phpBB 3.1
Szerző
Üzenet
_zso2 írta:
Hmmm, ezen fennakadtam kicsit... Ha páros történetrás, arra fórumot fenntartani szerintem nagy luxus. Két embernek a WP tökéletesen megfelelne, még akár 4-5-nek is, főleg, ha egy szálon folyik csak a történet.
KillBill és Ragadozó: alapból én sem hallottam biztonsági résről, aztán jön egy frissítés, amiben közlik, hogy ez és ez a rés lett javítva. És onnantól a korábbi verziók máris támadhatók. Joomlánál voltak ilyen érdekességek, tehát oké, most nem tudunk róla, de szerintem csak vannak benne. Különben a 2.x verziókban tudtommal volt egy komolyabb rés, amit néha ki is használnak a hackerek, amit vagy kézzel foltoztál vagy áttértél a 3.x-re. Anno volt egy komolyabb tarolás 2.x-es oldalakon és akkor jött ez a válasz, hogy "sorry, de nem támogatjuk, térj át 3.0-ára".
Szóval én sem féltem a 3.0.12-est, de elég egyszer megjelenni valami hibának és onnantól nincs kiút.
A Sukitore oldalam így néz ki jelenleg, először nem sokat ismertek rá a fórumkülsőre az indexen: www.sukitore.com/index.php
Mykee írta:
Szóval én sem féltem a 3.0.12-est, de elég egyszer megjelenni valami hibának és onnantól nincs kiút.
Ezzel megint nem értek egyet.
Akkor úgy fogalmazok: ha te nem patcheled meg vagy nem találsz foltozást, akkor a 3.1 átállás marad vagy másik motor. Tehát úgy értem: akkor a 3.0.12-őt nem tudod utána használni, ahogy előtte.
Mykee írta:
Akkor úgy fogalmazok: ha te nem patcheled meg vagy nem találsz foltozást, akkor a 3.1 átállás marad vagy másik motor. Tehát úgy értem: akkor a 3.0.12-őt nem tudod utána használni, ahogy előtte.
Raktak ki újabb bejegyzést a phpBB.com-ra. Bemásolom, hogy megmaradjon az utókornak:
Idézet:
Update #3 17-12-2014 - 01:10
At this time we are proceeding with recovery efforts and have some additional important information.
We have confirmed that initial entry was made via a team member's compromised login details and not as the result of a vulnerability in the phpBB software. The phpBB download packages were never altered.
The attackers were able to obtain access to the phpBB.com and area51 databases, meaning that user information, including hashed salted passwords, was compromised. Additionally, all logins on area51 between Dec. 12th and Dec. 15th were logged in plaintext. While the hashing algorithm utilized in phpBB will make it difficult to obtain those passwords, you should not take any chances. If you were using your phpBB.com or area51 passwords anywhere else, you must change them.
We will provide full details, including the steps we have taken since the compromise, once we are back in operation.
---------
Update #2 15-12-2014 - 23:30
On Sunday Dec. 14th, several of the web servers powering phpBB.com were compromised. Upon discovering the ongoing attack, we immediately took our network offline to perform a thorough investigation, which is continuing.
At this time, we would like to ask everyone to follow basic security protocol. If you were using your www.phpBB.com or area51.phpBB.com passwords anywhere else, please change them to unique ones.
Your personal phpBB Forums are NOT affected by the compromise of our servers.
We will be rebuilding our systems from the ground up and verifying the integrity of all data prior to coming back online. This process will likely take several days.
Further updates will be posted here when we have additional information.
- The phpBB Team
---------
If you need urgent assistance, please make use of the #phpbb IRC channel on Freenode. A web-based client is available at http://webchat.freenode.net.
