Alle Foren Game-Menue Hack-Menue AGB-Menue Extra-Menue Admin-Menue
Zur Startseite
Zur Startseite
Frohe Festtage für alle, und einen guten Rutsch in das Jahr 2024

01:01:2024 closed


Hacks4wbb by HFW™
» WBB Bereich » wbb 2 PHP_4/5 » WBB 2.3 Forum » Hilfe & Suche & Archiv wbb2.3 » WBB 2.3 Hilfe » Hilfe gebraucht 2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung? » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellenAntwort erstellen
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
mS][Scorp
User


Dabei seit: 23.08.2005
Beiträge: 46
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Dt.


Mitglied bewerten

Level: 31 [?]
Erfahrungspunkte: 314.067
Nächster Level: 369.628
55.561 Erfahrungspunkt(e) für den nächsten Levelanstieg


2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung? Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Hi,

unser Forum wurde von jemand Anonymen (leider) unsicher genannt.
Aussage, dass man es hacken könnte, wenn man nach einem "non public sql injection exploit" gesucht habe.
Weiterhin hieß es, wir könnten dagegen nichts tun, da wir alle Updates hätten und Woltlab da noch nichts zu rausgebracht hätte...
In den letzten Tagen seien so einige Foren davon kompromittiert worden...

Könnte das vielleicht bitte jemand bejahen oder verneinen?

Wäre euch für Antworten sehr dankbar, unsicher bin ich jetzt schon.
Danke im Voraus.


mfg
mS][Scorp
22.03.2008 23:31 mS][Scorp ist offline Beiträge von mS][Scorp suchen Nehmen Sie mS][Scorp in Ihre Freundesliste auf
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Baxi Baxi ist weiblich
User


Dabei seit: 01.02.2008
Beiträge: 757
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Berlin


Mitglied bewerten

Level: 45 [?]
Erfahrungspunkte: 4.493.456
Nächster Level: 5.107.448
613.992 Erfahrungspunkt(e) für den nächsten Levelanstieg


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Ich kann zwar nicht sagen obs stimmt oder nicht.

Aber der beste Hacker kommt durch jeden Schutz durch.
Es gibt kein Schutz der 100%ig ist.

Daher immer brav Sicherung der Datenbank machen.

Und eventuell den CT SecurityHack einbauen.
Gitb es kostenlos als Lite Version,oder Vollversion für die man zahlen muss

__________________
Bevor Du urteilen willst, über mich oder mein Leben,
ziehe meine Schuhe an und laufe meinen Weg
und erst DANN kannst Du urteilen...
Dein Neid ist meine Anerkennung! Dein Hass, mein Sieg!
23.03.2008 00:44 Baxi ist offline E-Mail an Baxi senden Beiträge von Baxi suchen Nehmen Sie Baxi in Ihre Freundesliste auf Fügen Sie Baxi in Ihre Kontaktliste ein
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
sZchen sZchen ist weiblich
Nachtschicht


Dabei seit: 18.05.2005
Beiträge: 2.337
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Emsland


Mitglied bewerten

Level: 52 [?]
Erfahrungspunkte: 16.183.346
Nächster Level: 16.259.327
75.981 Erfahrungspunkt(e) für den nächsten Levelanstieg


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
also das wbb is nicht 100& sicher....nicht nur durch das board selbst,auch einige hacks haben lücken durch die man leicht reinspazieren kann.
was da hilft ist das ct security system was 20 euro kostet,aber dafür kannst du dir sicher sein,das dein board nicht gehackt wird
ich hab mir das jetzt auch geleistet und bereue es nicht.

guck dir das einfach mal an Ct security system

__________________

Techno4Ever
23.03.2008 01:27 sZchen ist offline E-Mail an sZchen senden Homepage von sZchen Beiträge von sZchen suchen Nehmen Sie sZchen in Ihre Freundesliste auf Fügen Sie sZchen in Ihre Kontaktliste ein
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
mS][Scorp
User


Dabei seit: 23.08.2005
Beiträge: 46
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Dt.


