Boardunity & Video Forum - Sammelstelle für phpBB 2.x Updates (aktuell: 2.0.17)

Boardunity & Video Forum (https://boardunity.de/)

- Forensoftware (https://boardunity.de/forensoftware-f5.html)

- - Sammelstelle für phpBB 2.x Updates (aktuell: 2.0.17) (https://boardunity.de/sammelstelle-f-r-phpbb-2-x-updates-aktuell-2-0-17-a-t2663.html)

Sammelstelle für phpBB 2.x Updates (aktuell: 2.0.17)

Passiert eben manchmal.
Ich entwickle selber Software und von daher haut es mich nicht aus den Latschen, dass da mal Fehler drin sind. Und wenn halt auch mal 'nen schwerer Fehler drin ist, dann ist's halt so. Die phpBB-Group hat rasch reagiert und jeder Webmaster, der sich seiner Rolle bewusst ist, wird den Patch eingespielt haben. (Ja, ich sehe es als Aufgabe der Admins, sich über sowas auf dem Laufenden zu halten.)

Grüße,
Gérome

Dummerweise wird die Schuld immer auf die Entwickler geschoben.. Anders als bei Software die daheim installiert werden muss gibt es nur wenige Möglichkeiten für einen Scriptentwickler sicherzustellen, dass seine Kunden (oder andere Besucher) alle Sicherheitsupdates durchführen. Helfen kann nur Aufklärung von daher dieses Thema.. Nicht damit jemand behauptet er hätte davon nix gewusst ;)

Zitat:

Zitat von MrNase

Dummerweise wird die Schuld immer auf die Entwickler geschoben..

Hast' ja Recht. Aber auf wen sonst - auf mich selber? ;-) Je nach Vorhandensein könnte man es in Firmen auf die Qualitätskontrolle, den Projektleiter oder sonstwen schieben. Bringen tut's aber auch nix. *g*

Zitat:

Zitat von MrNase

Anders als bei Software die daheim installiert werden muss gibt es nur wenige Möglichkeiten für einen Scriptentwickler sicherzustellen, dass seine Kunden (oder andere Besucher) alle Sicherheitsupdates durchführen.

Ist es für den Hersteller einer Software, die daheim installiert werden muß, wirklich so viel einfacher, die Installation von Updates sicherzustellen? Mir fallen spontan nur zwei Beispiele ein, bei denen dies zutreffen könnte: Bei Branchen-Software, wo Anwender und Herstellen oft einen vergleichsweise engen Kontakt haben und daher die Kommunikationswege relatv kurz sind oder aber bei Betriebssystemen, bei denen der Ausschalter für das 'Auto-Update' immer schwieriger zu finden ist. ;-)
In meinen Augen ist es dann wieder am Anwender, sich über etwaige Updates zu informieren oder eben auch nicht.

Zitat:

Zitat von MrNase

Helfen kann nur Aufklärung von daher dieses Thema.. Nicht damit jemand behauptet er hätte davon nix gewusst ;)

Goldrichtig. Darum freue ich mich auch immer über jede Mail von phpBB.de. Ich finde diesen eingeschlagenen Weg wirklich gut. Ich bin noch auf einer anderen Mailingliste, die angeblich über Neuigkeiten und Patches rund um phpBB berichten solle, aber dort herrscht so ein peinliches Schweigen. :mrgreen:

Grüße,
Gérome

Ich hätte ne bitte an itst oder alle die weitere Informationen haben.. Da ein Script, was unter anderem auch von mir entwickelt wird, mögliches Angriffsziel ist wären weitere Details zu der Sicherheitslücke mehr als vorteilhaft. Würd mich über ne detailierte Privatnachricht freuen :)

Zitat:

Zitat von Gérome

Ich bin noch auf einer anderen Mailingliste, die angeblich über Neuigkeiten und Patches rund um phpBB berichten solle, aber dort herrscht so ein peinliches Schweigen. :mrgreen:

Was für eine ML soll das sein?

Dominik, was möchstest Du wissen, das nicht in den Statements bei uns im Forum beschrieben ist?

Schon http://www.phpbb.de/viewtopic.php?t=73335 gelesen?

Das ist doch wie bei den Sicherheitslücken bei Browsern. Das phpBB ist sehr weit verbreitet und wird daher halt entsprechend gern nach Fehlerquellen durchstöbert ... und da es auch nur von Menschen programmiert wird ...

