Kommentare zu: Server/PHP4You cracked

Von: foxx

foxx — Sun, 04 Nov 2007 12:34:50 +0000

lies am besten mal den aktuellsten Eintrag

Von: Giuseppe

Giuseppe — Sat, 03 Nov 2007 15:22:49 +0000

Gab es nicht vor kurzem noch einen Spamfilter?

Von: black touch

black touch — Sun, 26 Aug 2007 15:06:48 +0000

Von: Janeks Blog» Blog Archive » Arbeit an PHP4You.de

Janeks Blog» Blog Archive » Arbeit an PHP4You.de — Mon, 16 Apr 2007 20:24:39 +0000

[...] Alte News: PHP4You gecrackt� [...]

Von: Janeks Blog» Blog Archive » IRC Bot

Janeks Blog» Blog Archive » IRC Bot — Mon, 16 Apr 2007 20:06:35 +0000

[...] von Seiten, welchen den PHP4You IRC Bot verlinken (PHP IRC-bot). Da dieser jedoch aufgrund der PHP4You-Downtime derzeit nicht erreichbar ist, werde ich ihn fÌr diese Zeit hier zum download [...]

Von: foxx

foxx — Wed, 14 Mar 2007 18:29:07 +0000

Ja das stimmt, wenn man nicht wirklich beim Coden aufpasst oder nicht vor Nutzung alles auf SicherheitslÌcken ÌberprÌft. Au�?erdem sollte man von Anfang an auf ordentliche SQL-Querys achten, damit es nicht zu SQL Injections kommen kann.
Das CMS welches wir fÌr PHP4You verwenden werden ist wie das alte auch selbst geschrieben

Gru�?,
foxx

Von: akaz

akaz — Wed, 14 Mar 2007 18:15:52 +0000

Huch, habs gerade gesehen, dass php4you off ist. dumme sache das, hoffe ihr kriegt das wieder hin
ich habe jetzt auch mal bemerkt, wie gefÀhrlich doch selbstgeschriebene Skripte sein können – meine Webseite kriegt ein CMS verpasst

viel glÌck,
akaz

Von: foxx

foxx — Sat, 10 Mar 2007 13:36:28 +0000

Ja, aber nicht zum Voltaire-Board sondern zum PHP4You-Board. Der richtige Link ist eigentlich http://forum.php4you.de/ welcher auch Rechts in der Navi des Blogs steht. Aber ihr könnt auch den obigen verwenden.
Ich versteh jetzt nur nicht den Kontext

Von: mipkr

mipkr — Sat, 10 Mar 2007 13:15:36 +0000

Link zum Board:
http: // php4you.de / forum /

Von: foxx

foxx — Mon, 05 Mar 2007 14:52:24 +0000

So… das Voltaire Board ist dann wieder on und leider gibt es keine Logs von allen MySQL Querys. Das wÀr auch viel zu viel Ìber die Zeit… Dann wÀr der Server schnell voll. Aber ich glaube weniger, dass der Hacker daran interessiert war MD5 Hashes zu stehlen. Eher den Server fÌr andere Dinge auszunutzen. Vielleicht auch Spam Versand.

Von: Bekki

Bekki — Sun, 04 Mar 2007 19:29:42 +0000

….Fremdsprache?! *ggg*
Joar, wÀr nett wenn de mal schau könntest ; )
hab nÀmlich nit gerade das schwerste Passwort des Internet-Universums…^^
nja..bis denn
bekki

Von: foxx

foxx — Sat, 03 Mar 2007 11:44:45 +0000

@all: Ich bin erstmal wieder (gesund) vom Ski-/Snowboard”urlaub” zurÌck. Ich werde mich jetzt darum kÌmmern, dass das Board usw. so schnell wie möglich wieder on gehen kann.

@Michitux: Eigentlich sollte das nicht möglich sein, dass ist mir klar… Ich schau mal wie man die Funktionen exec() und system() am besten einschrÀnken kann da ich ja nichts am /tmp Dateisystem Àndern kann. Vorerst werde ich diese einfach in der php.ini deaktivieren. Ich hoffe dadurch wird kein Nutzer eingeschrÀnkt.

@Bekki&anon: Mir ist darÌber nichts bekannt, die gefundenen Dienste scheinen auch nicht dafÌr genutzt worden zu sein… Au�?erdem liegen die Passwörter nur MD5 VerschlÌsselt vor (PHPbb, die Forensoftware des Voltaire Boards, nutzt leider kein SHA) und bei schwierigen Passwörtern dauert das ewig bis man die rausbekommt bzw. ist ziemlich unwarscheinlich. Ich bin mir grad nicht sicher ob MySQL so eingestellt ist, dass alle Querys geloggt werden. Wenn ja kann ich ja schauen ob User Passwörter ausgelesen wurden.

Von: anon

anon — Fri, 02 Mar 2007 00:11:44 +0000

Gibt es Informationen ob Passwörter von Benutzern ausgelesen werden konnten?

Von: Bekki

Bekki — Wed, 28 Feb 2007 20:36:40 +0000

öh…also auf deutsch andere leutis konte mein passwort herausfinden und sihc dann damit einloggen und meine daten verÀndern?!
so hab ich das jetzt geschnallt..^^

lg bekki

Von: Michitux

Michitux — Mon, 26 Feb 2007 20:10:14 +0000

Hm, das hört sich ja echt abenteuerlich an… Janek, du willst echt allen ernstes behaupten, dass es normal ist, dass man via PHP beliebige (BinÀr)Dateien via exec(); als User wwwrun ausfÌhren kann?! Also mit anderen Worten, dass jeder User in der Lage ist, Ìber einige Umwege Prozesse auszufÌhren, mit denen er, wenn er geschickt ist, in der Lage ist, die fÌr Apache bestimmten Dateien sÀmtlicher User zu lesen und gro�?teils zu beschreiben/löschen? Also ich meine ja nur so, die Dateien werden ja meist auch Mysql-Passwörter im Klartext enthalten, und was man mit dem alles jetzt anstellen kann und welchen Schaden man damit anrichten kann, muss ich jetzt ja wohl nicht erklÀren… Also ich wÌrde auf einem Server doch eine gewisse Sicherheit erwarten um ruhig schlafen zu können.

Sorry, falls sich meine Behauptungen hier auf falsche Annahmen stÌtzen sollten, in diesem Fall nehme ich natÌrlich alles zurÌck.