Mattis.... tør jeg spørre om hvilken versjon av phpBB dette forum nå kjører på?
Noen har kanskje fått med seg at phpBB som "bulletin board motor" har det litt som Microsoft Internet Explorer, Outlook osv osv = er desidert mest populær å hacke. Siste forum i Norge nå som opplevde et lite helvete med totalt ødelagt forum for bare få dager siden, var båtfabrikanten Viksund med sitt phpBB "båtpraten" som kjørte på en kun ca 1 år gammel versjon av phpBB.
Jeg skal ikke spekulere så mye over hvorfor phpBB (som også dette CX klubbens forum er bygget på) er mest populært blant hackere (fremfor andre forum som Invision, Yabb, ThWboard m.fl.). Men det ligger nok noe i at det er mye utbredt fordi det faktisk er blant de aller enkleste å sette opp pluss at php formatet også er litt utsatt.
For phpBB sin del er vel nå siste versjon 2.0.19 som foreløpig ikke har kjente alvorlige sikkerhetshull. De foregående versjoner har rapportert følgende sikkerhetshull:
Deletion of shadow topic links by non moderators in version 2.0.18
Cross site scripting in uploaded image files in version 2.0.18
Cross site Scripting in Avatars in version 2.0.16
Hull for cross site scripting anses som ganske alvorlige sikkerhetshull og er for enkelte webhotell leverandører faktisk grunn nok til at de umiddelbart STENGER websiden/forumet inntil kunden har oppgradert til nyere versjon av forumet uten dette sikkerhetshullet. CX klubben skal kanskje i så måte være glad at Mattis velvillig er vert for forumet :D
Jeg går ellers ut fra at du har full kontroll Mattis og blant annet tar jevnlige backup av forumet God helg i finværet !
OffTopic: PhpBB og hacking
Moderator: moderator
OffTopic: PhpBB og hacking
Ex84CX25GTi Nå 94XM3,0V6.24 +95XM3,0V6Exclusive +96XM2,0TurboCT +prosjekt91XM3,0V6.24
Admin http://www.citroenxm.no
Admin http://www.citroenxm.no
Re: OffTopic: PhpBB og hacking
Har vel ikke vært mer stabilt noen gang...Helge S wrote:Mattis.... tør jeg spørre om hvilken versjon av phpBB dette forum nå kjører på?
phpBB har vel vært et utsatt system i alle tider, men tror ikke man skal bli for overparanoid. Sålenge man oppdatere når det kommer oppdateringer (som disse båtfolkene ikke gjorde, 1år da dere. De skulle bare visst hvor mye faenskap man kan lage på ett år) så tror jeg man er ganske sikker. Skal noen "ødelegge" her nå, trengs det ganske mye arbeid, disse som blir "hacket" på den måten båtfolket ble, har blitt offer for rent hærverk. Det sitter gutter hjemme og bare leter etter utsatte steder, la oss si de finner en exploit, denne "Cross site Scripting in Avatars in version 2.0.16" f.eks. så søker de bare etter en side som er utsatt for dette, og så trykker de enter og jobben er gjort.
Forumet her ligger på en FreeBSD maskin, og det i seg selv utelukker 99% av exploits der ute. Du kan fortsatt penetrere, men krever somoftest mye arbeid. En annen ting som er bra er at denne serveren ikke kjører så mye annen programmvare. All programmvare som har kontakt med internett er en sikkerhetsrisiko.
Tror ikke man skal bekymre seg jeg, er altid skeptisk til slike "warnings". Blir litt sånn ULV! ULV! når det egentlig er bjørnen som dreper.....
Det lille jeg har hørt fra Mattis om sikkerthet og slikt, synes jeg han er meget flink og ryddig, og når han sier at det skal bli enda bedre himmler jeg med øynene og sier "denne mannen fortjener en god flaske cognac"
Forumet her ligger på en FreeBSD maskin, og det i seg selv utelukker 99% av exploits der ute. Du kan fortsatt penetrere, men krever somoftest mye arbeid. En annen ting som er bra er at denne serveren ikke kjører så mye annen programmvare. All programmvare som har kontakt med internett er en sikkerhetsrisiko.
Tror ikke man skal bekymre seg jeg, er altid skeptisk til slike "warnings". Blir litt sånn ULV! ULV! når det egentlig er bjørnen som dreper.....
Det lille jeg har hørt fra Mattis om sikkerthet og slikt, synes jeg han er meget flink og ryddig, og når han sier at det skal bli enda bedre himmler jeg med øynene og sier "denne mannen fortjener en god flaske cognac"
Som jeg antydet, regnet jeg med at Mattis har kontroll. Jeg hadde ingen intensjoner om å rope ULV, men spurte av nysgjerrighet/uvitenhet om phpBB versjon da jeg ble litt skremt over hvor totalt krasjet forumet til Viksund var.
Ex84CX25GTi Nå 94XM3,0V6.24 +95XM3,0V6Exclusive +96XM2,0TurboCT +prosjekt91XM3,0V6.24
Admin http://www.citroenxm.no
Admin http://www.citroenxm.no
unskyld, skulle kansje nevnt litt klarere at den komentaren ikke var myntet på deg personelig, men mere på et generelt plan.Helge S wrote:Som jeg antydet, regnet jeg med at Mattis har kontroll. Jeg hadde ingen intensjoner om å rope ULV, men spurte av nysgjerrighet/uvitenhet om phpBB versjon da jeg ble litt skremt over hvor totalt krasjet forumet til Viksund var.
Selv store sider som BBC har jo blitt hacket flere ganger, men disse er jo også større mål. Tror det skal mye til at noen gidder å sette seg CXforumet som mål..... Det at forumet ikke ligger på et Webhotell minsker også sjangsen for at noen gidder å prøve seg. Desto større webhotellene er desto større megde data skal de kontrolere og desto lettere er det for hackere og finne hull.
s.bjelke wrote:unskyld, skulle kansje nevnt litt klarere at den komentaren ikke var myntet på deg personelig, men mere på et generelt plan.
Ingen problem, men takk for omtanken.
Tja, både og. I den grad hackere kan "velge og vrake", prioriterer de nok de største "trofe'ene" ja. Men flere av hackerne bruker roboter/program som søker etter både forum og annet med sikkerhetshull og finner de slike tar de nok til takke med "hva det skal være". Det er jo det lille forumet til Viksund et synlig bevis på.s.bjelke wrote:Selv store sider som BBC har jo blitt hacket flere ganger, men disse er jo også større mål. Tror det skal mye til at noen gidder å sette seg CXforumet som mål..... Det at forumet ikke ligger på et Webhotell minsker også sjangsen for at noen gidder å prøve seg.
Ex84CX25GTi Nå 94XM3,0V6.24 +95XM3,0V6Exclusive +96XM2,0TurboCT +prosjekt91XM3,0V6.24
Admin http://www.citroenxm.no
Admin http://www.citroenxm.no