#1
| |||
| |||
WBB2 gehacked - suche nach sicherem ForumDer Titel sagt eigentlich alles. Da der Hacker ziemlich motiviert zu sein scheint, wird er wohl beim Umzug auf einen neuen Server und ein neues Board mit von der Partie sein. Das alte war ein Burning Board 2.3.3. Gibt es was halbwegs sicheres? |
#2
| |||
| |||
Wenn du Sicherheitsupdates nicht einspielst wird keine andere Software sicherer sein. Man muss sein Projekt schon pflegen. |
#3
| |||
| |||
für updatefaule Admins ist glaube ich zur Zeit das wBB3 noch das Beste, da der automatische Updater wenig Hirnschmalz braucht und sich mal nebenbei ausführen lässt alternativ ist glaube ich auch das Viscacha mit so einer Technik erweiterbar und hätte den "Vorteil" einen geringeren Bekanntheitsgrad zu haben, weswegen sich das gemeine Skriptkiddie ohne die bebilderten Hackanleitungen schwer tun wird |
#4
| |||
| |||
Der Admin war nicht ich. Ich war bisher nur normaler User, der das Board jetzt notgedrungen übernimmt weil der Admin nach den Hackerangriffen keine Lust mehr hat. Deshalb wäre ich auch begeistert wenn die Software kostenlos wäre. Vielen Dank für den Tipp mit Vischara, das seh ich mir mal an. |
#5
| ||||
| ||||
|
#6
| |||
| |||
Hi, mit dem Viscacha kann man nur updates von erweiterung etc beziehen. aber in der nächsten Version wird das Updaten viel einfacher gemacht. Aber mit der Sicherheit steht es bei dem Viscacha gut, vorallem weil es noch relativ unbekannt ist. Das VB ist auch relativ gut, was die Sicherheit angeht. Wenn du einmal gehackt worden bist, dann wirst du zumidest von dem einem "Hacker" nicht noch mal "gehackt". Dono |
#7
| ||||
| ||||
Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. Funktioniert vorerst sehr gut gegen das unbeabsichtigte Veröffentlichen oder Verändern von Beiträgen, ist aber noch nicht fälchendeckend umgesetzt. Welche andere Forensoftware hat das eigentlich noch? __________________ Yves Goergen Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit) |
#8
| |||
| |||
@Dono wir wurden vier Mal gehackt. Da hatte scheinbar jemand Freude. Wie ist es mit dem SMF, ich habe gehört, das soll auch relativ sicher sein? |
#9
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 11:23 Uhr). |
#10
| |||
| |||
Hi, weil ihr öfters gehackt worden seit, lässt sich daraus schliesen, das er das aus einem bestimmtem Grund macht, und wahrscheindlich nicht so viel ahnung hat. Also einfach eine Version hollen wo keine sicherheitslücken bekannt sind, und wenn sie schnell gefixt werden z.B. Viscacha, Vbuletin etc. Dono |
#11
| |||
| |||
Najaaa... ein Grund für den Umzug ist ja auch, dass es keine funktionierende Sicherung vom Forum gibt. Ich sehe, wie sich die ersten Zehennägel aufrollen. Ich werde versuchen, alles besser zu machen Danke für eure Bemühungen! |
#12
| ||||
| ||||
Wieso gibt es keine funktionierende Sicherung? Dann mach doch einfach eine. Das geht unabhängig von der Software ungefähr so: Datenbank-Sicherung mit phpMyAdmin, Dateisicherung mit FTP. Wiederherstellung geht mit denselben Werkzeugen, nur in die andere Richtung. Außerdem ist eine Sicherung zum Schutz vor Verlust doch eigentlich Aufgabe des Server-Betreibers, der meist automatisiert täglich alle Benutzerdaten sichert. __________________ Yves Goergen Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit) |
#13
| |||
| |||
Es gibt keine weil ich nicht der Admin bin und der Admin keine gemacht hat. Es gibt jetzt eine, die aber nicht wirklich funktioniert, weil ich sie (ich werde das Forum übernehmen, damit es nicht geschlossen wird) erst nach dem Angriff machen konnte. - es ist Werbung eingebaut und das ACP funktioniert nicht mehr. Außerdem dürfte der Einbrecher einige/alle Passwörter haben. Die Forensoftware kann ich auch nicht mal eben nachkaufen (Admin hat sie auch nicht mehr wg. Festplattencrash), bin auch kein Profi so dass ich die Dateien selbst reparieren könnte. Deshalb sehe ich im Moment keine andere Möglichkeit, als das Forum ganz neu aufzusetzen. Schade um User und Beiträge (290/30.000), aber hm, nunja. Gestern bin ich auf die Möglichkeit eines Konverters gestoßen. Welche Daten/Dateien werden da mit übertragen? Wenn ich den H. und die Werbung dann mit an Bord habe, macht der Aufwand ja wenig Sinn. Dann lieber ganz neu anfangen. Vielen Dank für die Geduld |
#14
| ||||
| ||||
