 Thema: Hilfe gebraucht 2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung? |
|
|
Danke für die erneute Info.
Zum Exploit:
Mir ist aufgefallen, dass mein Startpost nicht ganz aktuell war.
Was ich nun weiß, ist:
- Der Exploit existiert definitiv (der Typ hat uns gestern unsere Adminkennwörter innerhalb von Sekunden präsentiert)
- es liegt am WBB2 selbst (nicht über einen Hack)
- es kann ANGEBLICH das CT Security System umgehen (das kann ich natürlich schlecht definitiv bezeugen, da ich es bis dato noch nicht habe)
- muss wohl am ACP-Ordner liegen, denn der Tipp war dann, dass es für die meisten Fälle ausreichend wäre, sich eine htaccess zusätzlich fürs ACP zu machen (mit Passwortschutz). Wenn jemand dann doch rein will und auch um sowas herumkommt, ist man eh tot...
Ja, das ist das, was ich so weiß... da ich kein Großmeister von PHP und SQL bin, bin ich ansonsten vollkommen aufgeschmissen, was das angeht :/
Es soll nur eine sehr interessante und gut versteckte Lücke sein und über eine non public sql injection gehen :/
|
|
| Thema: Hilfe gebraucht 2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung? |
|
|
Also nach eigener Aussage kam er durch das C&T durch.
Der Exploit scheint im ACP zu liegen.
Als Beweis hatte er in wirklich wenigen Sekunden unsere Passwörter - bei Bruteforce hätte er dafür v.a. bei meinem Wochen gebraucht.
Sein einziger "Tipp" war, und da bin ich leider auf ihn angewiesen, dass htaccess für die gröbsten Scriptkiddies ausreichen würde, C&T meist auch noch.
Er sagte aber auch, der Exploit sei so gesehen super einfach und wie gesagt, sei er sehr effektiv (zumal er auch so reinkommt, wenn z.B. C&T installiert ist - ich glaube ihm das so erst einmal, er schien wirklich viel Ahnung zu haben).
Einzige Hoffnung ist, dass er nichts vorhat und dass er den Exploit nicht weitersagen will - obwohl "Hoffnung" nenne ich das nicht...
EDIT://
Von 100%iger Sicherheit spricht eh keiner.
Aber solche Exploits sind gefährlich.
Wenn man da in Sekundenschnelle reinkommt, Passwörter nutzen kann und die Datenbank runterlädt, kann man bei einem großen Forum schon viel anrichten (v.a. AOL Accounts, falls jemand aol-Mail und sein AOL-Passwort auch im Board verwendet)...
|
|
| Thema: Hilfe gebraucht 2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung? |
|
|
Hi,
unser Forum wurde von jemand Anonymen (leider) unsicher genannt.
Aussage, dass man es hacken könnte, wenn man nach einem "non public sql injection exploit" gesucht habe.
Weiterhin hieß es, wir könnten dagegen nichts tun, da wir alle Updates hätten und Woltlab da noch nichts zu rausgebracht hätte...
In den letzten Tagen seien so einige Foren davon kompromittiert worden...
Könnte das vielleicht bitte jemand bejahen oder verneinen?
Wäre euch für Antworten sehr dankbar, unsicher bin ich jetzt schon.
Danke im Voraus.
mfg
mS][Scorp
|
|
 Thema: ACP Fehler Welcome-Seite ist blank/weiß/leer |
|
|
Hi,
ich habe gemerkt, dass (nur auf dem Online-Server, nicht auf meiner Festplatte mit XAMPP z.B.) meine Welcome-Seite im ACP leer ist (also auch nur der Inhaltsframe von welcome.php).
Templates des ACP neu cachen oder auch acp/welcome.php bzw. /templates/welcome.htm und cache/templates/acp/welcome.php auszutauschen (d.h. die offensichtlich funktionierenden von der Festplatte aus hochzuladen) brachte ebenfalls nichts...
Der Rest des ACP funktioniert einwandfrei - keine Fehler, alles schnell usw...
Es kann also theoretisch erstmal nur an dieser welcome-Seite selbst liegen...
Macht die irgendetwas, was vielleicht durch den Hoster nun gesperrt sein könnte und wird deshalb geblockt o.ä.?
Wäre euch für Antworten sehr dankbar.
mfg
mS][Scorp
|
|
| Thema: Suche Hack Posteingang leicht abändern |
|
|
Ich melde mich hier noch einmal, weil noch dasselbe Problem besteht.
Fortschritt ist, dass ich mittlerweile zwar weiß, wie ich ungelesene Nachrichten als IF nutzen kann.
Allerdings habe ich es nur so weit gebracht, dass solange ungelesene Nachrichten da sind, ALLE Betreffs dickgedruckt sind und sobald alle gelesen sind, alle Betreffs dünn sind - keine schöne Sache...
