phpBB.de

Hallo zusammen,
ich habe folgendes Problem und ich hoffe, mir kann jemand helfen.
Ich habe in meinem Forum einen User auf seinen Wunsch gelöscht. Da ich mir vor seine Löschung seine Beiträge angeschaut habe, weiß ich, dass alle noch da waren. Es waren einige 100. Auch wenn er es gewünscht hatte, bin ich seiner Aufforderung nach Löschung seiner Beiträge nicht nachgekommen, da diese (vor allem im internen Bereich, er war bis vor 4 Monaten auch ein Moderator) zum Teil wichtig waren.
Als ich 4 Stunden später wieder ins Forum ging mußte ich feststellen, dass seine sämtlichen Beiträge gelöscht wurden und nicht nur die, sondern komplette Threats, wo er das Thema war und somit auch Beiträge von anderen. Von meinen Moderatoren war das mit Sicherheit keiner, denn die haben kein Interesse daran und für die normalen User ist diese Funktion ausgestellt, mal davon ab, dass gelöschte User das schon mal gar nicht könnten. Zumal es recht beschwerlich ist die Beiträge von jemandem zu löschen, der nicht mehr registriert ist, da man die ja nicht mehr so leicht finden kann, aber es ist natürlich machbar.
Die Beiträge wiederherzustellen wäre nicht so das große Ding, da ich jeden Tag mindestens 1 backup mache. Ich frage mich nur, wieso er erst jetzt aktiv wurde, da der Streit zwischen uns schon fast einem Monat andauert.
Gelöscht wurde also direkt nachdem er die Benachrichtigung vom Webmaster-Account bekam.
Gibt es wirklich einen Weg in das Forum für einen Hacker und kann er gezielt innerhalb kürzester Zeit Beiträge löschen?
Leider muss ich sagen, dass ich noch die Version phpBB 2.0.21
Bin aber dran, das Forum abzudaten!
Vielen Dank für Eure Hilfe im vorraus!
Ballu

Hallo auch,

die Art der Löschungen zeigt eher darauf, dass er den Account eines anderen Teammitglieds (Moderator/Admin) verwendet hat. Er hatte keine Lust jedes einzelne Posting von sich zu löschen und hat deswegen gleich die kompletten Threads entsorgt (und somit wohl mehrere Postings von sich auf einmal).

Was tun? Sämtliche Passwörter ändern, zur Sicherheit auch die vom FTP und Administrationszugangs Deines Webspace und vielleicht sogar mySQL. Danach Backup und wenn keiner Deines Teams ein "Verräter" ist, wird danach Ruhe sein.

Grüße,
Tekin

Hallo Tekin,
vielen Dank für Deine Antwort!
Eigentlich würde ich meine Hand ins Feuer für meine anderen Mods legen! Gibt es denn wirklich keine andere Möglichkeit? Kann ich nachträglich noch feststellen, wer zu der Zeit online war?
Mir behagt jede der beiden Möglichkeiten überhaupt nicht. Leider ist die Person daran interessiert das ganze Forum zu zerstören aus lauter Neid, weil sein neues nicht läuft, unseres hingegen sehr gut.
Was ist das bloß für eine Internetwelt, in der man niemandem mehr trauen kann! Aber das nur mal nebenher bemerkt.
Ballu
P.S.: Ist das wahr, dass es ein Program gibt, womit man Passwörter herausfinden kann?

Ballu hat geschrieben: P.S.: Ist das wahr, dass es ein Program gibt, womit man Passwörter herausfinden kann?

Theoretisch ist es bei jedem Passwort möglich dieses mittels Brute Force Methode zu knacken. (Brute Force = ausprobieren jeder möglichen Kombination) Bei Buchstaben, Sonderzeichen und Zahlen kommt da aber - eine ausreichende Passwortlänge und Sicherheit vorrausgesetzt - schon eine nette Anzahl an Möglichkeiten zusammen. Nur als Beispiel könnten wir sagen, es gäbe 5000 Möglichkeiten (was viel zu wenig ist) und wir bräuchten pro Versuch 1 s um das Passwort zu testen. Da im phpBB Forum allerdings nach einer Anzahl x Fehlversuchen (sagen wir mal 5) der Account für eine Zeit t gesperrt wird (sagen wir 5 Minuten) bräuchten wir im Worst Case (= letztes getestetes Passwort ist richtig) 5000s + 5000/5 * 60 * 5s = 65000s was etwa 18 Stunden sind um das Passwort zu knacken (wobei es normalerweise deutlich mehr als 5000 Möglichkeiten gibt). Da es allerdings leider "Standard" Passwörter gibt werden die natürlich zuerst getestet, so dass die Geschwindigkeit steigt, wenn es ein unsicheres Passwort ist.
-> Es gibt keine absolut sicheren Passwörter, aber man kann durch gute Passwörter (lange Passwörter mit viel Abwechslung und wenig System) das Herausfinden des Passwortes auf einige Jahre bis Jahrhunderte oder noch mehr heraufsetzen was dann das Knacken des Passwortes nicht unmöglich macht, aber den Versuch sinnlos.

