Die neue OpenSource-Software phpBB2 hat bereits einige deutsche Support-Foren hervorgebracht. In den letzten Monaten hat sich dabei Stefan's Webseite phpbb2 zum kompetentesten Hilfeforum entwickelt. Heute jedoch erreichte die Mitglieder eine wenig erbauliche Nachricht. Ein Hacker war in das Forum eingedrungen und hatte diese Nachricht an alle Mitglieder verschickt: This forum has been taken over.. Thank you. Please check the security of this site.

Großen Schaden wollte der Hacker H3llb0und nicht anrichten, vielmehr wollte er auf eine beachtliche Sicherheitslücke hinweisen. Er hatte sich als Administrator Zugang zum Forum verschafft und lediglich ein bisschen die Möbel verrückt. Damit standen plötzlich alle Foren an einer anderen Stelle. Aber Boardchef Stefan war zufällig ebenfalls an Bord, so dass er den Gast schnell vom Forum verbannen konnte. Wir haben ihn um eine Stellungnahme gebeten:

Das Board wurde gehackt, ich war glücklicherweise grade online und konnte sehen das ich plötzlich einen neuen Admin hatte, den ich nicht kannte :) Er hat dann in den Grundeinstellungen des Boards einige Einstellungen geändert, wie den Namen des Boards auf "Check your security please" und den Pfad des Boards auf "Fucked". Der User nennt sich übrigens "H3llb0und" und ist bekannt. Er hatte mich (den Admin) gebannt. Ich bin dann sofort ins phpmyadmin gegangen, habe meinen Ban weggenommen und den User "H3llb0und" gelöscht, dann war kurz Schluss. Er hat sich dann noch einmal mit gleichem Namen registriert und wollte wieder ans Werk, da war ich aber schneller und habe ihn wieder gelöscht. Scheinbar verging Ihm dann die Lust am hacken. Er hatte vorher noch eine Massen-Mail an alle Board User geschickt "This forum has been taken over.. Thank you. Please check the security of this site."

Ich habe Ihn dann über AIM kontaktiert und er hat mir gesagt was er gemacht hat. Dieses Sicherheits-Loch betrifft NICHT phpBB2.0.1 als solches, sondern die Boards, die den "Gender-MOD" installiert haben. Ein Standard phpBB2.0.1 ist davon NICHT betroffen, das möchte ich hier nochmals betonen. Um das Problem zu lösen muss folgendes gemacht werden (wie gesagt nur bei Boards die den Gender MOD installiert haben) :

In der Datei usercp_register.php folgende Zeile suchen:
$gender = ( isset($HTTP_POST_VARS['gender']) ) ? $HTTP_POST_VARS['gender'] : 0;

Diese ersetzen durch:
$gender = ( isset($HTTP_POST_VARS['gender']) ) ? intval ($HTTP_POST_VARS['gender']) : 0;

Damit ist das Loch gefixt ! Der Hacker wollte nichts zerstören und war sehr kooperativ. Er wollte lediglich auf das Sicherheitsloch aufmerksam machen.

Bye Stefan

Einige interessante Seiten & Foren zu phpBB:

Englischsprachige Seite der Softwareentwickler: http://www.phpbb.com/

Zusatzprogramme zu phpBB (so genannte Mods): http://www.phpbb.com/mods/downloads/index.php?

Noch mehr Zusatzprogramme & komplett aufgerüstete Boards: http://www.phpbbhacks.com

Deutsche Supportseiten: http://www.phpbb2.de, http://www.phpbb.de

Tom's Portal aus phpBB & phpNuke: http://bbtonuke.sourceforge.net/