Mein Ziel ist ja vielmehr, NUR die ungelesenen fettgedruckt zu haben und die gelesenen immer dünn...
Das ist mein pms_bit Template:
| php: |
1:
2:
3:
4:
5:
6:
7:
8:
|
<tr align="left">
<if($folderid!="outbox")><then><td class="tablea">$pm_image</td></then></if>
<td class="tableb">$icon</td>
<td class="tablea" style="width:60%"><if($row['attachments'])><then><img src="{$style['imagefolder']}/paperclip.gif" border="0" alt="{$LANG_PMS_ATTACHMENTS}" title="{$LANG_PMS_ATTACHMENTS}" /> </then></if><span class="normalfont"><a href="pms.php?action=viewpm&pmid=$row[privatemessageid]<if($folderid=="outbox")><then>&outbox=1</then></if>{$SID_ARG_2ND}"><if($wbbuserdata['pmunreadcount'])><then><b>$row[subject]</b></then><else>$row[subject]</else></if></a></span></td>
<td class="tableb" style="width:20%" align="center"><span class="normalfont"><if($folderid=="outbox")><then>$recipients</then><else><if($row['userid'] > 0)><then><a href="profile.php?userid=$row[userid]{$SID_ARG_2ND}">$row[username]</a></then><else>$row[username]</else></if></else></if></span></td>
<td class="tablea" style="width:20%" align="center" nowrap="nowrap"><span class="normalfont">$senddate <span class="time">$sendtime</span></span></td>
<td class="tableb"><input type="checkbox" name="pmid[]" value="$row[privatemessageid]" /></td>
</tr> |
|
Kann ich hier etwas machen, um den gewünschten Effekt zu erzielen oder muss ich in die PHP rein?
Allerdings weiß ich bei der PHP aufgrund der Fülle von "$subject" nicht, wo ich ansetzen müsste...
Wäre euch für ein paar Tipps sehr dankbar.
mfg
mS][Scorp
|
|
| Thema: Allgemeine Frage Vielleicht saublöde, aber wie trägt man Termine ein? |
|
|
Meine Güte, keine Ahnung wieso, aber SÄMTLICHE Terminbuttons waren weg und der Firefox zeigt dann natürlich einfach gar nichts an an der Stelle ^^
Funktioniert noch alles super - Danke für die Hilfe noch mal^^
[sry wegen Doppelpost, habe den nur gemacht, weils was "Neues" gibt]
|
|
| Thema: Allgemeine Frage Vielleicht saublöde, aber wie trägt man Termine ein? |
|
|
Hm, daran hapert es schon...
Ich kann den Kalender aufrufen, aber keine Tage anklicken.
Höchstens die Usernamen zum Profil der jeweiligen Geburtstagskinder :/
Benutzen tu ich übrigens nur den Standard-WBB2-Kalender ^^
|
|
| Thema: Allgemeine Frage Vielleicht saublöde, aber wie trägt man Termine ein? |
|
|
Hi,
ich finde einfach nicht mehr, wo ich Termine eintragen kann (WBB 2.3.6).
Gruppenrechte (öffentliche/private Termine) stimmen - nur finde ich weder im ACP noch im Board eine Stelle, wo man die eintragen kann...
Vielleicht habe ich versehentlich mal einen Link dazu gelöscht oder so... keine Ahnung...
Könnte mir jemand bitte mal sagen, wo das sein müsste?
Danke! :)
mfg
mS][Scorp
|
|
| Thema: Allgemeine Frage Themenanzeige aller Themen Standard setzen? |
|
|
JA DAS IST ES!!!
Meine Güte, 1000x übersehen (ich wusste halt nur noch, dass es irgendwo sein musste xD).
Ja. geht alles perfekt.
Herzlichen Dank für eure Hilfen!
|
|
| Thema: Allgemeine Frage Themenanzeige aller Themen Standard setzen? |
|
|
Hi,
ich finde es einfach nicht heraus.
Ich habe im Board immer eingestellt, dass die Themen der letzten X Tage angezeigt werden.
Kann ich hier den Standardwert vergrößern?
Auf 100 Tage oder gar am besten auf "Von Anfang an"?
Wo muss ich das denn machen? ^^
Bin am Verzweifeln, wär euch für Hilfe sehr dankbar!!
mfg
mS][Scorp
|
|
| Thema: Suche Hack Thread herunterladen? |
|
|
Ja, danke hab das eingebaut, und es war exakt das, was ich meinte.
Vielen herzlichen Dank :D
|
|
| Thema: Suche Hack Thread herunterladen? |
|
|
Hi,
ich bin mir nicht sicher, aber der Meinung, mal einen Hack gesehen zu haben, mit dem man ganze Threads als Zip downloaden konnte.