Mitglied bewerten

Level: 31 [?]
Erfahrungspunkte: 314.067
Nächster Level: 369.628
55.561 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von mS][Scorp

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Also nach eigener Aussage kam er durch das C&T durch.
Der Exploit scheint im ACP zu liegen.

Als Beweis hatte er in wirklich wenigen Sekunden unsere Passwörter - bei Bruteforce hätte er dafür v.a. bei meinem Wochen gebraucht.

Sein einziger "Tipp" war, und da bin ich leider auf ihn angewiesen, dass htaccess für die gröbsten Scriptkiddies ausreichen würde, C&T meist auch noch.

Er sagte aber auch, der Exploit sei so gesehen super einfach und wie gesagt, sei er sehr effektiv (zumal er auch so reinkommt, wenn z.B. C&T installiert ist - ich glaube ihm das so erst einmal, er schien wirklich viel Ahnung zu haben).

Einzige Hoffnung ist, dass er nichts vorhat und dass er den Exploit nicht weitersagen will - obwohl "Hoffnung" nenne ich das nicht...

EDIT://
Von 100%iger Sicherheit spricht eh keiner.
Aber solche Exploits sind gefährlich.
Wenn man da in Sekundenschnelle reinkommt, Passwörter nutzen kann und die Datenbank runterlädt, kann man bei einem großen Forum schon viel anrichten (v.a. AOL Accounts, falls jemand aol-Mail und sein AOL-Passwort auch im Board verwendet)...

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von mS][Scorp: 23.03.2008 10:38.
23.03.2008 10:33 mS][Scorp ist offline Beiträge von mS][Scorp suchen Nehmen Sie mS][Scorp in Ihre Freundesliste auf
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
sys2064 sys2064 ist männlich
User


Dabei seit: 17.10.2007
Beiträge: 1.955
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Altenglan in der schönen Pfalz


Mitglied bewerten

Level: 51 [?]
Erfahrungspunkte: 11.813.560
Nächster Level: 13.849.320
2.035.760 Erfahrungspunkt(e) für den nächsten Levelanstieg


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Sicher ist nur das es NICHTS gibt was sicher ist.
Und je nach nach Aufwand ist es für viele recht einfach sich Zutritt zu verschaffen.
Ein blankes wbb2.3.6pl2 samt CT Securitysystem der kommerziellen Version ist schon als sehr sicher zu bezeichnen.

Was die Lücken reisst sind die Hacks die mehr oder minder grosse Lücken reisst und schlupflöcher bringen an die warscheinlich noch nichtmal Frank dachte der mit seinem Produkt uns schon vor viel Schaden bewahrt hat..

Das heist jetzt nicht das CT Securitysystem Pro unnütz wird..
ganz im Gegenteil.
Zeigt aber letztendlich nur auf wie paradox die ganze Geschichte ist und das nicht nur im wbb Bereich.
Wenn ich alleine nur das ständige Heulen in diversen Win oder PC Foren Gehäule sehe und die Leute probieren tapfer ihr System abzusichern versuchen und sich dann letztendlich die grössten Systemlücken dazu installieren ob das nun ICQ ist oder irgend ein andere dämlicher Messy..
eine werbe gesponsorte Toolbar nebst Datensammelfunktion usw.
Einfach nur herrlich das Gemachs.

