Hej!

Jag har ett STORT problem! En av mina medlemmar kan hacka och har gjort sig själv till admin.. Han håller på och gör massor av medlemmar admins och förstör forumet. Jag vet inte hur han gjorde det, men han sade något om config.php.

Här är en konversation jag hade med honnom:

Antagligen att B-one inte kan säkra sina servrar rätt? Lär gissa att dom inte kör safe_mode så gör att man kan läsa andras filer och lätt sno lösenord.

Finns det något jag kan göra för att förhindra honnom från att sno mina lösenord?

Då antagligen php körs som webserverns användare och inte safe_mode används så finns det inget smidigt sätt att hindra han att läsa dina filer.

Det är ett problem för b-one att lösa, kan vara någon bugg i ditt forum med fast om man läser vad han sa så tror jag det har med safe_mode att göra.

Hmm. Ja, du skulle kunna ändra i phpBBs kod så att den använder t.ex. mycfg.php istället för config.php.

Finns säkert sätt att ta reda på det, är lite som låsa dörren och lägga nyckeln under dörrmattan.

Samt hjälper inte alls, typ fgrep password *.php lär hitta filen eller andra ord som mysql.

För att lösa det akuta problemet borde du väl kontakta B-one och be dem plocka bort användarens konto från servern.

Kontakta supporten på B-one.
Försök ta reda på vad han har för konto och anmäl det till webbhotellet.

Det där har väl inget med phps safe_mode att göra.. det är ju felaktiga användarrättigheter om han kan köra fopen() på en annan användares fil. Ta bort 777 från config.php och ändra lösenordet. Skrämmande låg nivå på unixkunskaperna här hos vissa...

Aja baja. Inte visa felmeddelanden för användarna.

Kör dom php normalt så körs alla användare under apache användare och betyder utan safe_mode så spelar det ingen roll. Så ska apache kunna läsa/köra filen så kan även alla andra användare göra samma sak.

Det är 755 på config.php

du kör väl med senaste phpbb? gick ju ganska enkelt att hacka sig till forumadmin i äldre versioner.

fast det låter ju inte riktigt som ditt problem dock...

Öh, visserligen är Windows min grej men sist jag kollade på apache så var det så att webben kördes under apachekontot. Det räcker ju med läsrättigheter för att kunna använda fopen på det sättet. Eller?

safe_mode är väl vettigaste lösningen.
Det är bara illa skriven kod som inte fungerar med safe_mode aktiverat ändå.

Är det bara jag som inte blir förvånad? Jag menar, du betalar 12kr/mån. Man får vad man betalar för.

Byt hotell så kommer det säkerligen inte uppkomma igen.

Safe_mode är alltid aktiverat hos B-One, det går inte heller att stänga av själv. Och jag har testat och konstaterat att det inte är möjligt att öppna andras filer med hjälp av phpscript. :)

Du kan för övrigt också räkna med att:

*Han känner till ditt lösenord till b-one (tekniskt sett är det databaslösenordet som lagras i config.php)
* Han har lösenordet för ett stort antal av användarna, eftersom phpBB använder sig av MD5-summor utan någon slump för att lagra lösenordsinformation går de att ge sig på med regnbågstabeller. Alla lösenord upp till 7 tecken som inte har märkliga tecken som åäö i sig är knäckta, och troligen en del till.

De enda som kan göra något för att det inte skall hända igen är b-one, men även efter de gjort sitt så behöver du alltså ändra både ditt lösenord samt alla användare behöver ändra sina.

Eftersom han berättade felet för dig tror jag inte han hittat på så mycket..

Skaffa ett riktigt webbhotell.

Vad för säkerhetsproblem har B-One då?

Har väl inte att göra direkt med detta, men B-One saknar bl.a. helt krypterad överföring (eller gjorde så sist jag frågade). Som minst tycker jag ett hyfsat webbhotell skall erbjuda möjlighet att skicka upp filer utan att mitt lösenord skickas i klartext över Internet.

foks: Det verkar ganska klart att de inte har chrootad användarna tex. Har ingen inblick i deras servrar då jag har prioriterat bort dem för längesen och aldrig varit dum nog att skaffa konto där.

Självklart kör B-one chroot och dessutom safe_mode som inte kan deaktiveras. Skicka en fråga till deras support om du misstror. Man kan inte driva webhotell på unix/linux utan chroot för FTP det borde väl vara självklart.

Problemet ligger i phpBB etc som har notoriska säkerhetsproblem och genom att lösen till databas lagras okrypterat så är det tyvärr löjligt enkelt att knäcka gamla versioner

phpbb är nog det php-forumet som haft flest säkerhetshål om man jämför med andra php-forum.

Bara för att de chrootar FTP-kontot innebär väl inte systemkontot är chrootad. Dvs ett riktig chrootad systemkonto kan inte läsa andras .php filer server-side som nedan.

"fopen("directory/bbs/config.php")"

I ett dåligt system räcker det att ladda upp en php fil som navigerar runt med ../ för apache läser det som samma användare och hittar andras filer, även om FTP-kontot är chrootad.

Som sagt vet jag inte hur b-one har satt upp sitt.

Borde ju inte vara såååå dåligt uppsatt när de ändå är så stora.

Nej, inte om du kör med safe_mode. Då kan inte PHP öppna filer som inte har samma "owner" som PHP körs med.

Jag kanske bara yrar men hur loggar PHP in på MySQL utan att ha lösenordet i klartext?

Ja normalt sett behöver du lösen i klarttext vid inloggning och det är inte problemet per se utan i problemet är i kombination med osäkra phpBB.

En tänkbar förklaring kan man se på http://www.php.net, där det nu publicerats information om säkerhetsluckor som rör just safe_mode.