Hallo zusammen,
ich verwalte seit Jahren für den Messerschmitt-Club-Deutschland auf unserer Homepage ein phpbb-Forum.
Vielleicht bin ich ja jetzt schon paranoid, aber im letzten halben Jahr erschienen immer wieder komische Anmeldeversuche mit Angaben wie Vorname == Nachname und Adresse offensichtlich ein Fake. Die IP-Nr waren immer wieder aus Russland.
Deshalb bin ich hergegangen und habe die IP-Bereiche gesperrt. (Wir haben keine Mitglieder in Russland) Kaum hatte ich den Bereich gesperrt kam am folgenden Tag der Anmeldeversuch aus einem anderen Bereich. Auch Anmeldungen über proxy und Tor-Brouser habe ich beobachtet.
Im Bereich "Wer ist online" habe ich beobachtet, wie ein GAST eine PN verschickt hat (so zumindest die Anzeige). Das ist aber von den Rechten her ausgeschlossen.
Daraufhin habe ich das Forum seit einigen Tagen für Gäste komplett geschlossen (Gast: kein Zugang).
Daraufhin waren Gäste nur noch sehr selten zu beobachten. Wahrscheinlich nur während des Login.
Seit ein paar Tagen beobachte ich aber immer morgens zwischen 9:00 und 10:00 folgendes:
bis zu 3 Gäste gleichzeitig online!
1. IP aus Russland
2. IP aus USA
3. IP aus Ukraine
[ externes Bild ] Bild als Screenshot
Wie kann das Zufall sein? Völkerverständigung ergibt da einen vollständig neue Bedeutung.
Oder gibt es in den tiefen der PHP-Strukturen irgendwo eine Hintertür/Loch über das sich diese Typen austauschen können.
Noch eine Bitte: Seit einigen Versionen erscheint bei dem " IP: xxx.xxx.xxx.xxx » Whois" immer nur das gleiche Popup Fenster mit "RIPE Network Coordination Centre (RIPE)" aus Amsterdam. Wo kann man da einen aussagekräftigeren Anbieter eintragen.
Hat jemand eine Idee wie man das abschalten / weiter untersuchen kann, oder muss ich damit an das BSI gehen?
Mit freundlichem Gruß
Ulrich
[3.3] Sicherheitslücke?
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
Re: [3.3] Sicherheitslücke?
Hallo
Zuerst mal, irgendwelche IPs oder IP-Bereiche interessieren heute nur noch sekundär, da kann man sehr schlecht irgendwas festmachen oder steuern wollen. Das hilft immer nur maximal kurzfristig. Die Kriminellen nutzen eine grosse Bandbreite von Verschleierungstechniken, wozu neben TOR auch Cloud Hosting und Bot-Netze über Zombie-Rechner (gekaperte Rechner) benutzt werden, inklusive mobile Zugänge über Smartphone-Netze.
Deswegen Gäste als Ganzes sperren fällt eher unter Panik-Reaktion bzw. Aktionismus.
https://www.phpbb.com/community/viewtopic.php?t=2660611
Dann, du hast noch nicht erwähnt, welche Massnahmen du gegen Spam eingerichtet hast. Nutzt ihr z.B. die Funktion "Kürzlich registrierte Benutzer"?
Bitte auch mal die Eckdaten angeben:
phpBB Version
PHP Version
Zuerst mal, irgendwelche IPs oder IP-Bereiche interessieren heute nur noch sekundär, da kann man sehr schlecht irgendwas festmachen oder steuern wollen. Das hilft immer nur maximal kurzfristig. Die Kriminellen nutzen eine grosse Bandbreite von Verschleierungstechniken, wozu neben TOR auch Cloud Hosting und Bot-Netze über Zombie-Rechner (gekaperte Rechner) benutzt werden, inklusive mobile Zugänge über Smartphone-Netze.
phpBB differenziert in diesem Punkt nicht zwischen Versuch und Erfolg. Was da angezeigt/geloggt wird, ist schon der blosse Versuch. Wenn du nicht gravierende Fehler bei der Rechte-Konfiguration gemacht hast, dann kannst das ignorieren.Ulrich1 hat geschrieben: 17.03.2025 13:27 Im Bereich "Wer ist online" habe ich beobachtet, wie ein GAST eine PN verschickt hat (so zumindest die Anzeige). Das ist aber von den Rechten her ausgeschlossen.
