Schwere Sicherheitslücke im phpBB

Allgemeines Forum zum Thema Apache Friends. Bei Problemen mit XAMPP bitte entweder das Linux- oder das Windows-Forum benutzen. Hier geht's wirklich nur ganz allgemein um Apache Friends.

Schwere Sicherheitslücke im phpBB

Postby Stefan » 22. March 2004 15:56

Servus,

ich wollte grad mal bei phpBB schauen, wie es um so ein erzeugtes Bildchen mit einen Schlüssel für die Registrierung steht....

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=182281

Gruß
Stefan
User avatar
Stefan
 
Posts: 475
Joined: 26. December 2002 22:36
Location: Mitten in der sonnigen Südpfalz

Postby Oswald » 22. March 2004 18:43

Huhu Stefan!

Danke, hab grad heut Mittag geupgraded!!

Hast Du bzgl. Bildchen was gefunden?

Liebe Grüße
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Stefan » 22. March 2004 20:10

Grüß Dich Kai,

nasoooooowas...

* http://www.phpbbhacks.com/viewhack.php?id=560
A few days ago, I heard that some forums were flooded by robotic registration... I got scared and created this hack!

This hack will add a piece of graphical-text on the registration form and user will have to copy into a text field (it is very similar to many free web hosting signup forms).

This hack will give your forum an added level of security.


Oder was in deren Board von Usern empfohlen wird

Vielleich hilft ja auch die Installation von Visual Confirmation.

Zu finden im Ordner contrib.


nachzulesen in dieser Diskussion:
* http://www.phpbb.de/viewtopic.php?t=464 ... ngs+schutz

Gruß
Stefan
User avatar
Stefan
 
Posts: 475
Joined: 26. December 2002 22:36
Location: Mitten in der sonnigen Südpfalz

Postby Oswald » 22. March 2004 21:34

Ahoi Stefan!

1000 Dank für's Recherchieren. Visual Confirmation klingt für mich erst mal interessanter da es ja offiziell mit dabei ist. Man sollte vielleicht häufiger mal ins contrib-Verzeichnis gucken. ;)

Liebe Grüße und noch mal vielen Dank
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Oswald » 23. March 2004 13:49

Hmm.. die Visual Confirmation-Dateien sehen so aus, als ob sie nicht für 2.0.7 wären... Also doch mal das andere ausprobieren.
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Stefan » 23. March 2004 14:21

Seruvs,

es gibt da noch einen anderen "Yet Another Anti Robotic Register Flood"
* http://www.phpbbhacks.com/viewhack.php?id=1263

Ansonsten scheint das wirklich ein viel verbreitestes Übel bei phpBB Betreibern zu sein. Wenn es hier in Deinen Board nur ein "paar" sind, kannst Du noch froh sein. Sieht so aus als wären bei machen schon hunderte solcher Registrierungen durchgegangen. Die Usernamen und emailadressen scheinen sich auch auf vielen Seiten zu decken. Ist wohl ein gewiefter Roboter, der eine bestimmten Satz an Kombinationen(username/email), jeweils in Verbindung mit Pornoseiten als URL unters Volk bringt.

Konnte leider nicht mehr Hinweise finden. Ausser vielleicht, was das "visual confirm" betrifft:
Gegenmaßahmen:
- Accountfreischaltung per Admin (dann bleiben allerdings die inaktiven Accounts vorhanden)
- Visual Confirmation aktivieren (ab phpBB 2.0.5 im contrib Ordner)

Ist vielleicht doch für 2.0.7 benutzbar.(?)

Na immerhin habe die auf phpBB.com sowas, also muss es ja bei Dir auch ein Lösung geben.
* http://www.phpbb.com/phpBB/profile.php? ... greed=true

Viel Erfolg!
Stefan
User avatar
Stefan
 
Posts: 475
Joined: 26. December 2002 22:36
Location: Mitten in der sonnigen Südpfalz

Postby Oswald » 23. March 2004 15:01

Huhu Stefan!

So, ich hab's jetzt einfach mal getan: Visual Confirmation installiert und aktiviert. Ein Proberegistrieren von mir hat funktioniert. Ich hoffe mal, dass es auch für die anderen (neuen) Benutzer funktioniert.

Wenn das alles an Arbeit war, dann ist's okay. ;)

Liebe Grüße
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Apache-User » 28. February 2005 15:37

mfg
D.A.U.™
User avatar
Apache-User
 
Posts: 594
Joined: 30. December 2002 16:50
Location: anonym

Postby Oswald » 28. February 2005 15:58

Huhu Apache-User!

Jau auch schon gesehen. Hab heut morgen schon auf 2.0.13 geupdatet.

Vielen Dank und liebe Grüße
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux


Return to Apache Friends

Who is online

Users browsing this forum: No registered users and 8 guests