竹貓星球

我是使用phpBB2 2.0.5的版本，採用BMan1Blue為預設風格，除一般實用外掛外另加表偽子分區的Mod，Linux為操作系統，MySQL 4.0.15，租用外國的主機空間，網站巳運作三年多，從來沒有發生保安問題，未註冊者是不能用search功能及溜覽任何東西。

問題：昨晚三時許登入後不到三秒鐘發現網站竟自動轉移到一個類似"伊斯蘭"教團體的網站！當時立即upload巳備份的phpBB2程序覆蓋原來的，Overwrite發覺問題仍在，立即判斷data可能被外來者修改，發現偽子分區某一段被改為指向那個"伊斯蘭"教團體網站的link！修改後網站巳回復正常！

今日問外國的customer service的人說可以在不需要SQL password的狀況下利用溢出的漏洞去修改data！有這個可能嗎？更新phpBB2 version是一個方法但我有一個朋友的網站用的是2.0.20但在三月份曾遇上我相同的問題！網站被自動redirect到"阿以蓋達"組織的網站去！！有什麼方法可以防衛？

china2000 寫:今日問外國的customer service的人說可以在不需要SQL password的狀況下利用溢出的漏洞去修改data！有這個可能嗎？更新phpBB2 version是一個方法但我有一個朋友的網站用的是2.0.20但在三月份曾遇上我相同的問題！網站被自動redirect到"阿以蓋達"組織的網站去！！有什麼方法可以防衛？

當然可能！phpBB 2.0.x 早期在哪個版本之前有 SQL injection 的大漏洞，要拿來玩很多把戲都可以。

至於更新到最新版本還是會被黑，很有可能是機器沒有更新 service 上的 security 漏洞，這個問題是機器的 admin 該解決的問題。

關於phpBB版本的事, 一年前就曾提醒過您了
http://phpbb-tw.net/phpbb/viewtopic.php?p=189495#189495

我想我們不需要為你的網站被駭客入侵而負任何責任,因為讓系統保持在最安全的狀態是站長的責任
既然被駭客入侵了,就把phpBB跟PHP升級到最新版試試看吧

明白了。

可能不是PHPBB的問題...

是apache的問題
這個之前說過了
常常遇到...

工作比較忙
慢半拍逐步修正當中

暈...還有蓋達組織...
那些人真是無聊...吃沒事做...

多謝各位學兄提示，已參考以下連結更改，現已暫時基本回復正常了！

被殖入iframe(SQL Injection攻擊嗎?)
http://phpbb-tw.net/phpbb/viewtopic.php ... 5%E4%BE%B5

移除 config 內的 html 或 php 語句
和修改 Forum Description 內的語句

修改後原來的「簡易子分區」已不能運作了，可能和disable html功能有關係吧，現在版面變得拉得很長很長。

很慚愧~ 白費了去年~倉木麻衣~老師不辭勞苦地花了一個晚上幫助小弟弄好的「簡易子分區」！由於小弟對程式完全是門外漢和無知，加上我只是接上手留下來的工作(說得實在一點我只是臨時托管員)，上手改了什麼東東我完全不知道！能夠運作三年不出事真是上天保佑！平日我只能做的就是拼命備份！備份！備份！

我知道有很多學兄看了我的情況必定很懊惱地說：「還用2.0.5這只恐龍版？為什麼還不升級？3.0RC都快出了！」我知道我是錯的。。。但亦希望各位學兄能暸解我的苦況。。。

既然問題已出現我亦逃不過責任！是時侯要自己親手去升級！好使網站能繼續運作下去！經過兩天苦思後把問題歸納如下！希望各位能幫手解答！

狀況：

我是使用phpBB2 2.0.5的版本，採用BMan1Blue為預設風格，尚有FI Subtext風格(Subsilver己刪掉)，除一般實用外掛外另加簡易子分區的Mod，Linux為操作系統，MySQL 4.0.15，租用外國的主機空間。

已知裝有「關閉訪客搜尋」、「後台最佳化資料庫」、「收放討論分區」、「防止大量註冊程式」、「快速回文」、「Author Hyperlink 1.01」、「session force」、「簡易子分區」等MOD。

目的：

升級為2.0.21，只用正體中文和英文。

問題：

1) 我明白由2.0.5用人手逐步升級至2.0.21對我來說已是不可能，但資料庫因加MOD巳被修改過，假若我想首先保留現有資料庫，以便日後我能按圖索驥去把過往的MOD一個一個加進去，請問我該如何做才能保能現有資料庫但可以在2.0.21版本中的基本運作？安裝的次序又如何？能否有學兄能逐步引領？修改資料庫的程序又該如何？

2) 能否只用正體中文和英文？

3) 假若升級後再加上「簡易子分區」的MOD後，日後會不會給黑客加入html或被殖入iframe語法？

Best rgds,
China2000

對不起，由於思想在懊惱中所以言語上重了點，請諒！

china2000 寫:被殖入iframe(SQL Injection攻擊嗎?)

iframe 和 SQL injection 差很多很多 Orz

chiouss學兄，小弟愚昧，可否略解之？

china2000 寫:chiouss學兄，小弟愚昧，可否略解之？

http://en.wikipedia.org/wiki/Sql_injection
要多用搜尋喔

知道了！謝謝學兄 查看中！

不知道其餘問題有否學兄解困？

請問假若我在另一臺主機重新架設Forum，能否先把現有的版本(2.0.5)連database首先移植到這臺主機內，再用從這裏http://prdownloads.sourceforge.net/phpb ... -files.zip下載2.0.5_to_2.0.21的檔，解壓後是否把所有檔案上傳覆蓋即可完成第一步(當然在放棄2.0.5已安裝的MOD的前題下)？下一步我該如可做？

china2000 寫:請問假若我在另一臺主機重新架設Forum，能否先把現有的版本(2.0.5)連database首先移植到這臺主機內，再用從這裏http://prdownloads.sourceforge.net/phpb ... -files.zip下載2.0.5_to_2.0.21的檔，解壓後是否把所有檔案上傳覆蓋即可完成第一步(當然在放棄2.0.5已安裝的MOD的前題下)？下一步我該如可做？

直接把 2.0.5 的 sql 匯出到新的 mysql server 上面，抓完整版的 phpBB 2.0.21，執行安裝的時候選擇升級。

To brother chiouss,

Thx for your reply I've fully backup the database 'sql' with structure and the size is about 1.5GB! Does the steps are as follow ?

1.) Create a new database with the same structure as old 2.0.5 to the new server

2.) Install full pack of phpBB2 v2.0.21 to the new server

Do you mind to tell me more about the installation steps (run which php file to upgrade?) as I've no experience to install phpBB2 before.

Best rgds,
China2000