Für eine kostenlose Forensoftware kann man den Programmierern keinerlei Vorwürfe machen. Es wird schnell reagiert und entsprechend informiert. Wer einen Sicherheitsupdate / -patch nicht installiert ist halt selbst schuld.

Ja, Sicherheitslücken gibt es immer wieder. Das ist eigentlich nicht zu verhindern. Die Qualität der Software kann man daran festmachen, wie schnell das Entwicklungsteam auf einen kritischen Fehler reagiert und wie schnell die Nutzer über so einen Fehler informiert werden. Wer dann die Sicherheitslücke noch immer ignoriert ist selber schuld.

Viele Grüße
hj

Zitat:

Zitat von itst

Dominik, was möchstest Du wissen, das nicht in den Statements bei uns im Forum beschrieben ist?

Schon http://www.phpbb.de/viewtopic.php?t=73335 gelesen?

Danke, hatte ich nicht :)

Zum Glück wurde der Wurm gestoppt. Das ThWboard war zum Glück nicht, wie zuvor vermutet, betroffen :)

Heise: http://www.heise.de/newsticker/meldung/54550

Hat jemand eigentlich Screens von "umgestalteten" Seiten sichten können?

Würde mich mal interessieren, was aus den betroffenen Seiten gemacht wurde.

Ich denke es wurde schon alles gesagt zu dem Thema.
Das Sicherhetislecks beim phpBB auftreten ist völlig normal. Das passiert bei anderen Softwares auch. Nur da fällt es u.U. nicht so schnell auf, weil phpBB halt sehr weit verbreitet ist.

Alles halb so schlimm.

hmmm. Der 'Spaß' geht weiter und der Wurm in eine zweite, noch aggressivere Runde:
http://www.heise.de/newsticker/meldung/54623.

Wir haben aktuell 500 User online. :wall: Dafür hält sich der Server aber recht wacker. Andere hatten das dreifache an Ansturm und deren Server hat direkt die Schotten dicht gemacht.

Also bei aller Liebe zum phpBB - ich muss mal im stillen Kämmerlei darüber nachdenken, die Info, dass es ein phpBB ist, in eine kleine Grafik zu packen. Dann kann sie künftig wenigstens nicht mehr gespidert werden.

Grüße,
Gérome

Zitat:

Zitat von Gérome

ich muss mal im stillen Kämmerlei darüber nachdenken, die Info, dass es ein phpBB ist, in eine kleine Grafik zu packen. Dann kann sie künftig wenigstens nicht mehr gespidert werden.

Das sollte doch nichts bringen, da der Wurm die Seiten über Google mit inurl:viewtopic.php sucht, oder?

Edit: Ja, tut er ...

$procura = "inurl:viewtopic.php?t=$numero";

Ich hatte folgende .htaccess für euch.. Vielleicht bringt es ja besserung :)

Code:

  SetEnvIfNoCase User-Agent ".*lwp.*" spambot=1

  

  <Limit GET POST PUT>

     Order allow,deny

     deny from env=spambot

     allow from all

  </Limit>

Andere Methode wäre ein kompletter Referal-Ban der Domain http://www.visualcoders.net/

Hat das phpBB denn noch keine IP Flood Protection drinnen? Die sollte eigentlich der hohen Belastung vorbeugen. (Vorausgesetzt viele Anfragen kommen von wenigen IPs.)

Moin Dominik,

besten Dank für Deinen Hinweis mit dem .htaccess-Schnipsel. Ich hatte wenige Minuten zuvor jedoch schon einen Schnibbel bei phpBB.de gefunden. Im Prinzip läuft es in beiden Lösungen auf das Blocken des in diesem Fall offenbar typischen User-Agents "LW-sowieso" heraus.

Seither herrscht wieder eine wundervolle Stille im Forum, so dass man sogar die Festplatten des Servers surren hören kann. ;-)

Grüße,
Gérome

Schon wieder ein neuer Wurm? Man, dass nimmt ja gar kein Ende.
Ein paar Gedanken dazu in meinem neuen Blog ;)

Kann es sein, dass phpbb.de betroffen ist? Kann die Seite nicht aufrugen.

Ist noch unklar. Der Server ist unter sehr hohen Lastspitzen zusammengebrochen wie ich das mitbekommen habe. Wie das nun zustande gekommen ist weiß man noch nicht. Die Leute arbeiten gerade an dem Problem. Kann aber wohl noch etwas dauern.

