Information zur Downtime am 26./27.03.2010
-
rapso schrieb:
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
Hierzu auch noch: Die meisten Programmierer da draußen sind schlecht und produzieren ständig thedailywtf-tauglichen Code ohne viel Ahnung von ihrer Arbeit zu haben oder sich sehr dafür zu interessieren. Bei Blackhats ist das nicht anders, auch wenn es sich um professionelle Blackhats handelt, die das für Geld machen. Wozu sich groß anstrengen, wenn man auch mit weniger Aufwand genug verwundbare Systeme findet?
-
rüdiger schrieb:
Die ganze PHP Software ist leider löchrig wie ein Sieb.
Ein Grund mehr endlich die Forensoftware zu ersetzen, vor allem auch im Hinblick darauf, dass hoffentlich jemand anderes dann die Löcher stopft und nicht ihr diese Arbeit übernehmen müsst.
Ich weiss, ich weiss, ihr habt keine Zeit dafür. Daher mal ganz blöd gefragt: Wieviel würde sowas kosten, wenn man es in Auftrag geben würde? Finanzierbar vielleicht über Spenden, wenn ihr denn Spenden annehmen würdet ... ein Teufelskreis
Grüssli
-
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
-
Mr X schrieb:
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
Oder auch gleich ganz von PhpBB weg? Gibt ja noch genügend andere Forensoftware.
Grüssli
-
Das würde bestimmt die Umstellung noch weiter erschweren, oder?
-
Wieso nehmt ihr nicht den Default-Admin-Ordner von phpBB und bezeichnet ihn anders? Das würde zumindest die Access-Logs verhindern, falls ich das Problem richtig verstehe.
-
Mal angenommen die Datenbank würde massiv beschädigt, gibt es da eine ausreichende Datensicherung?
-
Ja.
-
Borschtsch schrieb:
Wieso nehmt ihr nicht den Default-Admin-Ordner von phpBB und bezeichnet ihn anders?
Das ist gar nicht immer so einfach, außerdem haben wir dafür was anderes gemacht.
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
-
Marc++us schrieb:
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
Wahrscheinlichkeit am Höchsten und in die Administration hat man vertrauen. Ist dieses Vertrauen etwa nicht gerechtfertigt?
Grüssli
-
Dravere schrieb:
Marc++us schrieb:
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
Wahrscheinlichkeit am Höchsten und in die Administration hat man vertrauen. Ist dieses Vertrauen etwa nicht gerechtfertigt?
Das Admin-Passwort war wahrscheinlich "test" oder "passwort" oder "1234"
-
Dravere: Hier läuft durchaus nicht nur PhpBB.
abc.w schrieb:
Das Admin-Passwort war wahrscheinlich "test" oder "passwort" oder "1234"
Nein, "god" natürlich. Habe es jetzt aber auf "god123" geändert, nächstes Mal wenn wir Schwierigkeiten haben, tu ich vielleicht sogar ein Sonderzeichen dazu.
Borschtsch: Ich verstehe nicht so recht, was das ändern sollte. In den Access-Logs stehen 404s ja genauso drin, wie irgendwas anderes. Und wenn wir nicht schon vor geraumer Zeit vorbeugend eine ganze Menge leicht umsetzbarer Maßnahmen ergriffen hätten, dann hätten wir hier ständig viel gröbere Probleme.
Dravere schrieb:
Ein Grund mehr endlich die Forensoftware zu ersetzen, vor allem auch im Hinblick darauf, dass hoffentlich jemand anderes dann die Löcher stopft und nicht ihr diese Arbeit übernehmen müsst.
Glaub mir, wenn das zwei Wochenenden Zeitaufwand wären, dann hätten wir schon was anderes. Und auch wenn ich das selten hier groß ausbreite, analysiere ich jeden Down und überlege, was man besser machen hätte können, was Konsequenzen sein könnten und was mittel- bis langfristig an Arbeit nötig sein wird, um die Seite am Leben erhalten zu können.
Und Upgrades der Forensoftware in Auftrag geben… Wenn wir vom üblichen Tagsatz für freie Entwickler ausgehen, wird das sehr, sehr, sehr teuer. Spendenaktionen sind rechtlich problematisch und auch nur sinnvoll, wenn man ein bisschen Geld für frische Hardware oder einen Providerwechsel oä. braucht. Der Zeitaufwand wäre allerdings so hoch, dass wir aktuell unsere ständigen Wartungsarbeiten für weniger aufwändig halten. Das sagt schon ein bisschen etwas, da käme man mit einer Auftragsvergabe finanziell mit Spenden nicht sehr weit.
-
Dravere schrieb:
Mr X schrieb:
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
Oder auch gleich ganz von PhpBB weg? Gibt ja noch genügend andere Forensoftware
Ich habe mir mittlerweile eine Menge Sachen angesehen und bis dato nichts gefunden, wo wir nicht noch einiges selbst dazuschreiben müssten um die gleiche Funktionalität wie momentan zu haben.
Ist leider nicht so, dass wir einfach eine frische phpBB-Version ziehen, Daten rüberschaufeln und online gehen könnten.
-
nman schrieb:
Ich verstehe nicht so recht, was das ändern sollte. In den Access-Logs stehen 404s ja genauso drin, wie irgendwas anderes.
