Da ja offensichtlich ein PlugIn des "SmartStore.biz" die ausgenutzte Lücke aufwies, dürften die Angreifer stumpf alle bei SmartStore unter "Referenzen" aufgeführten Shops abgegrast haben...Raptus hat geschrieben:Höchstwarscheinlich liegt überhaupt kein Motiv speziell gegen die NSF vor, solche Site Defacer suche einfach indiskriminiert nach bestimmten Serverkonfigurationen mit Schwachstellen als Opfer.
Jetzt könnte man sich gut seine Verschwörungstheorie zusammenbasteln, à la süchtige Nubert Benutzer hacken Webshop, um an Informationen bezüglich zukünftiger geplanter Produkte zu kommenHomernoid hat geschrieben:
Ihr habt ja echt Ahnung von dem Kram.
Darf ich mal für mich und andere phpbb-Betreiber nachfragen: Hab ich jetzt zu befürchten, daß mir das bei meinem Forum/meiner Website genauso passieren kann?Koala hat geschrieben:Naja, niemand wird gezwungen register_globals einzusetzen und wer register_globals oder Software, die darauf angewiesen ist, einsetzt, muß eben sicherstellen, daß keine Hintertüren offen bleiben. Wer auf (vollständige) Validierungen von tainted data verzichtet und mit diesen Daten auch noch stream wrapper füttert, darf sich nicht über unerwünschte Nebenwirkungen wundern...A.Krapohl hat geschrieben:wenn ueberhaupt sollte man eigentlich nur den php-entwicklern den 'register_globals' blödsinn um die ohren hauen.
register_globals selbst ist nicht sicherheitsrelevant und seine Existenz ist zugunsten der BC weiterhin im aktuellen Trunk enthalten, Rasmus versucht jedoch derzeit für PHP 6 einige Dinge, zu denen register_globals zählt, zu kippen. Lassen wir uns überraschen, wie sich php-dev bzw. php-core entscheiden werden...
greetings, Keita
die aktuelle version des phpbb-forums sollte relativ sicher sein, da nicht zuletzt das von der phpbb group jüngst initiierte code-auditing eine menge an änderungen in der version 2.0.18 mit sich gebracht hat.Darf ich mal für mich und andere phpbb-Betreiber nachfragen: Hab ich jetzt zu befürchten, daß mir das bei meinem Forum/meiner Website genauso passieren kann?
Theoretisch kann das mit nahezu allen gängigen PHP-Projekten passieren, Ursachen können sowohl Fehler in PHP selbst als auch fehlerhafte Programmierung bei den Projekten sein.Mayday21 hat geschrieben:Darf ich mal für mich und andere phpbb-Betreiber nachfragen: Hab ich jetzt zu befürchten, daß mir das bei meinem Forum/meiner Website genauso passieren kann?
Präventiv nur durch akkurates Code Auditing, was natürlich entsprechende Kenntnisse voraussetzt und eine Menge Zeit in Anspruch nehmen kann. Als Endanwender bleibt eigentlich nur das System so zeitnah wie möglich aktuell zu halten, d.h. man muß regelmäßig nach verfügbaren Updates Ausschau halten und bei Erscheinen je nach Dringlichkeit der Fixes so schnell wie möglich das Update installieren. Der Haken bei solchen Updates ist, daß sie mitunter Störungen verursachen können, weil die Änderungen Nebenwirkungen verursachen, man muß also abwägen, wie wichtig das Update ist und/oder vorher an einer Testinstallation die Verträglichkeit prüfen.Wie kann ich mich denn dagegen schützen?
Viele Projekte bieten Newsletter an, die u.a. über neue Releases oder bekannt gewordene Exploits informieren, wichtig ist, daß man stets auf dem aktuellen Stand gehalten wird, um auch die Software up to date halten zu können.So versiert bin ich nicht im Administrieren, ich hab die Software einfach aufgespielt und das wars.
Gott sei Dank hat sich ja alles zum Guten gewendet 
