Gehackt oder nicht?

Stefan2204 · Beitrag von **Stefan2204** » 18.08.2007 12:19

Hallo, habe mal eine Frage. Kurz zur Erklärung. In meinem Board bin ich mit einigen Freunden angemeldet, es sollen keine Mitglieder dazu kommen, deshalb habe ich folgendes gemacht.

Ich habe einfach im Menü den Punkt „Anmelden“ raus genommen. Die Seite zum Anmelden geht also auf dem Server noch, bloß die Verlinkung ist halt weg. Nun habe ich natürlich gedacht, ok kann sich niemand anmelden, also wird jede Anmeldung automatisch freigeschaltet und nicht von mir.

Heute morgen hatte ich ein neues Mitglied – Name war xxxhacker.
Habe gleich gedacht das Forum ist gehackt, es wurde aber kein Beitrag geschrieben und es wurde auch nichts im Forum verändert. Nun meine Frage, wurde nun gehackt oder wollte nur jemand beweisen das er sich Anmelden könnte?
Sollte ich das Board neu aufspielen? Danke und Gruß – Stefan.

Chalong · Beitrag von **Chalong** » 18.08.2007 12:28

Ich vermute mal, daß 'xxxhacker' nur bewiesen hat, daß er deine URL mit /ucp.php?mode=register am Ende aufrufen kann und sich so angemeldet hat..

Seimon · Beitrag von **Seimon** » 18.08.2007 12:35

du kannst in die db gucken:
-> phpbb_users - user_level
welche personen da level 1 (Admin) oder 2 (Mod) haben

wenn du ganz auf nummer sicher gehen willst kannst du den kompletten quellcode deines boardes mit dem programm winmerge (google) mit dem quellcode des original phpbbs vergleichen, ist nur 1 abfrage (bzw. wenn du mods eingebaut hast ein bisschen mehr)

Beitrag von **Mahony** » 18.08.2007 13:51

Hallo
Wenn du im phpmyadmin das eingibst

Code: Alles auswählen

SELECT * FROM phpbb_users WHERE user_level = 1

Werden dir alle User mit Admin-Status aufgelistet.

P.S. Eventuell musst du den Präfix anpassen (phpbb_ ). Das gilt aber nur für den Fall, dass du einen anderen Präfix benutzt (du findest den Präfix auch in der Datei config.php deines Forums).

Grüße: Mahony

Stefan2204 · Beitrag von **Stefan2204** » 22.08.2007 10:27

Danke für die Antworten

Er meldet sich nur an , also er will mich nur ärgern. Sein Account hat keine Beiträge geschrieben, etc.. muss ihn aber jeden Tag löschen. Wie kann ich die Registrierung abschalten? Danke. Gruß Stefan.

SteveHH · Beitrag von **SteveHH** » 22.08.2007 11:29

Hallo !

Ich denke, das das nur ein Skript-Kiddie ist, der sich bei seinen Freunden beweisen möchte.

Greetz,

Steve

Beitrag von **Boecki91** » 22.08.2007 12:02

Und damit er sich richtig in die Hosen macht mach mal was dagegen

Öffne
profile.php

Suche:

Code: Alles auswählen

if ( isset($HTTP_GET_VARS['mode']) || isset($HTTP_POST_VARS['mode']) )
{
	$mode = ( isset($HTTP_GET_VARS['mode']) ) ? $HTTP_GET_VARS['mode'] : $HTTP_POST_VARS['mode'];
	$mode = htmlspecialchars($mode);

Füge danach ein:

Code: Alles auswählen

	if ( $mode == 'register')
	{
		message_die(GENERAL_ERROR, 'DEIN_TEXT');
	}

DEIN_TEXT kannst du beliebig anpassen. Aber bitte kein ' rein schreiben...

SteveHH · Beitrag von **SteveHH** » 22.08.2007 12:13

Also schreibt man das so:

Code: Alles auswählen

if ( $mode == 'register') 
   { 
      message_die(GENERAL_ERROR, 'Guten Tag ! Hiermit wurdest Du getraced !'); 
   }

Oder sehe ich das falsch !?

Vielleicht sollte man noch mal eine kurze IP-Abfrage-Routine einbauen

Greetz,

Steve

Beitrag von **Boecki91** » 22.08.2007 12:15

Für solche Spielereien hatte ich keine Zeit

SteveHH · Beitrag von **SteveHH** » 22.08.2007 12:23

Ich werde mir eventuell mal Gedanken machen nach dem Mittagessen