Wobei auch der Verschlüsselungsalgorithmus md5 der verwendet wird nicht mehr ganz sicher ist, soviel ich weiß soll es reverse Lookup Tabellen geben wo man den Hash suchen und das Passwort finden kann (sofern es einigermaßen gängig ist), aber hierzu würde man auch wieder Datenbankzugriff benötigen (um an den Hash zu kommen).

Hallo noch mal,
wieder ist es passiert. Ich habe einen User gelöscht und mit der Löschung des Accounts verschwanden auch seine beiden Beiträge.
Somit dürfte klar sein, dass es nicht von einem Hacker war. Die Beiträge waren sofort nach der Löschung verschwunden.
Was kann das sein? Wir haben schon früher mal Accounts gelöscht und danach standen die Beiträge trotzdem noch da, nur eben als Gast.
Danke schon mal für Antworten,
Gruß
Ballu

Hast du mal in der Datenbank geschaut ob die Beiträge tatsächlich gefehlt haben? Ich halte das zwar für unwahrscheinlich dass sie noch da sind, aber ich hatte mal ein Problem mit nicht ganz korrekten Themen, die waren dann zwar in der Datenbank, aber nicht in der Forumsübersicht zu finden. Ausgeschlossen ist es jedenfalls nicht, dass der User falsch gelöscht wurde und der Beitrag aufgrund des nicht existierenden Users nicht angezeigt wird. In dem Fall würde vermutlich der dbmaintenance Mod helfen.

zum thema passwort... einfach noch ein sha1 bzw. crc_32 oder wie das heißt um das md5 und gut ist... dann müsste nämlich, entschuldigung, so ein kack "cracker" (hacker sind nicht böse) erst sha1 dann dieses crc_32 und danach md5 verschlüsseln.. (wenn man seine nutzer des forums noch zwingt ein pw wie: %&$&olaas5419§%§ einzutippen o.ä. ist die sache schon erledigt).

gn#36 hat geschrieben: Ausgeschlossen ist es jedenfalls nicht, dass der User falsch gelöscht wurde

Hallo und Guten Morgen,
wie kann man denn einen User falsch löschen? *aufdemschlauchsteh*
Danke auch für den Hinweis mit dem Passwort, aber nach meiner letzten Löschaktion ist es kein Hakerproblem.
Ehrlich gesagt habe ich jetzt ein Problem, da das System nicht nur die einzelnen Beiträge löscht, sondern auch komplette Threats die von demjenigen gestartet wurden! Das heißt auch von anderen sind Beiträge weg!
Mist, es muss doch eine Erklärung dafür geben. Wie kann sich denn so was einfach verstellen? Kann es durch einen Modeinbau passieren? Wobei wir gar nicht so viel verändert haben...
Aber mich würde haupsächlich interessieren, wie man das wieder rückgängig macht. D.h. dass wieder wie vorher zwar der Account gelöscht wird aber die Beiträge erhalten bleiben.
Gruß
Ballu

Wie mein Vorredner gn#36 schon ausführte: Es liegt zu 99,9999999999999999999999% an einem Fehler beim Modden.

Symptom im Forum: Du löschst den User. Danach werden alle seine Posts und von ihm gestarteten Themen werden nicht mehr angezeigt.

Symptom in der DB: Mit dem User wurde auch dessen ID gelöscht. Dummerweise wurde die ID des Users bei den Postings nicht auf -1 aktualisiert und der Name des Users in die Spalte poster_name eingetragen. Es steht immernoch die originale User_ID da... aber die ist in der Usertabelle nicht mehr vorhanden.
Ergo: Das Posting wird nicht mehr angezeigt.
Ergo 2: Wenn der gelöschte User die höchste ID hatte, werden alle Postings dieses Users dem nächsten neu angemeldeten User zugeordnet.

Lösung: Benutze den DB Maintenance MOD und überprüfe Deine Scripte.

Hallo,
vielen Dank für Eure Antworten! Ich hab die Lösung gefunden und Miriam, Du hast 100% recht!
Wir haben vor einiger Zeit den Mod für die Übersicht der aktiven/nicht aktiven User eingebaut. Dort habe ich, im Gegensatz zu früher, die beiden gelöscht. Ich habe es getestet und genau das ist es!
Noch mal, vielen Dank, Ihr habt mir sehr geholfen!
Viele Grüße
Ballu