Serendipity Forums

Mit PhpMyAdmin geht das nicht, IMO.
Das andere wäre sehr viel Aufwand, nur um eine neue authors tabelle zu bekommen, aber möglich.

Warum hast du das mit dem vorgeschlagenen
- erst Alter table ... mit phpmyadmin
- dann fixlogin.php
nicht erst versucht?

Wenn dann (nach erfolgtem Login) deine alte 1.1.4 Version immer noch nicht upgedated wurde, musst du $serendipity['version'] in beiden config files erneut runtersetzen

Timbalu wrote:Warum hast du das mit dem vorgeschlagenen - erst Alter table ... mit phpmyadmin

Hi Ian,

vielen Dank für die schnelle Antwort. Okay, ich mach das jetzt in phpmyadmin.

Wie kann ich das in phpmyadmin eintragen?

Ich hab jetzt "serendipity_authors" aufgerufen und habe "Operations" aufgerufen. Wo und wie kann ich denn die Eintragung vornehmen?

1. ich habe bei password VARCHAR die Länge von 32 auf 64 gesetzt. Ist geändert.
2. JAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA!!!!!!!

ICH HABS GESCHAFFT!!!!!!!

DANKE IAN!!! DANKEDANKEDANKE!!! MUCHO GRACIAS!!!!! ICH HAB MIR DANK DEINER LETZTEN MELDUNG SOVIEL ZEIT GESPART!!!!

Hast was bei mir gut!

Einfach phpmyadmin -> datenbank von serendipity (keine spezielle Tabelle) öffnen.
Dann auf SQL Tab gehen, und die angepassen ALTER TABLE Befehle im Form eingeben.

Timbalu wrote:Einfach phpmyadmin -> datenbank von serendipity (keine spezielle Tabelle) öffnen.
Dann auf SQL Tab gehen, und die angepassen ALTER TABLE Befehle im Form eingeben.

Das habe ich jetzt zwar nicht gemacht (merke ich mir aber für das nächste Mal!) - aber ich bin über Table "_authors" rein bei "password" und habe die Länge von 32 auf 64 vergrößert. Weil Du sagtest das die Zeichenlänge seit Version 1.5 oder 1.6 mit SHA1 länger geht als vorher.

So konnte ich einen neuen md5-Wert eingeben und konnte mich mit dem Klartext-Passwort einloggen!! Hat geklappt! Wenn auch mit einer "Abkürzung"!

Danke MEISTER!

Ermh..., MD5 entspricht nicht mehr dem aktuellen Stand der Benutzung!
Sollten also die Datenbankupdates seit 1.1.4 nicht erfolgreich durchlaufen und dein Passwort dann entsprechend den neuen Gegebenheiten (salted SHA1 hash) neu gesetzt sein (via Backend oder fixlogin script) wirst du meines Erachtens unweigerlich auf weitere Probleme stossen.
Das heißt einen der genannten Wege musst du gehen, um dein Serendipity System erfolgreich und zukunftssicher zu gestalten.

Timbalu wrote:Sollten also die Datenbankupdates seit 1.1.4 nicht erfolgreich durchlaufen und dein Passwort dann entsprechend den neuen Gegebenheiten (salted SHA1 hash) neu gesetzt sein (via Backend oder fixlogin script) wirst du meines Erachtens unweigerlich auf weitere Probleme stossen.Das heißt einen der genannten Wege musst du gehen, um dein Serendipity System erfolgreich und zukunftssicher zu gestalten.

Ok. Dann ersetze ich das Passwort durch ein SHA1 Hash. Der Blog läuft auf 1.7. Wie kann ich nachprüfen, ob die Datenbank am aktuellen Stand ist?

Nur durch manuellem Vergleich, oder [Empfohlen!] mit dem im ersten POST erwähnten Rücksetzen der Versionsnummer, mit anschließendem Installer-Durchlauf auf der Blogadresse.
Zur Sicherheit, in deinem Fall (!), danach mit fixlogin das korrekte Setzen des gesalzenen sha1 hashes, sollte dann zum erfolgreichen Abschluss führen.

Alles klar. Dann mach ich das so.

Hallo Ian,

ich hab endlich die Zeit gehabt und habe fixlogin.php erfolgreich durchgeführt und das Passwort salted neu gesetzt!!

Nachdem ich mich eingelesen habe, kapier ich endlich auch warum SHA die md5-Verschlüsselung so alt aussehen lässt wusste ich vorher nicht. Ich hatte eine Brute-Force-Attacke auf den FTP-Zugang, die vermutlich über mehrere Monate ging (10-stelliges Passwort) - die kilometerlange Log-Datei zeigt leider nur die letzten sechs Wochen daher kann ich nicht feststellen wann das angefangen hat. Aber sechs Wochen lang waren oft pro Sekunde 1-3 Rechner am Passwortknacken beteilgt!

Nun, jetzt mit 16 Stellen in SHA dauert die Entschlüsselung jetzt angeblich eeetwas länger als ein paar Monate: satte 11.631.483.455 Jahre! Jedenfalls werde ich für längere Zeit vor Attacken verschont bleiben (hoffe ich).

DANKE FÜR DIE HILFE!!

S9y hat nichts mit deinem FTP Paßwort zu tun.

kleinerChemiker wrote:S9y hat nichts mit deinem FTP Paßwort zu tun.

Right. Aber das Upgrade und fixlogin.php schon, oder?

KayMacke wrote:

kleinerChemiker wrote:S9y hat nichts mit deinem FTP Paßwort zu tun.

Right. Aber das Upgrade und fixlogin.php schon, oder?

Das Upgrade und letztlich auch fixlogin.php sind Teil von s9y. Nichts davon ändert Dein FTP-Passwort. Die SHA-Verschlüsselung bezieht sich auf Login-Passwörter des s9y-Backends.

Ist das etwa einer dieser tollen Hoster, die sFTP nach wie vor für unnötig oder für etwas halten, wofür $KUNDE bezahlen soll?

YL

Vor allem, wenn du dein FTP-Paßwort nicht geändert hast, kann es der Angreifer weiterhin benutzen.

Nichts davon ändert Dein FTP-Passwort. Die SHA-Verschlüsselung bezieht sich auf Login-Passwörter des s9y-Backends.

Richtig. FTP ist eine andere Baustelle. Es ging ja am Schluss um die Aktualsierung von md5 auf SHA. Und dashat ja dann auch geklappt.

Ist das etwa einer dieser tollen Hoster, die sFTP nach wie vor für unnötig oder für etwas halten, wofür $KUNDE bezahlen soll?

Äh... ich denke YES. Was mich dazu bringen wird, denen dieses Thema näherzubringen. Schliesslcih habe ich mehrere tage benötigt um aBackups runter- und dann wieder hochzuladen!