Egy csapattag bejelentkezési adatait szerezték meg (nem egy phpBB-ben lévő hibát kihasználva!), azzal fértek hozzá a szervereikhez. A letöltési csomagokat nem babrálták. Viszont megszerezték a phpBB.com és az area51 (fejlesztői és teszt fórum, nem azonos a phpbb.com-on lévő fórummal) adatbázisait, az azokban lévő hashelt jelszavakkal együtt. Valamint az area51-es fórumon december 12-15. között lementették a bejelentkezéshez használt "csupasz", hasheletlen jelszavakat. Ha valaki az ezeken a fórumokon használt jelszavait máshol is használta, annak érdemesebb mielőtt lecserélnie azokat!
További részleteket és a helyreállítás érdekében megtett lépéseket a helyreállítás befejezése után fognak közzétenni.
Írtátok itt páran, hogy saját (virtuális) szerveren futtatjátok a fórumaitokat. Használtok a PHP-hez valamilyen opcode cache (például APC, XCache, eAccelerator stb.) megoldást? Ha nem, akkor azzal viszonylag egyszerűen lehetne gyorsítani a fórumot.
Köszi az infót!
Ami tény: sok jelszót használok sok helyen. Fejben már nem tudom tartani, hogy hol használom ezt, amit ott. Lévén mindenhol más a követelmény. De ha itt tartunk: tökmindegy mi a követelmény, ha egy ilyen húzással akkor is hozzáférnek a legbonyolultabb jelszavakhoz is.
Úgyhogy egy a biztos: a jelszóról azt tudom, hol nem használom, a többi pedig nem annyira fontos, lévén az erősség függ a helytől. De mivel csomó helyen kell jelszó, egy ilyen betörés után azt megtenni, hogy változtassam meg máshol is, csak pár helyre vonatkozhat.
Lassan erre kellene tényleg valami megbízható megoldást kitalálni Bár igaz: amit ember talál ki...
Ami tény: sok jelszót használok sok helyen. Fejben már nem tudom tartani, hogy hol használom ezt, amit ott. Lévén mindenhol más a követelmény. De ha itt tartunk: tökmindegy mi a követelmény, ha egy ilyen húzással akkor is hozzáférnek a legbonyolultabb jelszavakhoz is.
Úgyhogy egy a biztos: a jelszóról azt tudom, hol nem használom, a többi pedig nem annyira fontos, lévén az erősség függ a helytől. De mivel csomó helyen kell jelszó, egy ilyen betörés után azt megtenni, hogy változtassam meg máshol is, csak pár helyre vonatkozhat.
Lassan erre kellene tényleg valami megbízható megoldást kitalálni Bár igaz: amit ember talál ki...
Marcee ezer köszi az infóért . A fordító által én is erre a következtetésre jutottam, de vártam remélve, hogy lefordítja valaki tökéletesen
Vagy a csapattag volt nagyon ügyes, vagy a hacker nagyon profi. Mondjuk nem hiszem, hogy a világ 5 legjobb heckere ellen lehetne védekezni, olyan tudással rendelkeznek amit mi fel se foghatunk.
feltettem az APC-ot és rosszabb lett
APC nélkül - Time spent on mysqli queries: 0.00193s | Time spent on PHP: 0.14911s
APC-al - Time spent on mysqli queries: 0.00213s | Time spent on PHP: 0.17599s
és ha pluszba még a config.php fájlban ha lecserélem a file - apc -ra.
Time spent on mysqli queries: 0.032s | Time spent on PHP: 0.60016s
Megjegyzés: nem állítottam el az alap configját az apc-nak, tehát az alap beállítás volt érvényben.
További ötlet?
Marcee írta:
Egy csapattag bejelentkezési adatait szerezték meg
Marcee írta:
Írtátok itt páran, hogy saját (virtuális) szerveren futtatjátok a fórumaitokat. Használtok a PHP-hez valamilyen opcode cache (például APC, XCache, eAccelerator stb.) megoldást? Ha nem, akkor azzal viszonylag egyszerűen lehetne gyorsítani a fórumot.