Deswegen Gäste als Ganzes sperren fällt eher unter Panik-Reaktion bzw. Aktionismus.
Gar nicht. Es gab eine externe Änderung bei RIPE auf die phpBB keinen Einfluss hatte. Das wurde/wird auf .com bereits diskutiert und so wie ich das aktuell sehe, wirds vermutlich bei 3.3.15 eine Änderung bei diesem Feature geben. Siehe auch:Noch eine Bitte: Seit einigen Versionen erscheint bei dem " IP: xxx.xxx.xxx.xxx » Whois" immer nur das gleiche Popup Fenster mit "RIPE Network Coordination Centre (RIPE)" aus Amsterdam. Wo kann man da einen aussagekräftigeren Anbieter eintragen.
https://www.phpbb.com/community/viewtopic.php?t=2660611
Was versprichst du dir davon, also wie denkst du, kann dir hier das BSI weiterhelfen?oder muss ich damit an das BSI gehen?
Dann, du hast noch nicht erwähnt, welche Massnahmen du gegen Spam eingerichtet hast. Nutzt ihr z.B. die Funktion "Kürzlich registrierte Benutzer"?
Bitte auch mal die Eckdaten angeben:
phpBB Version
PHP Version
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
Re: [3.3] Sicherheitslücke?
Danke für die Antwort LukeWCS
Wir sind zu dritt als Admins tätig und schalten Neumitglieder nur nach eingehender Prüfung frei. Aber diese unsinnigen falschen Anmeldeversuche sind einfach sehr nervig und kosten Zeit.
Mit freundlichem Gruß
Ulrich
Ach so: Version des Boards: 3.3.14
PHP-Version: 8.1.31
Gegen Spam haben wir einiges versucht. Bilderkennung wird nach wenigen Stunden umgangen. Letztenendes sind wir bei Q&A gelandet mit einer Antwort die nur "Insider" unseres Oldtimer-Clubs beantworten können. Selbst das wurde nach wenigen Tagen dank KI gelöst. Eine Antwort mit dem Buchstaben "ü" in "fünf" war da schon erfolgreicher.LukeWCS hat geschrieben: 17.03.2025 14:29 Dann, du hast noch nicht erwähnt, welche Massnahmen du gegen Spam eingerichtet hast. Nutzt ihr z.B. die Funktion "Kürzlich registrierte Benutzer"?
Wir sind zu dritt als Admins tätig und schalten Neumitglieder nur nach eingehender Prüfung frei. Aber diese unsinnigen falschen Anmeldeversuche sind einfach sehr nervig und kosten Zeit.
Mit freundlichem Gruß
Ulrich
Ach so: Version des Boards: 3.3.14
PHP-Version: 8.1.31
Re: [3.3] Sicherheitslücke?
Danke für die Daten.
Was "Bilderkennung" angeht, ich vermute du meinst die grafischen Captchas die bei phpBB Standard dabei sind? Wenn ja, im nachfolgend verlinkten Beitrag sind dazu deutliche Worte zu finden. ^^
Was Q&A angeht, das ist schon erheblich brauchbarer, aber ich persönlich halte nicht viel davon, aus Usability Gründen. Und das die Tage von Q&A gezählt sind, war in KI Zeiten auch schon länger absehbar. Ebenfalls in dem verlinkten Beitrag ist ein Link zu einer Alternative zu finden, aber auch dessen Tage sind gezählt. Aber noch fällt das unter brauchbar.
viewtopic.php?p=1426845#p1426845
Wohl jeder hat schon mindestens einmal mit Spam zu kämpfen gehabt. Und egal was man macht; alles hat immer nur eine zeitlich begrenzte Nutzbarkeit und es gibt nie einen 100% Schutz. Aber wenn ihr die verlinkte Ext nutzt plus "Kürzlich registrierte Benutzer", habt ihr schon mal einen brauchbaren Grundschutz und auf jeden Fall wird so sichergestellt, dass euer Forum zumindest nicht öffentlich einsehbar "zugemüllt" wird.