Daher ist das meiste was hier lüpft mehr oder weniger selbst verschuldet und man sollte bedenken das die meisten Leute an einem kleinen Forum eh so gut wie kein Interesse haben.
Und wenn doch sind es zumeist irgendwelche kleine Kinder die sich auf Exploit foren rumtreiben und sich das mal anschauen was da alles so möglich ist.....
Was diese Kinder aber oftmals vergessen ist die eigene vernünftige Absicherrung und daher ist es zumeist recht einfach gegen die netpunks rechtlich vor zu gehen.
Der Beste Schutz ist immer noch ein automatisiertes regelmässiges Backup von FTP und DB Daten am besten einmal täglich.
Wohl dem der einen Hoster hat der dieses für einen über nimmt.
Dazu auch bei der Auswahl der Hacks ein wenig sensibler sein und sich eben nicht alles einbauen auch wenn es noch so in den Fingern juckt.
Ach das CT Security System PRO sehe ich trotz alledem immer noch als ein MUSS an. :)
23.03.2008 11:03 sys2064 ist offline E-Mail an sys2064 senden Homepage von sys2064 Beiträge von sys2064 suchen Nehmen Sie sys2064 in Ihre Freundesliste auf Fügen Sie sys2064 in Ihre Kontaktliste ein
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
mS][Scorp
User


Dabei seit: 23.08.2005
Beiträge: 46
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Dt.


Mitglied bewerten

Level: 31 [?]
Erfahrungspunkte: 314.067
Nächster Level: 369.628
55.561 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von mS][Scorp

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Hm, okay, schaden kann es natürlich nie.
Da würde ich an der Stelle, auch wenn es nicht ganz zum Thema passt, gerne wissen, warum die "Pro" Version empfohlener ist.

Ist sie wirklich sehr viel sicherer?


mfg
23.03.2008 11:40 mS][Scorp ist offline Beiträge von mS][Scorp suchen Nehmen Sie mS][Scorp in Ihre Freundesliste auf
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
sys2064 sys2064 ist männlich
User


Dabei seit: 17.10.2007
Beiträge: 1.955
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Altenglan in der schönen Pfalz


Mitglied bewerten

Level: 51 [?]
Erfahrungspunkte: 11.813.560
Nächster Level: 13.849.320
2.035.760 Erfahrungspunkt(e) für den nächsten Levelanstieg


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Zitat:
Original von mS][Scorp
Hm, okay, schaden kann es natürlich nie.
Da würde ich an der Stelle, auch wenn es nicht ganz zum Thema passt, gerne wissen, warum die "Pro" Version empfohlener ist.

Ist sie wirklich sehr viel sicherer?


mfg


der Schutz ist nur nur marginal aber in diversen Bereichen durchaus nützlich.
Sehe es eher als Demoversion mit extrem eingeschränkten Funkionsumfang und nicht zu vergleichen mit der Pre.
Noch dazu die nderen Informationen und andere Sachen die ebenso aufbereitet sind.
Klar das Frank nichts zu verschenken hat und Woltlab es eh schon fast immer latte war was mit ihren Produkt geschieht.
Aussen Hui innen Pfui also auch nicht anders als bei wbb3 auf Dauer :crazy
.
23.03.2008 12:06 sys2064 ist offline E-Mail an sys2064 senden Homepage von sys2064 Beiträge von sys2064 suchen Nehmen Sie sys2064 in Ihre Freundesliste auf Fügen Sie sys2064 in Ihre Kontaktliste ein
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
mS][Scorp
User


Dabei seit: 23.08.2005
Beiträge: 46
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Dt.


Mitglied bewerten

Level: 31 [?]
Erfahrungspunkte: 314.067
Nächster Level: 369.628
55.561 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von mS][Scorp

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Danke für die erneute Info.
Zum Exploit:
Mir ist aufgefallen, dass mein Startpost nicht ganz aktuell war.
Was ich nun weiß, ist:
- Der Exploit existiert definitiv (der Typ hat uns gestern unsere Adminkennwörter innerhalb von Sekunden präsentiert)
- es liegt am WBB2 selbst (nicht über einen Hack)
- es kann ANGEBLICH das CT Security System umgehen (das kann ich natürlich schlecht definitiv bezeugen, da ich es bis dato noch nicht habe)
- muss wohl am ACP-Ordner liegen, denn der Tipp war dann, dass es für die meisten Fälle ausreichend wäre, sich eine htaccess zusätzlich fürs ACP zu machen (mit Passwortschutz). Wenn jemand dann doch rein will und auch um sowas herumkommt, ist man eh tot...