APC nélkül - Time spent on mysqli queries: 0.00193s | Time spent on PHP: 0.14911s
APC-al - Time spent on mysqli queries: 0.00213s | Time spent on PHP: 0.17599s
és ha pluszba még a config.php fájlban ha lecserélem a file - apc -ra.
Time spent on mysqli queries: 0.032s | Time spent on PHP: 0.60016s
Megjegyzés: nem állítottam el az alap configját az apc-nak, tehát az alap beállítás volt érvényben.
További ötlet?
Mykee írta:
Ami tény: sok jelszót használok sok helyen.
Ez különálló programként fut, ha be kell jelentkezned valahova, akkor vagy vágólappal másolod át a jelszót (be lehet állítani, hogy x másodperc múlva törölje), vagy az automatikus gépelés funkcióját használod. Ez úgy néz ki, hogy böngészőben ráállsz a felhasználónév mezőre, KeePassban kiválasztod az ahhoz tartozó bejegyzést, egy CTRL + V-t nyomsz és kitölti a böngészőben a bejelentkezési adatokat. Ezt lehet még azzal variálni, hogy egyből KeePassból nyitod meg az URL-t. Nekem egész jól bevált az a kombináció, hogy a jelszavaim a KeePassban vannak, a böngészővel meg pluszban meg van jegyeztetve az a kb. fél tucat jelszó, amit napi szinten használok.
Sokan a LastPass-ra esküsznek. Ha minden igaz, ez böngésző pluginként fut, emiatt kevésbé döcögős a használata, illetve több eszköz között tud szinkronizálni (a KeePassnál csak egy darab fájlod van, amit neked kell másolgatni). Nem használtam még sose, részleteket nem tudok róla.
KillBill írta:
További ötlet?
Egyébként ne egy-egy értékpárt hasonlíts össze, mert itt már csak század és ezred másodperc eltérések vannak (0.00193s és 0.00213s között, ha jól számolom csak két tízezred másodperc az eltérés), amit helyi gépen simán okozhat akár olyan is, hogy valamelyik program a háttérben éppen végez még valamilyen műveletet.
A hozzászólás legutóbb Marcee által 2014.12.18. 00:11-kor lett szerkesztve, összesen 1 alkalommal.
Mykee írta:
... De ha itt tartunk: tökmindegy mi a követelmény, ha egy ilyen húzással akkor is hozzáférnek a legbonyolultabb jelszavakhoz is. ...
_________________
<M>
És az sem elhanyagolható, hogy ha hozzáférnek egy jelszavadhoz, akkor az csak egy valamilyen fórum hozzáférést nyit, vagy egy valamilyen fórum hozzáférést, a saját fórumod admin felületét, a levelezésed meg esetleg a netbankod felületét. Jó, ez így extrém példa, de gondolom érthető, mire akarok kilyukadni.
Marcee írta:
És következő oldalbetöltéskor is még hasonló értékek szerepelnek?
Tudod amikor a mysql tunning leírást alkalmaztam azon látszott javulás (nagyon nagy javulás), de a php-t nekem még nem sikerül tuningolni, régebben ugyan ez volt a helyzet az xcache-el is.
Most nézek egy kép apc configot, de eddig semmi ami javítana.
Néztem másik oldalt is ahol nagyobb a php terhelés
Time spent on PHP: 0.26128s
apc-al - Time spent on PHP: 0.3103s
Na meglesem újra az xcache azt beszámolok arról is.
ui: phpBB.com hát igen az e-mail cimek a gond nem a password. Mondjuk én majdnem minden oldalon más kódot használok így engem ez nem igen érint. Ráadásul évente lecserélem minden oldalon.
Szerk: még az OP-t is leteszteltem nekem nem csökkenti hanem növeli, érdekes.
