Seite 4 von 4 ErsteErste 1234
Ergebnis 61 bis 74 von 74

Thema: vBulletin 4.2.2 verfügbar - Feedback

  1. #61
    Benutzer Avatar von Masterix
    Registriert seit
    03.05.2008
    Ort
    Stuttgart
    Beiträge
    137

    Idee

    Zitat Zitat von Tamara-Jasmin Beitrag anzeigen
    Mal eine blöde Frage ..., ich kann diese Beta im Kundenbereich nirgendwo finden. Wie komme denn an diese Version ran? Liebe Grüsse: Tammy
    Im Kundenbereich, rechts auf (...) herunterladen klicken und dann dort, oben Links bei "Version", die Betaversion auswählen und herunterladen.
    Gruß, Masterix

    --

  2. #62
    vB-Guru Avatar von Tamara-Jasmin
    Registriert seit
    21.06.2010
    Ort
    Berchtesgaden
    Beiträge
    1.339
    da is bei mir wohl was anders .. hab da nur startseite und PW ändern .. habs aber dort anderswo gefunden (andere Downloadoptionen) - und ist leider nur in Englisch verfügbar.

    Liebe Grüsse:
    Tammy
    Ein Hund ist treu - ein Hund ist ehrlich -
    der Mensch dagegen sehr beschwerlich
    (Tamara-Jasmin 04.2011 - Forum privat - nicht öffentlich zugänglich)



  3. #63
    Benutzer Avatar von kevin2007
    Registriert seit
    18.09.2007
    Ort
    /home/kevin
    Beiträge
    116
    Im Kundenbereich ist stillschweigend nun eine 4.2.3 verfuegbar. Ist das noch eine Beta/RC oder eine fertige Version?
    Wo ist die Ankuendigung dazu? Weder hier, noch bei vBulletin selbst.. bin daher etwas verwirrt.
    ~|Knowledge is Power!|~
    "Every organization rests upon a mountain of secrets" - Julian Assange

  4. #64
    vB-Guru Avatar von MrD
    Registriert seit
    21.08.2003
    Ort
    Localhost
    Alter
    46
    Beiträge
    3.351
    Naja die Version ist seit Ende Juli verfügbar
    http://forum.vbulletin-germany.com/s...C3%A4nderungen
    Gruß
    Marcus

  5. #65
    Benutzer Avatar von kevin2007
    Registriert seit
    18.09.2007
    Ort
    /home/kevin
    Beiträge
    116
    Hm okay, mir wurde es vorgestern erst im ACP angezeigt. Dennoch ist meine bzw. diese Frage noch offen:

    Zitat Zitat von michael24179 Beitrag anzeigen
    Auch bin ich es gewohnt, Änderungen zu erfahren. Folgt diese Beschreibung noch in kürze ?
    ~|Knowledge is Power!|~
    "Every organization rests upon a mountain of secrets" - Julian Assange

  6. #66
    vB-Guru Avatar von MrD
    Registriert seit
    21.08.2003
    Ort
    Localhost
    Alter
    46
    Beiträge
    3.351
    Sehe das du das Thema nicht gelesen hast.
    Gruß
    Marcus

  7. #67
    Profi-Benutzer Avatar von StarShaper
    Registriert seit
    09.09.2005
    Beiträge
    369
    Ich bekomme keinen Zugriff mehr auf mein Kundenmenü.

    Deshalb kann ich den verdammten Patch nicht herunterladen.

    Jetzt musste ich auch noch feststellen, dass irgendein Idiot unter dem Proxy 77.247.181.162 offensichtlich den Exploit ausgenutzt hat.

    Code:
    /forum/forumrunner/request.php?d=1&cmd=get_spam_data&postids=-1)union%20select%201,2,3,(select%20(@x)%20from%20(select%20(@x:=0x00),(select%20(0)%20from%20(jos_users)where%20(0x00)%20in%20(@x:=concat(@x,0x3c62723e,id,0x3a,name,0x3a,username,0x3a,email,0x3a,password,Limit0x3330))))x),5,6,7,8,9,10--%20-
    Wo zum Teufel bekomme ich den Patch her?
    Live long and prosper

  8. #68
    vBulletin-Germany Team Avatar von pogo
    Registriert seit
    01.06.2001
    Ort
    Hannover
    Alter
    42
    Beiträge
    16.283
    Blog-Einträge
    5
    Schön, dass du den Zugang zum Kundenbereich inzwischen wiederherstellen konntest.

    Mein Wunschzettel
    Warum du keine Anhänge herunterladen kannst!
    Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!