Weiß jemand, ob es den gibt, wie der heißt und wo man ihn bekommen kann?^^
Danke im Voraus!
|
|
| Thema: Board Fehler max_user_connection Fehler |
|
|
Ok, alles klar. Danke für die Antwort.
Es sieht so aus, dass das wohl rein logisch betrachtet auch kein Problem des WBB ist.
Der Hoster hat es auch - laut eigener Aussage - endlich mal verstanden, dass es an ihm liegen müsste.
Ich hoffe, dass sich jetzt was tut.
Allerdings haben wohl so einige Leute Probleme mit (falls ichs nicht schreiben darf, bitte wegeditieren) revido.de und deren zwar billigen und schnellen Angeboten, aber den damit verbundenen schlechten MySQL-Konditionen bei großen Foren o.ä.
Hoffentlich tut sich was, sonst muss ich echt den Anbieter wechseln...
|
|
| Thema: Board Fehler max_user_connection Fehler |
|
|
Hi,
ich nutze ein WBB, das ein paar Hacks wie Arcade Gold hat.
Bisher hatte ich nie Probleme.
Allerdings gab es auf dem Hoster ein Problem mit max_user_connections im August.
Der hatte das behoben und bei uns war der Fehler weiter da - allerdings nur in sehr geringem Umfang.
Nun, seit einigen Tagen ist er zurück, d.h. bei jedem zweiten Klick, wenn man Pech hat.
Der Provider sagt, es sei vielleicht ein Hack o.ä., da wir ja nur diese eine Datenbank haben.
Nun wurde in letzter Zeit aber nicht mal ansatzweise etwas verändert zum vorher guten Zustand, es wurde auch des weiteren keine übermäßige Botaktivität gesehen und die Userzahlen sind auch nicht explodiert, sodass nun Millionen von Leuten zugleich auf die DB zugreifen.
Zudem: Wenn ich das Board kopiere (sofern das jetzt noch geht bei den SQL-Fehlern - wie sichert man eigentlich, wenn alle paar Sekunden ein Abbruch wegen zuvielen Verbindungen kommt???) und woanders aufspiele, kommt kein Fehler - egal, wo ich es probiere.
Von daher glaube ich, es liegt am Provider oder an irgendwas an deren SQL-Server...
Aber um sicherzugehen, frage ich euch Profis hier mal:
Habt ihr hier vielleicht Erfahrungen mit so einem Max_user_connections Problem oder könnt mir sagen, ob das nicht wirklich vor gegebenem Hintergrund am Provider liegt?
Oder kann man das irgendwie (aus Endanwender-/Kundensicht) überprüfen und nachschauen, was dann passiert?
|
|
| Thema: Allgemeine Frage Profilhack wie hier verwendet? |
|
|
Hi,
wollte mal fragen:
Gibt es ein UserCP wie hier (mit dieser Sache, man soll über die jeweiligen Punkte mit der Maus fahren für eine Erklärung) als Hack o.ä.?
Ich wollte genau so etwas machen und bin gerade eben per Zufall drüber gestolpert, als ich in meinem UserCP hier war - deshalb die Frage ^^
Wär euch für Infos sehr dankbar.
mfg
mS][Scorp
|
|
| Thema: Keine Einbauten mehr für bestimmte Foren |
|
|
Also verstehe ich das jetzt richtig:
Ihr baut irgendwo Hacks ein, verlangt dafür netterweise kein riesiges Credit im Footer des jeweiligen Boards.
Andere verlangen währenddessen Verweise und dadurch hat man am Ende ein WBB2 (laut Footer) powered by Hackeinbau-Premium-Spezial.de oder so, wobei von denen vielleicht ein Hack und von euch (u.U.) salopp gesagt 10 drin sind?
Wenn das so richtig ist, halte ich auch diesen Schritt für richtig.
Denn das würde mich auch stören, wenn ich keinen Verweis verlange, dann jedoch meine Arbeit drin ist und auf wen anders verwiesen wird...
Muss ja nicht sein sowas... X(
|
|
| Thema: Allgemeine Frage Gibt es einen Rechte-Hack bezogen auf Editieren? |
|
|
Hi,
ich frage mich, ob das WBB eine native Einstellung hat oder ob es einen Hack dafür gibt (wenn ja, wie heißt er?), womit es möglich ist, dass Moderatoren z.B. nicht die Posts von SMods editieren können oder gar von Admins usw...
Also das diejenigen, die höhere Rechte haben, nicht von denen mit niedrigeren moderiert werden können, wenn man so will.
Wäre euch für Infos sehr verbunden, danke im Voraus! ^^
|
|
|
