am Herzen liegt und ich es wieder online sehen möchte. Es besteht die Chance, dass das Backup erstellt wurde, nachdem sich der Unbefugte Zugriff verschafft hat.

Mein Plan: ich werde lokal ein phpBB2 installieren, die Datenbank importieren, und dann zu phpBB3 konvertieren/upgraden. Desweiteren werde ich natürlich immer aktuelle phpBB-Updates einpflegen. Von dieser Seite her gibt es also keine Bedenken.

Allerdings: falls die Datenbank "verseucht" ist, bringt mir das ja alles nichts. Leider kenne ich mich mit Datenbanken nicht weiter aus. Daher kann ich nur mutmaßen. Wäre über Anregungen, Einschätzungen, Hinweise etc. dankbar.

Da ich nur ein normaler User des Forums war, muss ich noch irgendwie die Adminrechte erhalten. Und sicherheitshalber werde ich dann erstmal alle außer mir zu normalen Nutzern machen (sprich: Moderatoren die Sonderrechte nehmen).

Besteht die Chance, dass in der Datenbank irgendwas schlummert, das Unbefugten wieder Zugriff verschaffen könnte? Da ich ja keine PHP-Dateien übernehme, kann ja nichts "von außen" aktiviert werden. Aber gibt es womöglich Funktionen vom phpBB selbst, die ... keine Ahnung ... irgendwas automatisch ausführen, was in der Datenbank liegt und nach "außen" telefonieren könnte?

Halt ganz platt gefragt: besteht eine Gefahr? Was soll ich beachten/machen?

codethief 22.04.2009 00:55

Also ich wüsste nicht, was gegen eine lokale Installation sprechen sollte. </ohnegarantie>

JonnyX 22.04.2009 08:35

Wenn würde dass der Konverter nicht mitnehmen, also ich hätte da keine Sorgen.

Aber schau dir mal in der Datenbank die Rechte an und schau, ob da wer was anderes hat als ein "normaler" User

Titus 22.04.2009 11:17

Passwörter alle zurücksetzten wäre sicher ne gute idee, da phpBB2 nur die normalen md5 hashes hat! Wenn der Einsteiger die DB gesichert hat, kann er sich mit hoher Wahrscheinlichkeit mit jedem Account einwählen

shob 23.04.2009 01:36

Danke für die Antworten bisher.

Zitat:

Zitat von codethief (Beitrag 47795)
Also ich wüsste nicht, was gegen eine lokale Installation sprechen sollte.

Lokal installiere ich es ja nur kurzzeitig, um auf phpBB3 upzugraden. Dann soll es wieder online gehen.

Zitat:

Zitat von JonnyX (Beitrag 47800)
Aber schau dir mal in der Datenbank die Rechte an und schau, ob da wer was anderes hat als ein "normaler" User

Meinst du jetzt die Rechte der Forumsmitglieder oder irgendwelche Datenbankrechte(?)? Falls Ersteres: ich wollt ja sowieso allen die Rechte nehmen (also alle Mitglieder zu normalen Nutzern machen), über die Oberfläche dann, wenn ich das PW des Admin-Accounts irgendwie erlange. Oder macht es einen Unterschied, ob ich das direkt in der Datenbank regle oder über das Backend?

Zitat:

Zitat von Titus (Beitrag 47802)
Passwörter alle zurücksetzten wäre sicher ne gute idee, da phpBB2 nur die normalen md5 hashes hat! Wenn der Einsteiger die DB gesichert hat, kann er sich mit hoher Wahrscheinlichkeit mit jedem Account einwählen

Hm, okay.Weißt du, ob es dafür im Backend eine Funktion gibt? Oder muss man da anders/manuell ran?

semtex 05.05.2009 22:50

In der DB kann nicht so viel schlummern und selbst wenn er Zugriff hatte, die Passwörter sind verschlüsselt, er kann schlimmstenfalls an den Zugriffsrechten gespielt haben.
Du musst im Grunde nur Änderungen in der Board Tabelle _users machen.
Logge dich einfach in PHPMyadmin ein und setze dort alle Rechte im Feld "user_level" auf den Wert "0", so hat niemand mehr Zugriff auf das ACP.
Dann änderst Du in der gleichen Tabelle im Feld user_password alle Passwörter zb. auf "Test" verschlüsselt dann "098f6bcd4621d373cade4e832627b4f6" ist völlig egal, allerdings Deins nicht :D
Das kannst Du jeweils alles immer mit einem einfachen Update Befehl machen wie zb:
PHP-Code:

UPDATE `DB-NAME`.`phpbb_usersSET `user_level` = '0' WHERE `phpbb_users`.`user_id` > 0

Jeder User kann sich somit nicht mehr einloggen, er muss sich das Passwort per Mail zusenden lassen.
Verifizierung über die eigene Mailadresse, es wird automatisch ein neues Passwort für jeden User generiert !
Dann gehst Du nochmal auf das Feld "user_level" und setzt in Deiner Spalte den Wert wieder auf "1", somit kannst Du Dich im Admincenter einloggen.
Somit ist das Schmlimmste erledigt, die DB ist schnell zu säubern, schlimmer wäre FTP Zugang gewesen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:22 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25