Ja, das ist das, was ich so weiß... da ich kein Großmeister von PHP und SQL bin, bin ich ansonsten vollkommen aufgeschmissen, was das angeht :/
Es soll nur eine sehr interessante und gut versteckte Lücke sein und über eine non public sql injection gehen :/
23.03.2008 13:29 mS][Scorp ist offline Beiträge von mS][Scorp suchen Nehmen Sie mS][Scorp in Ihre Freundesliste auf
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
sZchen sZchen ist weiblich
Nachtschicht


Dabei seit: 18.05.2005
Beiträge: 2.337
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Emsland


Mitglied bewerten

Level: 52 [?]
Erfahrungspunkte: 16.183.346
Nächster Level: 16.259.327
75.981 Erfahrungspunkt(e) für den nächsten Levelanstieg


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
am besten gehst mal in das board,registrierst dich und fragst dort in einem thread,ich denke frank kann dir da am besten sagen was sache ist.oder ich guck mal,ob er on ist und frag ihn,ob er hier mal ebend vorbeischauen könnte

L.G.

sZchen

__________________

Techno4Ever
23.03.2008 13:35 sZchen ist offline E-Mail an sZchen senden Homepage von sZchen Beiträge von sZchen suchen Nehmen Sie sZchen in Ihre Freundesliste auf Fügen Sie sZchen in Ihre Kontaktliste ein
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
mS][Scorp
User


Dabei seit: 23.08.2005
Beiträge: 46
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Dt.


Mitglied bewerten

Level: 31 [?]
Erfahrungspunkte: 314.067
Nächster Level: 369.628
55.561 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von mS][Scorp

Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Zitat:
Original von sZchen
am besten gehst mal in das board,registrierst dich und fragst dort in einem thread,ich denke frank kann dir da am besten sagen was sache ist.oder ich guck mal,ob er on ist und frag ihn,ob er hier mal ebend vorbeischauen könnte

L.G.

sZchen


Hab ich getan.
http://birc-script.de/wbb2/thread.php?threadid=10102

Danke fürs Nachfragen!
23.03.2008 13:53 mS][Scorp ist offline Beiträge von mS][Scorp suchen Nehmen Sie mS][Scorp in Ihre Freundesliste auf
Zum Ende der Seite springen  2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
sZchen sZchen ist weiblich
Nachtschicht


Dabei seit: 18.05.2005
Beiträge: 2.337
0 Filebase-Einträge

Guthaben: 0 h4wfunnys

Aktienbestand: 0 Stück

User werben:
geworbene User: 0
Herkunft: Emsland


Mitglied bewerten

Level: 52 [?]
Erfahrungspunkte: 16.183.346
Nächster Level: 16.259.327
75.981 Erfahrungspunkt(e) für den nächsten Levelanstieg


Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
hehe,oki ;)

__________________

Techno4Ever
23.03.2008 13:56 sZchen ist offline E-Mail an sZchen senden Homepage von sZchen Beiträge von sZchen suchen Nehmen Sie sZchen in Ihre Freundesliste auf Fügen Sie sZchen in Ihre Kontaktliste ein
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellenAntwort erstellen
Hacks4wbb by HFW™ » WBB Bereich » wbb 2 PHP_4/5 » WBB 2.3 Forum » Hilfe & Suche & Archiv wbb2.3 » WBB 2.3 Hilfe » Hilfe gebraucht 2.3.6pl2: Exploit angeblich entdeckt - Abhilfe? Verifizierung/Falsifizierung?

Counter
Besucher Heute: 3931 Besucher Gestern: 11542 Besucher Gesamt: 6660881 Besucherrekord: 22378 am: 02.07.2007

Impressum


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH
Flag Counter
vbphrase[top]
 - Faq - PMS
wbb Style by: vbdesigns.de | Änderungen by HFW™ ©2001-2023
Impressum - Datenschutz - Startseite
vbphrase[top]