Ich hoffe mal, Gäste dürfen bei euch nicht posten? Falls doch, wäre das eines der ersten Dinge die ich abstellen würde, weil das zwar super bequem für die User ist, aber ein Alptraum für die Administratoren/Moderatoren und hochgradig riskant in Bezug auf Abmahnungen.
Was "Bilderkennung" angeht, ich vermute du meinst die grafischen Captchas die bei phpBB Standard dabei sind? Wenn ja, im nachfolgend verlinkten Beitrag sind dazu deutliche Worte zu finden. ^^
Was Q&A angeht, das ist schon erheblich brauchbarer, aber ich persönlich halte nicht viel davon, aus Usability Gründen. Und das die Tage von Q&A gezählt sind, war in KI Zeiten auch schon länger absehbar. Ebenfalls in dem verlinkten Beitrag ist ein Link zu einer Alternative zu finden, aber auch dessen Tage sind gezählt. Aber noch fällt das unter brauchbar.
viewtopic.php?p=1426845#p1426845
Jupp, aber da wird dir wohl kein Admin widersprechen.Ulrich1 hat geschrieben: 17.03.2025 14:47 Aber diese unsinnigen falschen Anmeldeversuche sind einfach sehr nervig und kosten Zeit.
Wohl jeder hat schon mindestens einmal mit Spam zu kämpfen gehabt. Und egal was man macht; alles hat immer nur eine zeitlich begrenzte Nutzbarkeit und es gibt nie einen 100% Schutz. Aber wenn ihr die verlinkte Ext nutzt plus "Kürzlich registrierte Benutzer", habt ihr schon mal einen brauchbaren Grundschutz und auf jeden Fall wird so sichergestellt, dass euer Forum zumindest nicht öffentlich einsehbar "zugemüllt" wird.
Ich hoffe mal, Gäste dürfen bei euch nicht posten? Falls doch, wäre das eines der ersten Dinge die ich abstellen würde, weil das zwar super bequem für die User ist, aber ein Alptraum für die Administratoren/Moderatoren und hochgradig riskant in Bezug auf Abmahnungen.
Möge das Backup mit dir sein. Immer.
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
Kein Support via PN! Siehe den Punkt "Private Nachrichten" im phpBB.de-Knigge.
Erweiterungen - Infos zur artgerechten Haltung / phpBB Ext Check - Analyse von Erweiterungen bezüglich Vorgaben und Kompatibilität
Re: [3.3] Sicherheitslücke?
Richtig ich meinte die grafischen Captchas. Die helfen NIX und verwirren nur.
Richtig geholfen hat mir der Link ganz oben im 2. Betrag zu IP lokalisieren (viewtopic).
Da schreibt einer:
Make a backup of the following file and edit the original...
Edit: styles\prosilver\template\viewonline_body.html
Find Code
Code: Select all
{user_row.U_WHOIS}
Replace that string with this string:
Code: Select all
https://ipinfo.io/{{ user_row.USER_IP }}
Save the file, and clear the forum cache. It's very different from the standard WHOIS, but also quite good, because it too lists the IP owner's CIDR address, which if it's a nasty bad actor, can be quickly added to the .htaccess's Order Deny,Allow file, as in:
Deny from 119.42.144.0/21
-------------kann leider im englischen Teil Zitat nicht ausführen --------------
im https habe ich https://whatismyipaddress.com/ip/ ersetzt. Funktioniert hervorragend!
Das Beste ist aber die Idee mit der .htaccess Datei.
Da wäre ein automatischer Eintrag durch den Admin, bei wer ist online, einfach genial! Dann würden alle "lieben Gäste" nach und nach ausgesperrt und verlieren die Lust. Mal sehen ob ich so etwas gebacken kriege?
Schönen Abend noch
Ulrich
Richtig geholfen hat mir der Link ganz oben im 2. Betrag zu IP lokalisieren (viewtopic).
Da schreibt einer:
Make a backup of the following file and edit the original...
Edit: styles\prosilver\template\viewonline_body.html
Find Code
Code: Select all
{user_row.U_WHOIS}
Replace that string with this string:
Code: Select all
https://ipinfo.io/{{ user_row.USER_IP }}
Save the file, and clear the forum cache. It's very different from the standard WHOIS, but also quite good, because it too lists the IP owner's CIDR address, which if it's a nasty bad actor, can be quickly added to the .htaccess's Order Deny,Allow file, as in:
Deny from 119.42.144.0/21
-------------kann leider im englischen Teil Zitat nicht ausführen --------------
im https habe ich https://whatismyipaddress.com/ip/ ersetzt. Funktioniert hervorragend!