Ich würd bei der Gelegenheit u.U. auch den Webhosting-Anbieter wechseln, wenn der dir kein Backup anbieten kann. So ein Zufall… weißt du eigentlich, wie selten Festplatten kaputt gehen? Ich vermute, dass es viel öfter vorkommt, dass der Benutzer vor dem Bildschirm grob fahrlässig alle Dateien löscht. Es gibt oft die Möglichkeit, Daten aus einer existierenden Forendatenbank in ein neues Programm zu übertragen. Ob es so einen Konverter gibt, hängt vom bisher verwendeten und auch vom neuen Forum ab. Denn für genau diese Kombination muss es den Konverter geben. Und von diesem Konverter hängt es dann ab, welche Daten in welcher Qualität übertragen werden. Es kann sein, dass manche Angaben nachher fehlen, oder Zuordnungen falsch sind, oder es gar nicht funktioniert. Musst du halt suchen und selbst ausprobieren. Frag das am besten beim Hersteller/Support/Community des Forums nach, das du dann verwenden möchtest. __________________ Yves Goergen Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit) |
#15
| |||
| |||
nun, Werbung lässt sich ja normal löschen (wenn JScript in den Beschreibungen der Foren ist einfach im Browser JS deaktivieren) und zumindest vom SMF müsste es einen Converter geben fürs wBB2 (Viscacha hat im übrigen auch einen) IDR brauchst du da auch nur die DB und evtl die Dateiangänge/Avatare wenn die unterstützt werden Je nach Zustand des aktuellen Boards und Wichtigkeit der Themen kann man auch überlegen die alten Daten als ein Archiv zu erstellen und im neuen Board wirklich neu zu starten |
#16
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 11:23 Uhr). |
#17
| |||
| |||
LonelyPixel: Jap, Webhostinganbieter-Wechsel ist bereits beantragt. Hmm... ich glaube, ich würde auch von einem Festplattencrash erzählen, wenn ich das versemmelt hätte. Einen Konverter gibt es, den werde ich nach dem Umzug dann ausprobieren. Habe mich auch schon im entsprechenden Forum angemeldet und nachgefragt. Titus: Das mit dem Löschen hatte ich bis vorhin irgendwie nicht hinbekommen. Das ACP funktioniert nicht mehr vollständig, und wenn ich die entsprechende Datei direkt geändert habe bekam ich beim Seitenaufruf eine Fehlermeldung, dass xyz nicht mit dem Cache übereinstimmt o.ä.. Jetzt bin ich soweit, dass die Werbung weg ist und ich nur noch im Fuß eine kleine Fehlermeldung habe. Brauche eben ein wenig weil ich noch nicht so viel Erfahrung habe. Außerdem habe ich erst seit ein paar Tagen die entsprechenden Rechte. Das mit dem Archiv ist auch mein Notfallplan. rellek: Daran hatte ich ehrlich gesagt noch garnicht gedacht: Sehr geehrte Damen und Herren, ich bin zwar nicht die Person, die einen Vertrag mit Ihnen abgeschlossen hat, aber ich habe ein Forum übernommen, dessen Besitzer das wohl mal getan hat. Würden Sie mir bitte einen Mitgliederaccount einrichten? Mit freundlichen Grüßen usw. |
#18
| ||||
| ||||
..... Geändert von rellek (08.05.2019 um 11:23 Uhr). |
#19
| ||||
| ||||
phpBB3, standardmäßig (die Form Tokens die im Template eingefügt werden). Ich glaube SMF, IPB, vBulletin (und bestimmt auch andere) haben dies auch. Ist inzwischen Standard (oder sollte es zumindest sein). __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#20
| ||||
| ||||
Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt). __________________ Yves Goergen Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit) |
#21
| ||||
| ||||
Zitat:
Wenn du das implementierst dann achte auf 2 Dinge: 1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind. 2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen. __________________ Meik Sievertsen phpBB Development Team Leader phpBB3 Development | phpBB / Projekte: mobilfunk-guenstiger | stromtarife vergleichen/wechseln |
#22
| ||||
| ||||
Zitat:
Zitat:
__________________ Yves Goergen Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit) |
#23
| |||
| |||
Zitat:
~H |
#24
| ||||
| ||||
Oh, du hast Recht. – Aber nun, so kann man ja keine POST-Formulare absenden. (Hab das grade mal ausprobiert.) Zumindest das kann man damit ein Stück zuverlässiger gegen diese Angriffe absichern. __________________ Yves Goergen Softwareentwicklung, Fotografie, Webhosting, UNB Components (in Arbeit) |
#25
| |||
| |||
Ich empfehle Ihnen auf keinen Fall eine OpenSource Forum-Software zu nehmen. Bei kommerzieller Software ist der Source-Code nicht frei verfügbar und deswegen werden dort nicht so heufig Sicherheitslücken gefunden. Oder Sie nehmen einen Forum-Hoster, der auf eigener Software basiert. Wir haben mit communityhost.de gute erfahrung gemacht. Allerdings haben Sie bei solchen Hoster keinen direkten Zugriff auf alle Daten und das ist aus meiner sicht ein entscheidender Nachteil. |
Stichworte |
wbb, woltlab |
Themen-Optionen | |
Thema bewerten | |
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Suche sehr gut besuchtes PC Modding Forúm | tschekowski | Projektvorstellung und Bewertung | 3 | 28.03.2009 01:24 |
Vorstellung Forum TalkClub | Ingrid | Projektvorstellung und Bewertung | 7 | 18.02.2008 16:28 |
Suche Forum mit Profilfeldern | svenhein | Entscheidungshilfe | 6 | 19.08.2007 23:40 |
Forum einbinden | skeff | Entscheidungshilfe | 3 | 02.08.2007 10:56 |
Gossamer Forum | MrNase | Forensoftware | 4 | 17.04.2004 17:26 |