Diskussion zu Automatische Anmeldungen in phpBB-Boards

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:

Diskussion zu Automatische Anmeldungen in phpBB-Boards

Beitrag von PhilippK »

Hier könnt ihr eure Meinung zu Automatische Anmeldungen in phpBB-Boards abgeben.
Hallo zusammen,

Heise berichtet heute über massenhafte Anmeldungen eines Bots an phpBB-basierten Boards. Da die genauen Ziele des Bots nicht bekannt sind, empfiehlt sich bis auf weiteres folgendes Vorgehen:
  • Achtet darauf, dass ihr die neuste Version von phpBB (derzeit 2.0.20) verwendet.
  • Aktiviert die Visuelle Bestätigung, um eine automatische Anmeldung zu erschweren.
  • Setzt die Account-Freischaltung zumindest auf den Status 'Per E-Mail'.
  • Prüft, ob ihr bereits eine Anmeldung des Users FuntKlakow habt und löscht diese ggf. Weitere Benutzernamen, die geprüft werden können, sind: jtfoe1974, unmmyns, coldsorin, fairlande, largepafilis, pirsrv, sadlatour, bighor-lam, greatfintan, budowa_cepa und Cepelin.
  • Tragt den Benutzernamen unter 'Benutzernamen verbieten' ein, um eine Registrierung des Bots zu unterbinden.
Mit diesen Vorsichtsmaßnahmen sollten zumindest mal einige der möglichen Angriffswege für einen möglichen Angriff unterbunden sein.

Wichtig: Derzeit gibt es keine Hinweise auf eine konkrete Sicherheitslücke in phpBB, die durch den Bot ausgenutzt werden könnte. Es empfielt sich jedoch, regelmäßig phpBB.de und phpBB.com auf Neuigkeiten zu überprüfen und die Hinweise unter KB:sicher zu beachten.

Viele Grüße,

Philipp
CyborgMax
Mitglied
Beiträge: 64
Registriert: 22.09.2003 00:52
Kontaktdaten:

Beitrag von CyborgMax »

Ich habe so einen Code-Mod eingebaut. Ich denke, das sichert das System gegen solche Bots ab.
Benutzeravatar
hagily
Mitglied
Beiträge: 1139
Registriert: 25.08.2005 22:05
Wohnort: Schweinfurt
Kontaktdaten:

Beitrag von hagily »

Gut zu wissen.
Danke für die Info.

Felix
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:

Beitrag von larsneo »

eine imho gute möglichkeit gegen automatisierte bot-anmeldungen ist, bestimmte profilfelder (signatur und webseite) bei der registrierung nicht zuzulassen - damit sperrt man angreifer die via direktem POST versuchen accounts anzulegen in aller regel recht gut und zielgerichtet aus.
siehe http://www.phpbb.de/viewtopic.php?p=653379#653379
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
BB-BF-BM
Mitglied
Beiträge: 2179
Registriert: 28.10.2005 16:38
Wohnort: Essen

Re: Automatische Anmeldungen in phpBB-Boards

Beitrag von BB-BF-BM »

PhilippK hat geschrieben:Prüft, ob ihr bereits eine Anmeldung des Users FuntKlakow habt und löscht diese ggf. Weitere Benutzernamen, die geprüft werden können, sind: jtfoe1974, unmmyns, coldsorin, fairlande, largepafilis, pirsrv, sadlatour, bighor-lam, greatfintan, budowa_cepa und Cepelin.
Sind das alles spambots?
was machen die denn?
Benutzeravatar
hagily
Mitglied
Beiträge: 1139
Registriert: 25.08.2005 22:05
Wohnort: Schweinfurt
Kontaktdaten:

Re: Automatische Anmeldungen in phpBB-Boards

Beitrag von hagily »

BB-BF-BM hat geschrieben: was machen die denn?
Spammen :roll:
The Outsiders
Mitglied
Beiträge: 29
Registriert: 21.05.2004 21:29
Kontaktdaten:

Beitrag von The Outsiders »

LOarsneo, vielleicht eine Frage anbei, eher nur etwas "Schönheitsreparatur":

Wir setzen den Mod für das verkürzte Registrierungsformular zusätzlich ein. Dennoch ist es einigen (Bot?) möglich, das herkömmliche Reg-Formular aufzurufen bei der Anmeldung im Forum. Nun sind sie zwar nicht freigeschaltet aus diversen der o.g. Gründe, aber ich hätte es gerne so, dass Unregistrierte das längere Formular nicht aufrufen können. Wo ändere ich was/wie? Haben wir da irgendwo gepennt beim Einbau? User sollen das Lange später nutzen dürfen.

Danke.
rene
Mitglied
Beiträge: 147
Registriert: 22.07.2003 14:27
Wohnort: Lampertheim
Kontaktdaten:

Beitrag von rene »

habe es eben auch gelesen.
das macht mich allerdings gleich mal wieder ärgerlich.
Leider ist auch hier das Wettrüsten bereits in vollem Gange. Für einige Ausführungen von Captchas, auch der von phpBB, gibt es bereits Erkennungsroutinen.
Haben die Leute eigentlich nix besseres zu tun als irgendwelche Sachen
zu Hacken oder zu Manipulieren???
michi50
Mitglied
Beiträge: 433
Registriert: 20.09.2005 16:40

Beitrag von michi50 »

rene hat geschrieben:
Haben die Leute eigentlich nix besseres zu tun als irgendwelche Sachen
zu Hacken oder zu Manipulieren???
Manche machen halt sowas als Freizeitbeschäftigung und manche machen halt was besseres wie opensource-software zu prog. phpBB,Kde,....

@Philip danke für die info
Ich installiere Anfängern gern ein PHPBB Forum!
Einfach bei PN melden!
Benutzeravatar
Sir Charles
Mitglied
Beiträge: 371
Registriert: 23.01.2006 11:27
Wohnort: Wien
Kontaktdaten:

Beitrag von Sir Charles »

@ Philipp: Herzlichen Dank für die Info!

Alle Vorschläge für Sicherung sind schon länger in Funktion, die genannten Namen hab ich jetzt mal gesperrt und Larsneos Modifizierung ist auch drin...

ich hoff, jetzt kann ich mich mal sicher fühlen...
Antworten

Zurück zu „Community Talk“