[basse]

Hej!

Jag har ett STORT problem! En av mina medlemmar kan hacka och har gjort sig själv till admin.. Han håller på och gör massor av medlemmar admins och förstör forumet. Jag vet inte hur han gjorde det, men han sade något om config.php.

Här är en konversation jag hade med honnom:

Citat:

2006-07-13 03:35:21 ..basse: how'd you access the admin panel? : (
2006-07-13 03:35:28 Limon: um
2006-07-13 03:35:30 Limon: idk
2006-07-13 03:35:39 Limon: b-one.net
2006-07-13 03:35:45 ..basse: :0
2006-07-13 03:35:50 Limon: lol
2006-07-13 03:35:55 ..basse: what about it?
2006-07-13 03:35:58 Limon: its ur host
2006-07-13 03:36:06 Limon: u get an account on the same server
2006-07-13 03:36:19 Limon: then cause phpbb to freak out and give an errro which gives the directory
2006-07-13 03:36:30 Limon: then u go "fopen("directory/bbs/config.php")
2006-07-13 03:36:37 Limon: then u use the pass and stuff to get to the databse

[patrikweb]

Antagligen att B-one inte kan säkra sina servrar rätt? Lär gissa att dom inte kör safe_mode så gör att man kan läsa andras filer och lätt sno lösenord.

[basse]

Finns det något jag kan göra för att förhindra honnom från att sno mina lösenord?

[patrikweb]

Då antagligen php körs som webserverns användare och inte safe_mode används så finns det inget smidigt sätt att hindra han att läsa dina filer.

Det är ett problem för b-one att lösa, kan vara någon bugg i ditt forum med fast om man läser vad han sa så tror jag det har med safe_mode att göra.

[Westman]

Citat:

Originally posted by basse@Jul 25 2006, 21:57
Finns det något jag kan göra för att förhindra honnom från att sno mina lösenord?

Hmm. Ja, du skulle kunna ändra i phpBBs kod så att den använder t.ex. mycfg.php istället för config.php.

[patrikweb]

Citat:

Ursprungligen postat av Westman

Citat:

Hmm. Ja, du skulle kunna ändra i phpBBs kod så att den använder t.ex. mycfg.php istället för config.php.

Finns säkert sätt att ta reda på det, är lite som låsa dörren och lägga nyckeln under dörrmattan.

Samt hjälper inte alls, typ fgrep password *.php lär hitta filen eller andra ord som mysql.

[WizKid]

För att lösa det akuta problemet borde du väl kontakta B-one och be dem plocka bort användarens konto från servern.

[jonny]

Kontakta supporten på B-one.
Försök ta reda på vad han har för konto och anmäl det till webbhotellet.

[grazzy]

Det där har väl inget med phps safe_mode att göra.. det är ju felaktiga användarrättigheter om han kan köra fopen() på en annan användares fil. Ta bort 777 från config.php och ändra lösenordet. Skrämmande låg nivå på unixkunskaperna här hos vissa...

[kullervo]

Aja baja. Inte visa felmeddelanden för användarna.