  9. #69
    Profi-Benutzer Avatar von StarShaper
    Registriert seit
    09.09.2005
    Beiträge
    369
    Zitat Zitat von pogo Beitrag anzeigen
    Schön, dass du den Zugang zum Kundenbereich inzwischen wiederherstellen konntest.
    Damals hat auch kein Recovery funktioniert.

    Ich konnte jetzt von 4.2.1 auf 4.2.3 Level 2 aktualisieren. Einen Patch für 4.2.1 gab es ja nicht. Hinzu kommt, dass ich auf PHP 5.4 hochgehen musste, weil 5.3 nicht ausreichend war.

    Ist aber ein schwacher Trost. Ich muss jetzt die Logs von gestern durchgehen und schauen was der User mit der IP 77.247.181.162 alles getrieben hat.

    Es sieht so aus, als hätte er unter anderem die Tabelle "Users" der Joomla Installation über den Exploit ausgelesen, nachdem er sich das Datenbankschema geholt hatte. Ausgesprochen ärgerlich, vorallem weil ich das Addon Forumrunner überhaupt nicht aktiv habe.

    Die Zugangspasswörter habe ich mittlerweile auch alle geändert, obwohl die Backends separat über Htaccess geschützt sind. Mit den gesalzenen Hashes der User wird der Angreifer/Depp aber ohnehin wenig anfangen können. Dummerweise hat er jetzt alle E-Mail-Adressen.
    Geändert von StarShaper (18.11.2016 um 07:33 Uhr)
    Live long and prosper

  10. #70
    Benutzer Avatar von alcazar
    Registriert seit
    02.07.2016
    Ort
    Geheimbasis in der Arktis
    Beiträge
    33
    Das dürfte unerheblich sein, ob in vB das Addon "aktiv" ist oder nicht, wenn die Dateien vorhanden und aufrufbar sind.

    Les ich das richtich, das bei Euch mehrere Anwendungen in der GLEICHEN Datenbank gespeichert sind?
    Das ist unüblich, schon wegen Datensicherheit und -konsistenz, normal nimmt man pro Script/Anwendung eine DB.
    Denn wenn die DB gelöscht wird / defekt ist / kompromittiert etc. könnten alle beteiligten Anwendungen betroffen sein, statt einer einzelnen.
    Danke.

    PS: Die fragliche IP scheint auf ein Tor-Netzwerk zu verweisen, also wohl kein gewöhnlicher "Angriff" ...

  11. #71
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    56
    Beiträge
    13.164
    Zitat Zitat von alcazar Beitrag anzeigen

    PS: Die fragliche IP scheint auf ein Tor-Netzwerk zu verweisen, also wohl kein gewöhnlicher "Angriff" ...
    Genau das schrieb er ja oben selbst schon, TOR = (der wohl bekannteste) Proxy bzw. Onion-Router:


    Zitat Zitat von StarShaper Beitrag anzeigen

    Jetzt musste ich auch noch feststellen, dass irgendein Idiot unter dem Proxy 77.247.181.162 offensichtlich den Exploit ausgenutzt hat.
    Nein, ein "gewöhnlicher Angriff" (wie auch immer der aussehen mag) ist es sicher nicht.

    Zum Thema "getrennte Datenbanken" kann ich Dir nur absolut zustimmen. Genau das empfehle ich auch immer wieder, macht aber trotzdem nicht jeder Betreiber. Auch wenn meistens (mehr als) genug Datenbanken im Web-Paket zur Verfügung stehen und nur konfiguriert werden müssten.
    Auch die reine DB-"Pflege" gestaltet sich dadurch teils deutlich einfacher, zumal die "Crash-Gefahr" einzelner Tables dadurch deutlich minimiert wird.
    Aber Viele arbeiten lieber mit Prefixes, um die jeweilige Anwendung "wieder zu erkennen" und doppelte Tables zu vermeiden.
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



  12. #72
    Profi-Benutzer Avatar von StarShaper
    Registriert seit
    09.09.2005
    Beiträge
    369
    Ein Noob war nicht am Werk.

    Das sieht man schon daran, dass der Angreifer über einen Proxy arbeitete und die SQL-Statements, die injected wurden sind komplex. Das heißt der User wußte, was er tat.

    Aber der Exploit ist im Netz überall erklärt. Das die Script-Kiddies sich irgendwann darauf stürzen war irgendwie klar.

    Anscheinend scannen einige Idioten das Internet nach nicht gepatchten vBulletins ab und nutzen dann den Exploit aus.

    Der Angreifer hat sich gezielt die Tabellen mit User-Daten beschafft. Sowohl Namen, als auch E-Mail-Adressen und gehashte Passwörter.

