Ich persönlich glaube, dass Woltlab nur versucht, seine eigenen Fehler zu verschönigen. Warum sonst kam gestern/vorgestern(?) das Update auf 3.0.4? Netter Zufall
Da ich die Verwendung von WBB3 überhaupt nicht empfehle, würde ich zumindest den Webmastern eines WBB2 empfehlen, ihr Board auf Salted Hashes umzustellen.
@Nordin
Was Jürgen meint ist eine Technik, die ich ihm vor kurzer Zeit mal gezeigt habe. Ich habe auch im GTChatforum einen entsprechenden Post geleistet:
Guten Abend,
in Bezug auf das von Jürgen erstellte Thema
Anhäufung von Hackangriffen möchte ich noch einiges hinzufügen:
Eine der wichtigsten Dinge ist das bereits genannte Absichern des Administrationsbereichs.
Nehmen wir beispielsweise das warscheinlich bekannteste Forensystem: Das Woltlab Burning Board in der Version 2.3.6.
Dieses besitzt beispielsweise die Lücke, mit der sich der Angreifer mittels verschiedenster Methoden den Passwort Hash eines Administratoren besorgt.
Hat er diesen, versucht der Angreifer nun, den Hash zu entschlüsseln und an das eigentliche Kennwort zu kommen.
Sollte das Passwort gut gewählt sein und keinen leicht zu knackenden Wert beinhalten, ist ein "Angriff" (wie man so schön sagt, denn die Begriffsbezeichnung ist ziemlich weit hergeholt) nicht so schlimm.
Sollte der Angreifer jedoch mit Erfolg gekrönt sein, kann er sich in das Admin Menü einloggen. Jetzt die Gefahr: Dem Angreifer ist es mittels der Funktion "Avatare einlesen" möglich, den Inhalt des Ordners acp/lib/ als Avatare einzulesen. Darunter befindet sich u.a. die Datei config.inc.php. Danach noch herunterladen und gut ist...
Diese Datei (für jene, die es nicht wissen) beinhaltet alle relevanten Daten zur Verbindung mit dem MySQL Server. Viele Betreiber machen den großen Fehler und benutzen zur Verbindung mit dem MySQL Server das selbe Passwort, wie für die FTP Verbindung.
TIP: Niemals das Selbe Kennwort für den MySQL Server und den FTP Zugang (evtl. auch Confixx, Plesk usw...) verwenden!Desweiteren kann der Angreifer sich bei den Foren, in denen es sich lohnen würde, auch mal eben so ein Backup der Datenbank herunterladen. Dieses Backup beinhaltet neben den Styleinformationen (schlecht für individuelle oder gekaufte Styles) nun auch alle Beiträge, Themen und Benutzerinformationen (E-Mail Adressen uvm.).
Ob man es glaubt oder nicht: Selbst die MAFIA ist interessiert an florierendem Userzuwachs eines Forums. Denn die bekannten Mails mit Titel wie "Buy Viagra" oder "Cheap penis enlargement" stammen nicht unbedingt nur von schlecht verdienenden Pharmazeuten... Das nur nebenbei bemerkt...
Das nächste und warscheinlich auch größte Problem für einen Forenbetreiber ist, wenn der Angreifer ein wenig Grips hat und vor hat, ein Forum zu zerstören. Dann fängt der Angreifer nämlich an, sich an der SQL befehlskonsole zu vergreifen. User, die ein wenig Ahnung haben, werden wissen, was ich meine. Der hier schädliche Befehl ist u.a. "TRUNCATE TABLE". Unter Verwendung der richtigen Tabellenbezeichnung leert dieser Befehl diese Tabelle und entfernt alle darin enthaltenen Datensätze. Will ich als Angreifer beispielsweise jemanden ärgern, benutze ich zum Beispiel den Befehl "TRUNCATE TABLE `bb1_templates`". Was passiert? Alle Templates des Forums wurden entfernt.
Ich will jetzt aber auch keine Anleitung geben, sondern einfach nur die Gefahr nah legen, die hier entsteht.
Die nächste und größte Gefahr ist das einspielen einer sogenannten "PHP-Shell". Diese ermöglicht es einem Angreifer bei deaktiviertem Safe Mode, eventuell Gewalt über den ganzen Server zu erlangen. Selbst bei Strato Servern funktioniert sowas (Ich muss zugeben, dass ich es mal ausprobiert habe mit dem Webspace meines Chefs
)
So kann der Angreifer sich nun breit machen, durch andere Webs auf dem Server stöbern oder evtl. auch die Datei /etc/passwd auslesen. Ferner aber, kann der Angreifer ganz ohne ein FTP Kennwort alle Dateien nach Lust und Laune bearbeiten, löschen oder herunterladen (ärgerlich bei gekauften oder selbst gebauten Hacks und Scripts).
TIP: Das Administrationsmenü sollte unbedingt durch eine .htaccess Datei abgesichert werden. Ein entsprechendes Addon findet man beispielsweise bei MyWBB.Prinzipiell gesehen gibt es keine perfekte Software. Es wird immer irgendwelche Lücken geben, die ein Angreifer nutzen kann um an sensitive Daten zu kommen oder eine evtl. gut laufende Community zu zerstören.
Das wichtigste beim Betrieb eines Scripts ist, dass man
- ein sicheres Kennwort besitzt (Unter "sicher" versteht man diie Verwendung von klein und Großbuchstaben sowie Zahlen und evtl. Sonderzeichen)
- die aktuellste Version der Software besitzt
- evtl. Systembereiche durch die Verwendung einer .htaccess Datei schützt
- nicht zu viele inoffizielle Erweiterungen einbaut, die evtl. selbst Sicherheitslücken vorweisen (siehe das aktuelle JGS-Portal).
So kann man zumindest verhindern, dass der Angreifer durch Eigenverschulden überhaupt die Möglichkeit hat, irgendetwas zu unternehmen.
Zudem sollte man sich immer überlegen, ob es Sinn macht, für alle Dienste, die man selbst in Anspruch nimmt, das selbe Kennwort zu verwenden. Man sollte bedenken, dass selbst die unscheinbarsten Webmaster (und wenn diese noch so freundlich sind) auch im wahrsten Sinne des Wortes "Arschlöcher" sein können und durch erweiterte Techniken das Passwort seiner User ausspähen könnten.
Wer jedoch fahrlässig die "Privatsphäre" seiner User gefährdet, macht sich selbst unbewußt strafbar. Denn ein Webmaster ist für die Geheimhaltung der nicht öffentlich zugänglichen Daten verantwortlich.
Das wars erst einmal von meiner Seite