Ja gut, eine 404er würde aber wo möglich eher zum Aufgeben anregen und auch grundsätzlich das Risiko senken. Ferner könnte man in diesem speziellen Fall bestimmt eine Regel für den Apachen einrichten, die aufs Logging verzichtet.
nman schrieb:
Und wenn wir nicht schon vor geraumer Zeit vorbeugend eine ganze Menge leicht umsetzbarer Maßnahmen ergriffen hätten, dann hätten wir hier ständig viel gröbere Probleme.
An der Kompetenz zweifle ich keineswegs!
Zum Thema Ersatzsoftware fehlt mir ein: Veröffentlicht eine Liste mit allen Forderungen; die interessierten User könnten gemeinsam sehr wahrscheinlich etwas organisieren.
-
@Borschtsch: Ich glaube nicht, dass die Auswahl an Forensoftware in diesem Bereich so groß ist, als dass man hier nman nicht zutrauen könnte schon jede zu kennen
MfG SideWinder
-
Borschtsch schrieb:
Ja gut, eine 404er würde aber wo möglich eher zum Aufgeben anregen und auch grundsätzlich das Risiko senken. Ferner könnte man in diesem speziellen Fall bestimmt eine Regel für den Apachen einrichten, die aufs Logging verzichtet.
404er servieren wir doch ohnehin am laufenden Band. Aber dass die mitgeloggt werden, ist schon gut und richtig so, sonst fehlt zur Diagnose einfach ziemlich viel.
Und zu "zum Aufgeben anregen": Wie Rüdiger bereits sagte: Das probiert niemand händisch aus, das sind alles Bots, die automatisiert testen.
An der Kompetenz zweifle ich keineswegs!
So wars nicht gemeint. Aber mit Ordner verschieben ist es hier einfach nicht getan.
Zum Thema Ersatzsoftware fehlt mir ein: Veröffentlicht eine Liste mit allen Forderungen; die interessierten User könnten gemeinsam sehr wahrscheinlich etwas organisieren.
Hm, ich glaube ehrlich gesagt, dass Du Dir das etwas zu einfach vorstellst. Ja, wir haben hier ein Forum voller Programmierer. Und nein, die allermeisten haben nicht die Zeit und/oder Fachkenntnisse bzw. Lust, hier unentgeltlich sicherheitskritische Software zu schreiben.
Und wenn wir einfach nur ein aktuelles Forum zu Tode modden, dann haben wir damit ja auch nichts gewonnen. Da können wir ja dann genausowenig einfach automatisiert Updates einspielen wie jetzt, mit dem Unterschied, dass uns dann sämtliche neuen Sicherheitslücken richtig wehtun, wohingegen wir die meisten uns bekannten Lücken hier schon zugedreht haben in jahrelanger Kleinarbeit.
-
SideWinder schrieb:
Ich glaube nicht, dass die Auswahl an Forensoftware in diesem Bereich so groß ist, als dass man hier nman nicht zutrauen könnte schon jede zu kennen
Ich dachte da schon an eine Anpassung, die nman nach all der Arbeit auf diesem alten phpBB-Lastesel vermeiden möchte. Heutige PHP-CMS scheinen mir deswegen verlockend zu sein, weil man die benötigten Module unabhängig von dem System entwickeln und das System selbst leichter updaten kann. (Zumindest wäre es in diesem Fall meine Hoffnung. :)) Aber das Problem sehe ich schon:
nman schrieb:
Hm, ich glaube ehrlich gesagt, dass Du Dir das etwas zu einfach vorstellst. Ja, wir haben hier ein Forum voller Programmierer. Und nein, die allermeisten haben nicht die Zeit und/oder Fachkenntnisse bzw. Lust, hier unentgeltlich sicherheitskritische Software zu schreiben.
Das vernichtet offiziell meine Traumwelt. Schade. Denn wäre es anders, ließe sich die viele Arbeit am neuen System auf Dauer bezahlt machen, oder?
Edit: Quote-Fehler beseitigt.
-
Naja, wer von Forum benutzt, das mit PHP kreiert wurde, ist selber schuld.
Da PHP von Haus aus viel Mist zulässt, ist die meiste PHP-Software pure Frickelei, von Wiederverwendbarkeit ganz zu schweigen. Nur die wenigsten können mit PHP gute Software bauen, und PHPBB ist definitiv keine.
-
Ad aCTa schrieb:
Naja, wer von Forum benutzt, das mit PHP kreiert wurde, ist selber schuld.
Da PHP von Haus aus viel Mist zulässt, ist die meiste PHP-Software pure Frickelei, von Wiederverwendbarkeit ganz zu schweigen. Nur die wenigsten können mit PHP gute Software bauen, und PHPBB ist definitiv keine.solche aussagen nützen niemandem.
altlasten sind nicht mit allgemeinplätzen zu verändern.
-
ich denke, wenn marc++us schon sagt "wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?" sollte das ein hint sein, dass es an etwas anderem lag, vielleicht eine apache luecke, oder ftp server exploit, oder ...
PHPBB jetzt blind die schuld zu geben wird irgendwie die situation nicht bessern.
vertrauen wir einfach der security through obscurity@nman, 200MB logs pro tag durchzusuchen klingt echt nach nem scheiss job. danke an jeden der uebers WE das forum wiederbelebt hat!
