[phpBB] Sessies kapen?

Ik dacht dat phpBB wel redelijk veilig was.. Niet dus.

Wat is het geval? Ik draai een forum waar alle forums alleen readable zijn door regged users. De account activation staat op admin niveau, en er zijn slechts 37 users. Ik heb ze allemaal zelf toegelaten en ken iedereen dus persoonlijk.
Zonder account kun je dus niks lezen.

Ineens is er iemand uit mijn MSN lijst die ik van een ander forum ken, die gewoon mee zit te lezen op m'n forum. Zelf heeft ie er niet veel verstand van denk ik, maar hij zal een of ander programmaatje van een l33t vriend hebben gekregen waarmee ie - ik denk - sessies kan kapen.

Ik draaide phpBB 2.0.10 en heb m'n forum gelijk gedisabled en geupdate naar de nieuwste versie, namelijk 2.0.13. Helaas kan 'ie nog steeds meelezen.

Een vriend van me die admin is op een ander phpBB forum heeft dit zelfde "probleem" met deze kerel. Hij leest mee in subfora die niet voor hem bestemd zijn.

Is dit een bekend probleem? Of beter, is er een oplossing voor? Ik ben bereid over te stappen naar andere forumsoftware of wat dan ook; want dit is het laatste wat ik wil. Je denkt dat je met een selecte groep ergens over kan discusseren, maar niks is dus veilig..

Iemand?

Gomez12 schreef op vrijdag 04 maart 2005 @ 01:02:
Ten 1e heb je iedereen hun wachtwoord laten wijzigen??? Want 1x kunnen meelezen en de kans is vrij groot dat hij ergens ( admin rechten / gestolen ww ) een wachtwoord vandaan heeft waardoor hij nog steeds kan meelezen via die persoon.

Nee, nog niet. Zal ik doen, alhoewel het niet echt meer nodig is.. Zie onder.

2e wat versta jij onder updaten. Is dit de update van de software zelf of heb je alleen de messages bewaard en toen een nieuwe versie kaal geinstalleerd en daarna messages opnieuw geimporteerd, want bij een hack / ongewenst effect is het altijd het verstandigste om een reinstall te doen, dat is de enige manier waarop je zeker weet dat je schoon bent.

Ik heb een patch gedraaid. Die kerel heeft alleen gelezen en verder niks verkloot; ik ken 'm namelijk wel.

3e Als je hier zo bezorgd om bent waarom heb je dan 2 updates gemist ( 2.0.11 en 2.0.12 )

De content op mijn forum is niet van een dermate interessant niveau dat ik bang ben dat m'n forum een mooi target is voor een hack. Echter was ik nu wel erg benieuwd hoe 'ie dit voor elkaar had gekregen, en als het simpel te verhelpen is, heb ik liever niet dat het mogelijk is.

4e Dit probleem zal je altijd houden met software ( en des te meer met algemeen bekende ) gewoon door het feit dat het door mensen geschreven is en dus altijd fouten zal bevatten. En voor bekende software heb je meer mensen die naar die fouten zoeken en vinden.
Als je enigszins secure wilt zijn dan leer je goed programmeren en maak je je eigen fora ipv een groot fora pakken wat je eens in de zoveel tijd update. Eigen fora bevat ( waarschijnlijk ) meer beveiligingsfouten dan een bekend fora maar je hebt een heel stuk minder kundige mensen die naar die fouten zoeken, dus is de kans dat iemand op google / bugtraq een fout voor jouw forumsoftware aantreft zogoed als nihil, dus of hij kan het zelf helemaal hacken zonder source. Of hij komt er niet meer in.

Zoals iemand anders hierboven ook al reply'de, ga ik niet een compleet forum schrijven om de content te beschermen. Zoals ikzelf net al zei, echt extreem interessant is de content nou ook weer niet.

Verwijderd schreef op vrijdag 04 maart 2005 @ 10:26:
Lees even dit: http://www.phpbb.com/kb/article.php?article_id=54

Session ID's zijn gekoppeld aan IP's, dus als je gebruik wil maken van een session ID moet je het IP spoofen en dan het session ID zijn te vinden. Dus als iemand gebruikt maakt van iemand anders zijn session ID werken ze of op dezelfde computer of hij heeft gewoon een password van iemand.

Hij gebruikte niet een password van iemand anders denk ik, aangezien ik dan een onbekend IP zou moeten hebben gezien in m'n phpBB adminpanel. IP's spoofen kan ie geloof ik wel, voor zover ik begreep uit de access logs van een vriend van me waar 'ie waarschijnlijk ook bezig was geweest.

En om even in te gaan op Gomez12, zelf programmeren is voor veel mensen geen optie een forum draai je niet zo 1,2,3 in elkaar.

Agree.

Wat ik zou proberen, is simpelweg met een programma als phpmyadmin de hele session table gewoon leegmaken. Dit betekent dat achteraf iedereen weer opnieuw moet inloggen. Daarnaast idd iedereen zijn wachtwoord laten veranderen. Daarnaast kan je eventueel je board ook IP restricted maken dmv htaccess of zo.

Session tabel gooi ik inderdaad sowieso leeg. Verder had ik het board direct na de "hack" al IP restricted gemaakt met een htaccess, alhoewel ik dit niet echt een perfecte oplossing vind. Men kan nu alleen vanaf thuis op het forum.

Verwijderd schreef op vrijdag 04 maart 2005 @ 11:17:
Je zou ook nog gewoon in het board zijn ip adres of hostname kunnen bannen (mits je dat hebt natuurlijk)

Da's het probleem

Nogmaals: het forum is relatief klein (30 users, allemaal bekenden); de content is niet erg vertrouwelijk, maar ik was erg benieuwd hoe 'ie dit heeft gedaan en of het een bekend probleem is.
Ik weet in ieder geval wel zeker dat het niet een grap is van één van m'n users, dat geen van m'n users zit te lekken, en dat 'ie niet op een account van een van de users zit te lezen. Althans, hij heeft niet een password van een van de users.

Ik weet in ieder geval vrijwel zeker dat 'ie niet op een normale manier op het forum zat, dus niet gewoon ingelogd op een account waar 'ie een wachtwoord van had..

Alex schreef op vrijdag 04 maart 2005 @ 22:57:
Cookie hijacking?

Jep, ik heb nu wat uitleg gekregen over hun werkwijze, en dat is inderdaad wat ze hebben gedaan.
Kennelijk hebben ze een programma wat cookies script-gericht (je kiest dus dat je een cookie wil gaan maken voor phpBB) brute-forced. Ik denk dat je een aantal gegevens in dient te vullen, en dat dat programma dan een cookie voor je genereert.

Het fijne weet ik er niet van, maar dit is dus hun manier.