PHP 5.5-től van egy opcache nevű kiegészítés, ami része a PHP terjesztésnek (a Windowsos letöltésben benne van a DLL, a Linuxos forráskód csomagban pedig a forráskódja, gondolom a legtöbb distroban van belőle telepíthető csomag is). Az engedélyezése a php.ini-ben rendszertől függően csak ennyi:
vagy
Ha az APC-t szeretnéd használni, akkor a hozzá tartozó apc.php-vel (forráskód) tudod a legegyszerűbben ellenőrizni a működését. A hit az a kód, amit ki tudott szolgálni a cache-ből, a miss, amit nem. Ha rendesen működik, akkor egy idő után a miss-eknek csökkennie kellene, a hit-eknek nőnie (ugyanannak a fájlnak a kiszolgálása minden alkalommal egy-egy különálló hit-nek vagy miss-nek számít).
Hasonló statisztikák opcache-hez: How to use PHP OPCache?
Kód:
zend_extension=php_opcache.dll
Kód:
zend_extension=/full/path/to/opcache.so
Ha az APC-t szeretnéd használni, akkor a hozzá tartozó apc.php-vel (forráskód) tudod a legegyszerűbben ellenőrizni a működését. A hit az a kód, amit ki tudott szolgálni a cache-ből, a miss, amit nem. Ha rendesen működik, akkor egy idő után a miss-eknek csökkennie kellene, a hit-eknek nőnie (ugyanannak a fájlnak a kiszolgálása minden alkalommal egy-egy különálló hit-nek vagy miss-nek számít).
Hasonló statisztikák opcache-hez: How to use PHP OPCache?
Újabb frissítés a phpbb.com-on:
Vagyis a vizsgálatot befejezték, és most igyekeznek visszaállítani az oldalt. Minden szerveren ellenőrizték az adatok sértetlenségét, ami sok időbe és munkába telt. A kiszolgáló infrastruktúrán fejlesztéseket hajtottak végre, úgyhogy a dolgoknak jobban kell működniük, mint valaha. Elnézést kérnek a hosszú kimaradásért, a helyreállítás 24-48 órán belül fog befejeződni.
Idézet:
Update #4 22-12-2014 - 08:45
We have concluded our investigation and are actively working on bringing services back online.
We verified the integrity of all data on the machines, which took a considerable amount of work and time. The backend infrastructure has likewise been improved so things should be running better than ever.
Apologies for the long downtime. We expect this to be completed within 24-48 hours.
Ez jó hír és kíváncsi leszek a végeredményre, hogy végülis mi volt és milyen adatok sérülhettek. Csak tényleg sok melót adott nekik.
Visszatért a phpBB.com ezzel az angol nyelvű bejelentéssel.
Újra kihangsúlyozzák, hogy a szervereiket ért támadás semmilyen formában nem veszélyezteti a külső phpBB-s fórumokat. Az ezekben tapasztalt hibák, leállások vagy megnövekedett SPAM forgalom nincs összefüggésben a phpBB.com-on történtekkel.
December 14-én, vasárnap észlelték, hogy a phpbb.com-ot kiszolgáló szervert kompromittálták. A hálózatukat (ami a szervereiket kapcsolja össze) lekapcsolták és elkezdték az események kivizsgálását. A következőkre jutottak:
December 12-én, pénteken hozzáfértek az area51.phpbb.com-ot kiszolgáló szerverükhöz (ez a fejlesztői fórumuk, ami különálló a phpbb.com-on lévőtől) egy csapattaguk hozzáférési adataival, amit külső forrásból szereztek meg (nem egy, a phpBB-ben lévő sebezhetőséggel).
Az area51-es teszt fórumhoz hozzáadtak egy olyan plusz kódot, ami bejelentkezéskor lementette az éppen bejelentkező fórum tag felhasználói nevét és jelszavát (kódolatlanul). Az érintett felhasználókat értesítették.