    BTW:

    Das Anwendungen möglichst separate DBs nutzen sollten ist klar. Da ich aber vom Hoster nur noch 1 DB bekomme, musste ich Joomla und vB in einer DB installieren.
    Geändert von StarShaper (18.11.2016 um 15:57 Uhr)
    Live long and prosper

  13. #73
    Benutzer Avatar von alcazar
    Registriert seit
    02.07.2016
    Ort
    Geheimbasis in der Arktis
    Beiträge
    33
    Zitat Zitat von StarShaper
    Aber der Exploit ist im Netz überall erklärt. Das die Script-Kiddies sich irgendwann darauf stürzen war irgendwie klar.
    Anscheinend scannen einige Idioten das Internet nach nicht gepatchten vBulletins ab und nutzen dann den Exploit aus.
    Das ist aber nicht nur bei vB so, das is bei vielen Anwendungen.

    Zitat Zitat von StarShaper
    Das Anwendungen möglichst separate DBs nutzen sollten ist klar. Da ich aber vom Hoster nur noch 1 DB bekomme, musste ich Joomla und vB in einer DB installieren.
    Lösung (auch auf die Gefahr hin gehasst zu werden ): einfach den Hoster wechseln.
    Von div. Free-Hostern wie funpic/ohost, bplaced etc. ma abgesehen kenne eigentlich keinen Hoster wo man nur 1 DB/FTP etc. hat.

    Schönes WE.

    /* edit
    @JayDee: Das mag sein, aber der Hoster wo derzeit bin, wie auch die vorigen hatten was DB/FTP/Email angeht keine Begrenzung.
    Nur der Webspace an sich (MB/GB), evtl. Domains sowie der Traffic sind je nach Paket.
    */
    Geändert von alcazar (20.11.2016 um 10:27 Uhr)

  14. #74
    vB-Guru Avatar von Jaydee
    Registriert seit
    29.05.2008
    Ort
    ...tief im Westen....
    Alter
    56
    Beiträge
    13.164
    Das ist ja immer vom gewählten Tarif/Paket abhängig.
    Bei den ganz minimalistischen Paketen unter 5,- Euro (meist für rein private oder kleine Firmen Pages) mag es das vereinzelt evtl. noch geben, z.B. bei allinkl.com oder Hosteurope/DF könnte ich mir das denken.

    Aber Du hast Recht, bei den anderen "namhaften" kommt das wohl heute kaum noch vor, minimaler Standard ist eigentlich eher 3 DBs und natürlich aufwärts.

    Ich weiß beispielsweise, dass es bei Artfiles nur noch einen Tarif ganz ohne Datenbank gibt, das ist der "Private Tiny" und der "kostet" mal gerade schlappe 25 Cent! Da kann man das wirklich nicht erwarten.
    Der nächste, das ist der "Private Medium", hat für 2,99 € bei 3 Freimonaten bereits 5 Datenbanken inkludiert! Für 10 Euro bekommt man 50 und für 15 Euro 100 Datenbanken bei insgesamt 150 GB Space usw...

    Also Geld kann heutzutage wirklich kein Argument dafür mehr sein.
    Liebe Grüße
    Jörg


    Spezifische Fragen zum MySQLDumper bitte nicht hier, sondern im MSD-Support-Forum stellen.
    Aktuell verfügbare Version: MSD 1.24.4

    Die deutsche Rechtschreibung ist Freeware. Das heißt, Du kannst sie kostenlos nutzen.
    Allerdings ist sie nicht Open Source, d.h. Du darfst sie nicht verändern oder in veränderter Form veröffentlichen.



Seite 4 von 4 ErsteErste 1234

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. vBulletin 4.1.11 verfügbar - Feedback
    Von Mystics im Forum Feedback zu den Ankündigungen
    Antworten: 84
    Letzter Beitrag: 24.04.2014, 12:37
  2. vBulletin 4.1.7 verfügbar - Feedback
    Von Mystics im Forum Feedback zu den Ankündigungen
    Antworten: 79
    Letzter Beitrag: 08.11.2011, 17:52
  3. vBulletin 4.0.7 verfügbar - Feedback
    Von Mystics im Forum Feedback zu den Ankündigungen
    Antworten: 78
    Letzter Beitrag: 18.10.2010, 11:06
  4. vBulletin 3.7.2 verfügbar - Feedback
    Von pogo im Forum Feedback zu den Ankündigungen
    Antworten: 98
    Letzter Beitrag: 26.08.2008, 19:03
  5. vBulletin 3.6.6 / 3.6.7 verfügbar - Feedback
    Von pogo im Forum Feedback zu den Ankündigungen
    Antworten: 377
    Letzter Beitrag: 27.07.2007, 11:00

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •