Sicherheitslücke in phpBB-Forum?
 

Hallo allerseits!

Ich betreibe ein kleines Board mit der Software phpBB 2.0.10.
Gestern fand sich auf der Hauptseite anstatt der Forenbeschreibung eine 1px-Grafik von iframe.biz

Zusätzlich hat auch noch mein Virenscanner angeschlagen, ohne einen bestimmten Schädling zu definieren.

Wie kommt die Grafik an einen Platz, den man nur per Passwort betreten kann?

Was kann ich dagenen tun (außer Passwort ändern)?

1. die software immer auf aktuellen stand halten (apache, php, phpbb,...)
2. melde dich bei den mailinglists der verwendeten produkte an, manche haben eine eigene security liste.

Danke, spunz.

bzgl. apache & php kann leider höchstens mein Hoster was ändern ...

Noch eine Frage aus dem Bauch heraus bzw. vor der Recherche: wenn ich eine neuere phpBB-Version einsetzen will, können Konfiguration & Datenbank erhalten bleiben oder muss ich wieder bei 0 anfangen?

db sichern, und drüberinstallieren? ich vermute mal es gibt auch ein upgrade handbuch für phpbb.

Also wenn du ein reines phpbb2 Forum hast (also ohne Mod's) dann kannst ganz einfach die aktuelle Version von phpbb2 drüberspielen - du musst nur halt auch ein DB-update machen (dazu wird aber ein php File mitgeliefert - also geht ganz einfach) - natürlich bleiben die Daten und Einstellungen erhalten, jedoch solltest du trotzdem vorher ein Backup machen - nur für den Fall der Fälle!

Hier der link zu aktuellen Version (2.0.18) dort findest du die nötigen Files - wenn du noch 2.0.10 verwendest, wirds wirklich Zeit für ein Update, da in der Zwischenzeit sehr viele Bugs & Sicherheitslücken gefixt worden sind.

Wenn du weitere Fragen hast, einfach melden!

cya noid

Danke noid.
Ich hab mir die aktuelle Version heruntergeladen, finde aber kein german laguage-pack dafür. Wo muss ich suchen?

Schau mal DA ;-)

cya noid

Danke vielmals!
Ich hoffe, ich kann bald eine Erfolgsmeldung posten ...

Generell sind solche Fragen im jeweiligen Forum der Software besser aufgehoben.

gruss,
snowman

Da hast du natürlich recht ...
Bitte trotzdem nochmal um Hilfe:

Bin folgendermaßen vorgegengen:
* Hauptordner (forum) per ftp-client umbenannt (forum_old)
* Die neuen Forendaten des entpackten zip-Archives in den neuen Ordner (forum) übertragen
* index.php im Browser aufgerufen und die Daten für das Upgrade eingegeben

=> keine Verbindung zur Datenbank möglich.
Was hab ich falsch gemacht? Alle eingegebenen Bezeichnungen und Kennwörter sind 100%ig richtig.

hmm das ist komisch, versuch einfach einmal dein config.php vom alten Forum in das Neue zu kopieren! (Die Datei liegt im root - dort sind die Daten für die DB gespeichert)

Wenn du dann auf das Forum zugreifst, müsste eine Meldung kommen, dass dein Installverzeichnis nicht leer ist (falls du das Update der DB noch nicht gemacht hast) --> mach das Update der Datenbank (mit dem "update_to_latest.php" File im install ordner)

Dann löschst du den install Ordner und jetzt müsstest auf das Forum normal zugreifen können.

mfg noid

Hat leider nix gebracht - es kam nur die Meldung: "Could not connect the database"

Wie mach ich genau ein Update der Datenbank? Das php-File "update_to_latest.php" habe ich eingespielt, es kommt aber ebenfalls obige Fehlermeldung.

klar, das update kann nicht gehen, wenn er nicht zur Datenbank verbinden kann...

Die Datenbank die im config.php angegeben ist, exisitert aber schon noch, oder?
und geht die alter Version noch?

mfg noid

Habe jetzt die "richtige" config.php upgeloadet und kam zur Startseite des Forums auf Englisch (ohne install-Eingaben machen zu müssen) konnte aber nicht auf die deutsche Version umschalten.
Beim Einloggen erhielt ich eine Fehlermeldung (siehe Attatchment)
Ja, alte Version funktioniert klaglos.

Sorry, das Uploaden des Bildes hat nicht funktioniert.
Fehlermeldung war wie folgt:

1) 2.0.10 ist offen wie ein Scheunentor (stichwort: highlight exploit)

2) Hast du zufällig ssh Zugang ? Denn dann wäre es ein Leichtes, per patch deine alte Version weiterzubenutzen und somit Frickelei zu verhindern.

Nun hast du jetzt, mit der richtigen config.php datei schon das oben genannte update der DB gemacht??? Die Fehlermeldung liest sich nehmlich so, wie wenn du das noch nicht gemacht hättest!

cya noid

config.php
Mehr steht (mit den korrekten Angaben) nicht drinnen.
Muss ich vielleicht in sessions.php was ändern? Oder muss mir mein Hoster eine neue Datenbank stricken?

leider kein ssh-Zugang :heul:

@ noid:
Auch beim Einspielen von "update_to_the_latest.php" kommt die gleiche Fehlermeldung, nur werde ich vorher aufgefordert, die Ordner "install" und "contribute" zu löschen.

Ok, nachdem ich jetzt nochmal nachgeschaut habe, es steht im install file, dass man das Update der DB machen muss, bevor man die neuen Daten raufspielt...

Ich würd also einfach das Update über das alte Forum ausführen, dann müsste es auch im neuen gehn... (Aber vorher auf jedenfall eine Sicherung der DB machen!)

mfg noid

Danke, dass du dir soviel Zeit nimmst!
Wie muss ich in diesem Fall genau vorgehen? msql-Backup ist mir klar. Nur zu meinen alten Daten den neuen "install"-Ordner kopieren und dann die Routine laufen lassen?

Bitte, kann doch nicht sein, dass wir das neue phpbb board nicht zum laufen kriegen ;-)

Genau, einfach den install Ordner in das Verzeichnis vom alten Forum kopieren und dann das "update_to_the_latest.php" von dort ausführen!

Wenn das geklappt hat, ists wichtig, damit du dann wieder ins Forum kommst, dass du den install ordner und auch den contrib ordner (falls du den im neuen Forum noch hast) löschst. (aber sonst kommt eh ne Fehlermeldung...)

So ich hoff das funktioniert jetzt *g*

cya noid

So, jezt hab ich "install_the_latest.php" in das alte Forum ausgeführt, die entsprechenden Ordner wieder gelöscht und kommen wieder ins (alte V. 2.0.10) Forum rein.
Ist es jetzt allein durch das Update der Datenbank sicherer geworden oder muss ich wieder die neuen Files von 2.0.18. ausführen? Wenn ich das jetzt nämlich mache, kommt wieder dieselbe Fehlermeldung wie gestern.

Also das Update der DB hat ohne Fehler funktioniert?

Nun mit dem DB-Update alleine ist es leider nicht getan! - du brauchst auch die neuen Dateien der Forensoftware!
Jetzt hast noch immer den Fehler:

oder?

wenn ja dann kannst folgendes probieren - am einfachsten über phpmyadmin - führe folgendes Query aus, das ergänzt das fehlende Feld:

Falls du infos zum Query ausführen in phpmyadmin brauchst, schau da

mfg noid

Halleluja! - Das msql-Query hat Erfolg gehabt!

Recht herzlichen Dank, Noid! Ich schulde dir mindestens ein Bier!

PS: es ist dieses Forum.

Edit: Leider zu früh gefreut - ich kann mich zwar als Admin einloggen, komme aber nicht zur Administrationsübersicht - buhu!

Nochmals Edit: passt jetzt Gott sei Dank - hab da ein paar alte und neue Files durcheinandergebracht beim Raufspielen. Jetzt funktioniert es bestens!!!

PS: Ich erlaube mir noch eine Frage:
Welcher FTP-Client ist für solche Sachen ratsam? Ich verwende eine alte freie Version von WS_FTP, die ist aber nicht praktisch, weil man Ordner nur löschen kann, wenn diese bereits leer sind.

Noch ein letztes:
Gestern hat mein Schwiegervater von seinem Provider eine Warnung bezüglich phpBB 2.0.10 bekommen - siehe Att.

Bitte gerne! Super, das es endlich klappt :-)

Also ich nehm SmartFTP - find ich ganz ok, aber FTP-Clients gibts ja wie Sand am Meer....

cya noid

ps: man sollte immer mit seiner (Foren)Software up-to-date sein -> darum solltest du dich ev. auch auf der phpbb.com Mailinglist eintragen, dann wirst immer sofort über kritische Sicherheitslücken und Updates informiert!