phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Gehackt oder nicht?

https://www.phpbb.de/community/viewtopic.php?t=153363

Seite 1 von 2

Gehackt oder nicht?

Verfasst: 18.08.2007 12:19
von Stefan2204
Hallo, habe mal eine Frage. Kurz zur Erklärung. In meinem Board bin ich mit einigen Freunden angemeldet, es sollen keine Mitglieder dazu kommen, deshalb habe ich folgendes gemacht.

Ich habe einfach im Menü den Punkt „Anmelden“ raus genommen. Die Seite zum Anmelden geht also auf dem Server noch, bloß die Verlinkung ist halt weg. Nun habe ich natürlich gedacht, ok kann sich niemand anmelden, also wird jede Anmeldung automatisch freigeschaltet und nicht von mir.

Heute morgen hatte ich ein neues Mitglied – Name war xxxhacker.
Habe gleich gedacht das Forum ist gehackt, es wurde aber kein Beitrag geschrieben und es wurde auch nichts im Forum verändert. Nun meine Frage, wurde nun gehackt oder wollte nur jemand beweisen das er sich Anmelden könnte?
Sollte ich das Board neu aufspielen? Danke und Gruß – Stefan.

Verfasst: 18.08.2007 12:28
von Chalong
Ich vermute mal, daß 'xxxhacker' nur bewiesen hat, daß er deine URL mit /ucp.php?mode=register am Ende aufrufen kann und sich so angemeldet hat..

Verfasst: 18.08.2007 12:35
von Seimon
du kannst in die db gucken:
-> phpbb_users - user_level
welche personen da level 1 (Admin) oder 2 (Mod) haben

wenn du ganz auf nummer sicher gehen willst kannst du den kompletten quellcode deines boardes mit dem programm winmerge (google) mit dem quellcode des original phpbbs vergleichen, ist nur 1 abfrage (bzw. wenn du mods eingebaut hast ein bisschen mehr)

Verfasst: 18.08.2007 13:51
von Mahony
Hallo
Wenn du im phpmyadmin das eingibst

Code: Alles auswählen

SELECT * FROM phpbb_users WHERE user_level = 1
Werden dir alle User mit Admin-Status aufgelistet.




P.S. Eventuell musst du den Präfix anpassen (phpbb_ ). Das gilt aber nur für den Fall, dass du einen anderen Präfix benutzt (du findest den Präfix auch in der Datei config.php deines Forums).




Grüße: Mahony

Verfasst: 22.08.2007 10:27
von Stefan2204
Danke für die Antworten :grin: Er meldet sich nur an , also er will mich nur ärgern. Sein Account hat keine Beiträge geschrieben, etc.. muss ihn aber jeden Tag löschen. Wie kann ich die Registrierung abschalten? Danke. Gruß Stefan.

Verfasst: 22.08.2007 11:29
von SteveHH
Hallo !

Ich denke, das das nur ein Skript-Kiddie ist, der sich bei seinen Freunden beweisen möchte.


Greetz,

Steve

Verfasst: 22.08.2007 12:02
von Boecki91
Und damit er sich richtig in die Hosen macht mach mal was dagegen ;-)

Öffne
profile.php

Suche:

Code: Alles auswählen

if ( isset($HTTP_GET_VARS['mode']) || isset($HTTP_POST_VARS['mode']) )
{
	$mode = ( isset($HTTP_GET_VARS['mode']) ) ? $HTTP_GET_VARS['mode'] : $HTTP_POST_VARS['mode'];
	$mode = htmlspecialchars($mode);
Füge danach ein:

Code: Alles auswählen

	if ( $mode == 'register')
	{
		message_die(GENERAL_ERROR, 'DEIN_TEXT');
	}
DEIN_TEXT kannst du beliebig anpassen. Aber bitte kein ' rein schreiben...

Verfasst: 22.08.2007 12:13
von SteveHH
Also schreibt man das so:

Code: Alles auswählen

if ( $mode == 'register') 
   { 
      message_die(GENERAL_ERROR, 'Guten Tag ! Hiermit wurdest Du getraced !'); 
   }
Oder sehe ich das falsch !? ;)
Vielleicht sollte man noch mal eine kurze IP-Abfrage-Routine einbauen :)

Greetz,

Steve

Verfasst: 22.08.2007 12:15
von Boecki91
Für solche Spielereien hatte ich keine Zeit :D

Verfasst: 22.08.2007 12:23
von SteveHH
Ich werde mir eventuell mal Gedanken machen nach dem Mittagessen ;)
Alle Zeiten sind UTC+02:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de