Das Beste ist aber die Idee mit der .htaccess Datei.
Da wäre ein automatischer Eintrag durch den Admin, bei wer ist online, einfach genial! Dann würden alle "lieben Gäste" nach und nach ausgesperrt und verlieren die Lust. Mal sehen ob ich so etwas gebacken kriege?
Schönen Abend noch
Ulrich
Re: [3.3] Sicherheitslücke?
Wir sind schon vor X-Jahren auf Q&A Captcha umgestiegen und "toitoitoit" hat sich daran noch kein Spambot vorbei geschlichen aber ich denke auch, dass das dank KI früher oder später passieren kann. Bezüglich der Herkunft der IPs - das kann ja alles letztendlich noch via VPN maskiert sein
Vielleicht könnt ihr eure Fragestellung ja noch etwas "frisieren".
Ich hab bei uns z.B.:
Bezüglich der vermeintlichen Mitleser/Besucher/Crawler würde ich gar nichts unternehmen, so lange das nur eine handvoll Ereignisse sind sollte das nicht spürbar die Serverlast beeinträchtigen.
Vielleicht könnt ihr eure Fragestellung ja noch etwas "frisieren".
Ich hab bei uns z.B.:
Durch die Bindestriche und Sonderzeichen scheint das noch knifflig genug zu sein.Wofür steht die Abkürzung "f-&-l-&-a" ausgeschrieben?
Tip: Ein Sisters Album und Songtitel...:
Bezüglich der vermeintlichen Mitleser/Besucher/Crawler würde ich gar nichts unternehmen, so lange das nur eine handvoll Ereignisse sind sollte das nicht spürbar die Serverlast beeinträchtigen.
Re: [3.3] Sicherheitslücke?
Die paar Bots bringen mich nicht aus der Ruhe.
Ich habe bei Q&A z.B. die Frage gestellt: "Wie viel Finger hat der Mensch an einer Hand" Zahlwort.
Versuche mal das ü auf der kyrillischen Tastatur zu tippen -> Fingerbruch.
Aber besonders wütend sind sie geworden, als ich die Frage (auf kyrillisch) gestellt habe: "Was ist Putin?" => Kriegsverbrecher вое́нный престу́пник
Was ich damit sagen will: man kann mit ihnen auf diese Art kommunizieren.
Mich hat verwundert, dass seit Ausbruch des Ukraine-Krieges die Aktivitäten drastisch zugenommen haben und in der Forensoftware gibt es kaum Möglichkeiten etwas dagegen zu unternehmen.
Schön wäre z.B. nur bestimmte Länder zuzulassen oder bestimmte auszuschließen, denn wir und die meisten anderen Foren sind räumlich begrenzt.
Schön wäre zur Sicherheitsüberprüfung auch eine Möglichkeit so etwas wie einen Log-Level auf PHP-Basis einzubauen. Momentan bekomme ich von meinem Provider (IONOS) nur einen Server-Log bei dem nur die IP-Nr ohne letzte Ziffer / das Datum und einen groben Überblick was der User angeklickt hat angezeigt wird.
Ich habe z.B. beobachtet, dass bei "Wer ist online" für Gäste nicht nur stand "Registriert sich" sondern auch "befindet sich im persönlichen Bereich".
Das ist ja alles noch nachvollziehbar, aber Dinge wie "betrachtet Profil eines Users" oder noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel. Da werde ich misstrauisch.
Ich habe die Rechte überprüft, aber nichts gefunden.
Es gibt bei uns im Prinzip 3 Arten von Usern:
Was bleibt noch? Über PN mit anderen (Spionen / dubiosen Typen) kommunizieren?
Bin ratlos
Ulrich
Ich habe bei Q&A z.B. die Frage gestellt: "Wie viel Finger hat der Mensch an einer Hand" Zahlwort.
Versuche mal das ü auf der kyrillischen Tastatur zu tippen -> Fingerbruch.