Wie kann eigentlich ein Server unter Last kaputt gehen? Hardwarefehler? Fehlerhafte Server-Software? Ich kann mir das nicht so recht vorstellen. Eigentlich dürfte bei hoher Last doch alles nur sehr sehr langsam werden, wodurch Clients dann nen Timeout anzeigen, aber wenn die Last wieder weg ist, sollte alles wieder laufen. Kann mir das einer erklären?

phpbb.de ist schon wieder down. :-(

mfg

Nein, wir haben seit gestern abend ein Hardwareproblem, die Maschiene bootet nicht mehr sauber. KA was genau es ist, der Hoster will bis heute abend prüfen und fixen. Shit happens.

Andererseits erspart und das die zweite Welle des Bots ;) Hat also alles auch seine guten Seiten ;)

FYI: Läuft alles wieder.

Tja, es scheint eine neue Version zu geben, den trotz des Updates auf 2.0.11, einer htacces und dem Mod Cracker Tracker kam er rein und legte das Board lahm. es fehlte nur die Seite von der alle reden, ich hatte dann im Board nur noch weisse Seiten und es kam auch keine Fehlermeldung rüber.

liebe Grüsse und einen guten Rutsch, PsychoWolf

Hast du das der phpBB Group gemeldet oder auf phpBB.de geschrieben?
Hört sich eher nach einem Fehler von dir oder deinem Server an, als dass der Wurm da zugeschlagen hätte ...

bist' wahrscheinlich auf einem Shared Server?

Lieber Daniel,
Aber sicher habe ich das dort gleich gepostet ;) Ich hatte einen Mod im board drin zur besseren Indexierung durch SuMa Bots, man denkt das war es !

Lieber hmüller,
Falsch, nicht einmal ein fremder Server, sondern eher ein Eigener ;)

liebe Grüsse PW

EDIT :
Neues zu Würmern und php Scripten :
PhpInclude.Worm - PHP Scripts Automated Arbitrary File Inclusion
Date : 25/12/2004

Note from K-OTik Security : This worm does not have enough similarities with Santy, thus we renamed
this version to PhpInclude.Worm. It targets ANY .PHP page/script vulnerable to a remote file inclusion
(programming) flaw [these vulnerabilities are independent from the PHP version, they result from
common coding mistakes] - Alert : http://www.k-otik.com/news/20041226.PhpIncludeWorm.php

Und dann soll nochmal einer davon reden das nur das phpBB davon betroffen sei ;)

Zitat:

Zitat von PsychoWolf

Aber sicher habe ich das dort gleich gepostet ;) Ich hatte einen Mod im board drin zur besseren Indexierung durch SuMa Bots, man denkt das war es !

könntest Du bitte mal den Link zu dem Beitrag posten? Ich hab' auch einen Suma-Mod drin (den von able2know / Abakus). THX

Zitat:

Und dann soll nochmal einer davon reden das nur das phpBB davon betroffen sei

wie ich schon mal wo geschrieben habe: bei phpbb gab es den großen imageschädigenden Aufschrei (Medienberichte etc.), aber darüber daß auch andere php-Foren Lücken haben, sagt niemand was.

Sorry, war länger nicht da, hier anbei der Link zum thema. Da der Thread aber länger ist habe ich dir den beitrag rausgesucht ab dem es zum Teil auch um den SuMa Mod geht, es ist ein für und wieder, ober es nun war oder nicht, ich kann nur sagen seitdemer nicht mehr drin ist, ist Ruhe ;)

liebe Grüsse PW

Sorry fürs doppelt Posten, aber irgendwie bringt er immer nur ne Zeitüberschreitung beim Versuch normal zu posten.
http://www.phpbb2.de/viewtopic.php?p=121284#121284

lG PW

Ein Grund mehr für schöne Links per mod_rewrite - dann können sich die Bots dummsuchen ;)

Ich hab die Nachricht mal eben übersetzen lassen:

Zitat:

Für eine bessere Welt, wenn wir haben könnten Gewissenhaftigkeit von, wieviel unser Leben ephemer ist, möglicherweise dachten wir zweimal, bevor wir draußen zu den Wahrscheinlichkeiten, daß wir vom Sein glücklich und die anderen felizes.Muitas-Blumen zu bilden haben, die sie früh übermäßig geerntet werden, einige genau noch in den botão.Há-Samen, die nie keimen und haben jene Blumen spielten, die das gesamte Leben leben, bis das Blumenblatt für Blumenblattruhe, gelebt, wenn éden, vento.Mas-Leute weiß nicht liefert, daß adivinhar.Agente nicht weiß während, wieviel Zeit dieses verzieren wird, und auch nicht jene Blumen, die zu unserem redor errichtet worden waren. E sadden wir descuidamos.Cuidamos wenig von uns, des outros.Nos wir für kleine Sachen e, das wir Minuten und kostbare Stunden verlieren. Wir verlieren Tage, zu den anos.Nos-Zeiten, die wir, als wir würden sprechen müssen, wir sprechen übermäßig leise sind, als wir im Silence würden sein müssen. Wir geben nicht den Arm, den so viel unsere Seele um bittet, weil hindert etwas in uns, gibt dieses aproximação.Não einen liebevollen Kuß ", weil wir nicht mit diesem "gewöhnt werden und sagt nicht, daß wir mögen, weil wir finden, daß das andere automatisch weiß, was wir glauben. E führt die Nacht und kommt der Tag an, wird die Sonne und adormece getragen und dasselbe eine fortsetzt, innen geschlossen haben wir nós.Reclamamos von dem wir nicht oder finden, daß wir nicht sufficients haben, Aufladungen von den anderen, das Leben, von uns selbst, in consumimos.Costumamos sie, um unsere Leben mit den von dem zu vergleichen, das sie mehr als Leute besitzen. E, wenn wir versuchten, mit dem zu vergleichen, besitzen sie wenig? Dieses würde großes unterscheiden! E, welches die Zeit vergeht..., Wir überschreiten für das Leben, wir nicht vivemos.Sobrevivemos, weil wir nicht wissen, um eine andere Sache bis unerwartet uns zu bilden aufwachen und wir pra trás.E dann betrachten, wenn wir um sie bitten: e jetzt? Jetzt heute ruhig ist es Zeit, irgendeine Sache wieder aufzubauen, um zu geben dem Armfreund, ein liebevolles Wort zu sagen, um für das zu danken, das wir haben. Er ist nie übermäßig oder Junge übermäßig zu lieben, ein gentile Wort zu sagen alt oder eine Geste carinhoso.Não es Blicke an für trás.O zu bilden, das es führte, überschritten. Was wir verlieren, verlieren wir. Es betrachtet nach Frontseite! Noch ist es Zeit, die Blumen zu schätzen, die zu, das unseren gesamt sind, redor.Ainda Zeit sind, Gott zu drehen und für das Leben dankbar zu sein, dieses genau ephemere, noch in uns ist. Es denkt..., Es verliert es nicht mehr...

Oder (besser :)):

Zitat:

For a Better World If we could have conscience of how much our life is ephemeral, perhaps we thought two times before playing outside to the chances, that we have of being happy and to make the other felizes.Muitas flowers they are harvested early excessively, Some exactly still in botão.Há seeds that never sprout and have those flowers that live the entire life, until petal for petal calm, lived, if éden delivers vento.Mas people does not know adivinhar.Agente does not know for how much time will be decorating this, and neither those flowers that had been planted to our redor. E we descuidamos.Cuidamos little of us, of the outros.Nos we sadden for small things e we lose minutes and precious hours. We lose days, to the anos.Nos times we are silent when we would have to speak, we speak excessively when we would have to be in silence. We do not give the arm that as much our soul asks for, because something in us hinders this aproximação.Não gives an affectionate kiss "because we are not accustomed with this", and does not say that we like because we find that the other knows automatically what we feel. E passes the night and arrives the day, the sun is born and adormece and continues the same ones, closed in we nós.Reclamamos of that we do not have, or finds that we do not have sufficients, Charges of the others, the life, of we ourselves, in consumimos.Costumamos them to compare our lives with the ones of that they possess more than people. E if we tried to compare with that they possess little? This would make a great difference! E the time passes... We pass for the life, we do not vivemos.Sobrevivemos, because we do not know to make another thing until, unexpectedly, we wake up and we look at pra trás.E then in asking them: e now? Now, today, still it is time to reconstruct some thing, to give to the arm friend, to say an affectionate word, to thank for that we have. He is never old excessively or young excessively to love, to say a gentile word or to make a gesture carinhoso.Não it looks at for trás.O that it passed, passed. What we lose, we lose. It looks at for front! Still it is time to appreciate the flowers that are entire to ours redor.Ainda are time to turn God and to be thankful for the life, that exactly ephemeral, still is in us. It thinks... It does not lose it more...

Die wahrscheinlich brasilianische Cracker-Gruppe hat ein paar hundert Sites defacet. Einstiegspunkt ist mit großer Wahrscheinlichkeit ein Bug in AWStats.

AWStats ist das nicht eine Mod?
Seit wann hat denn phpBB.com Modifications drin?