Feltételezik, hogy a támadók megszerezték mind az area51.phpbb.com, mind a phpbb.com felhasználói adatait. Ebbe beletartozik a felhasználói név, az e-mail cím és a PHPass (ezt használja alapból a phpBB 3-as verziója) által hashelt jelszó. Noha a jelszó hashelése nehézzé teszi az eredeti jelszó megszerzését, mindenkinek javasolják, hogy cserélje le a phpbb.com-on, area51.phpbb.com-on használt jelszavait, valamint minden olyan további oldalon is, ahol az adott jelszót használja.
A szerver infrastruktúrát alapjaiból építették újra, hogy ezzel is biztosítsák a rendszereik tisztaságát. A phpbb.com egyes, még nem működő funkciói a következő napokban kerülnek helyreállításra. Ezekről később egy részletesebb blog bejegyzést fognak közzétenni.
Újfent elnézést kérnek a kellemetlenségekért és remélik, hogy továbbra is mindenki együttműködik velük a phpBB jobbá tételében.
Újra kihangsúlyozzák, hogy a szervereiket ért támadás semmilyen formában nem veszélyezteti a külső phpBB-s fórumokat. Az ezekben tapasztalt hibák, leállások vagy megnövekedett SPAM forgalom nincs összefüggésben a phpBB.com-on történtekkel.
December 14-én, vasárnap észlelték, hogy a phpbb.com-ot kiszolgáló szervert kompromittálták. A hálózatukat (ami a szervereiket kapcsolja össze) lekapcsolták és elkezdték az események kivizsgálását. A következőkre jutottak:
December 12-én, pénteken hozzáfértek az area51.phpbb.com-ot kiszolgáló szerverükhöz (ez a fejlesztői fórumuk, ami különálló a phpbb.com-on lévőtől) egy csapattaguk hozzáférési adataival, amit külső forrásból szereztek meg (nem egy, a phpBB-ben lévő sebezhetőséggel).
Az area51-es teszt fórumhoz hozzáadtak egy olyan plusz kódot, ami bejelentkezéskor lementette az éppen bejelentkező fórum tag felhasználói nevét és jelszavát (kódolatlanul). Az érintett felhasználókat értesítették.
Feltételezik, hogy a támadók megszerezték mind az area51.phpbb.com, mind a phpbb.com felhasználói adatait. Ebbe beletartozik a felhasználói név, az e-mail cím és a PHPass (ezt használja alapból a phpBB 3-as verziója) által hashelt jelszó. Noha a jelszó hashelése nehézzé teszi az eredeti jelszó megszerzését, mindenkinek javasolják, hogy cserélje le a phpbb.com-on, area51.phpbb.com-on használt jelszavait, valamint minden olyan további oldalon is, ahol az adott jelszót használja.
A szerver infrastruktúrát alapjaiból építették újra, hogy ezzel is biztosítsák a rendszereik tisztaságát. A phpbb.com egyes, még nem működő funkciói a következő napokban kerülnek helyreállításra. Ezekről később egy részletesebb blog bejegyzést fognak közzétenni.
Újfent elnézést kérnek a kellemetlenségekért és remélik, hogy továbbra is mindenki együttműködik velük a phpBB jobbá tételében.
Mykee írta:
Akkor úgy fogalmazok: ha te nem patcheled meg vagy nem találsz foltozást, akkor a 3.1 átállás marad vagy másik motor. Tehát úgy értem: akkor a 3.0.12-őt nem tudod utána használni, ahogy előtte.
Nem készíthetsz új témákat ebben a fórumban.
Nem válaszolhatsz egy témára ebben a fórumban.
Nem módosíthatod a hozzászólásaidat a fórumban.
Nem törölheted a hozzászólásaidat a fórumban.
Nem szavazhatsz ebben fórumban.
Nem válaszolhatsz egy témára ebben a fórumban.
Nem módosíthatod a hozzászólásaidat a fórumban.
Nem törölheted a hozzászólásaidat a fórumban.
Nem szavazhatsz ebben fórumban.