Aber besonders wütend sind sie geworden, als ich die Frage (auf kyrillisch) gestellt habe: "Was ist Putin?" => Kriegsverbrecher вое́нный престу́пник
Was ich damit sagen will: man kann mit ihnen auf diese Art kommunizieren.
Mich hat verwundert, dass seit Ausbruch des Ukraine-Krieges die Aktivitäten drastisch zugenommen haben und in der Forensoftware gibt es kaum Möglichkeiten etwas dagegen zu unternehmen.
Schön wäre z.B. nur bestimmte Länder zuzulassen oder bestimmte auszuschließen, denn wir und die meisten anderen Foren sind räumlich begrenzt.
Schön wäre zur Sicherheitsüberprüfung auch eine Möglichkeit so etwas wie einen Log-Level auf PHP-Basis einzubauen. Momentan bekomme ich von meinem Provider (IONOS) nur einen Server-Log bei dem nur die IP-Nr ohne letzte Ziffer / das Datum und einen groben Überblick was der User angeklickt hat angezeigt wird.
Ich habe z.B. beobachtet, dass bei "Wer ist online" für Gäste nicht nur stand "Registriert sich" sondern auch "befindet sich im persönlichen Bereich".
Das ist ja alles noch nachvollziehbar, aber Dinge wie "betrachtet Profil eines Users" oder noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel. Da werde ich misstrauisch.
Ich habe die Rechte überprüft, aber nichts gefunden.
Es gibt bei uns im Prinzip 3 Arten von Usern:
- Gäste: keine Rechte
- registrierte und durch den Admin freigeschaltete User: nur Lese- und auch begrenzte Schreibrechte, nur auf einen allgemeinen öffentlichen Bereich ohne PN-Rechte,.
- registrierte Clubmitglieder: bis auf Admin- und Moderatorenrechte fast alles.
Was bleibt noch? Über PN mit anderen (Spionen / dubiosen Typen) kommunizieren?
Bin ratlos
Ulrich
Re: [3.3] Sicherheitslücke?
Siehe dazu Knowledge Base - Gast liest private Nachrichten?Ulrich1 hat geschrieben: 18.03.2025 13:36 noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel
Re: [3.3] Sicherheitslücke?
Geoblocking kann man natürlich realisieren, vielleicht ist diese Erweiterung etwas für dich (alternativ zum an der htaccess herumbasteln):
https://www.phpbb.com/customise/db/exte ... bycountry/
https://www.phpbb.com/customise/db/exte ... pic/246787
Wie viele Bots dann draußen bleiben und wie viele sich via VPN "einbürgern" weiß ich nicht.
Du musst registriert und angemeldet sein, um Profile anzuschauen.
https://www.phpbb.com/customise/db/exte ... bycountry/
https://www.phpbb.com/customise/db/exte ... pic/246787
Wie viele Bots dann draußen bleiben und wie viele sich via VPN "einbürgern" weiß ich nicht.
Über das Thema bin ich schon vor >15 Jahren gestolpert, als irgendwelche Bots da vermeintliche Seiten aufgerufen haben auf denen sie nichts verloren haben. Letztendlich ist es aber aufgeklärt, dass pbpBB diese Zugriffe dummerweise missverständlich anzeigt, was etwas Unruhe stiften kann obwohl diese Seiten real natürlich nicht angezeigt werden sondern ein Hinweis im Sinne von:Ulrich1 hat geschrieben: 18.03.2025 13:36 Ich habe z.B. beobachtet, dass bei "Wer ist online" für Gäste nicht nur stand "Registriert sich" sondern auch "befindet sich im persönlichen Bereich".
Das ist ja alles noch nachvollziehbar, aber Dinge wie "betrachtet Profil eines Users" oder noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel. Da werde ich misstrauisch.
Du musst registriert und angemeldet sein, um Profile anzuschauen.
Re: [3.3] Sicherheitslücke?
Danke für die Info.
Da bin ich ja beruhigt.
Gruß
Ulrich
Da bin ich ja beruhigt.
Gruß
Ulrich
Zuletzt geändert von Ulrich1 am 20.03.2025 08:59, insgesamt 1-mal geändert.
![[ externes Bild ]](https://www.messerschmitt-club-deutschland.de/home/img/forum/Forum%202025-03-17%2009-13-41.jpg){kind=link}