phpBB.de

Hallo,

Ich habe ein Testforum (wemland.de) auf dem gestern wieder Spam eingetragen wurde.
Dabei kann sich nur einloggen wer den E-Mailtest über den Admin und das Captcha überwunden hat.
Trotzdem hatte ich gestern wieder eine Antwort von einem Spamer.
Ausserdem waren mindestens 6 inactive Benutzer gemeldet, darunter war auch der Username des Spamers. Alle Benutzernamen wiesen die gleiche IP auf.
Hier also die Frage: Wie kann ein inaktiver Benutzer eine Antwort generieren?
Ausserdem stelle ich etwas merkwürdiges fest. Wenn ich "wemland.de" aufrufe und will mich einloggen so ist der Benutzernamen und das Passwort (gepunktet) schon vorhanden. An dieser Stelle brauche ich also nur "Enter" zu drücken.
Meine Browser-Chronik im FF habe ich schon gelöscht. Trotzdem wird PW u Benutzernamen schon vorgegeben.
Ich kann nun nicht überprüfen ob dies bei fremden Usern die sich bei mir einloggen wollen auch so ist.
Ist das richtig?

Mfg

Friwem

Hi,

da scheint dein Browser einfach nur deinen Benutzername + Passwort gespeichert zu haben. Nimm einfach mal einen anderen Browser z.B. Google Chrome, Opera, Safari, Internet Explorer oder Firefox, je nach dem was du aktuell nutzt. Dann sollte die Login-Maske nicht ausgefüllt sein.

Inaktive/nicht aktivierte Benutzer kannst du erinnern, einfach nach Admin-Bereich --> Benutzer und Gruppen -> inaktive Benutzer. Dort hinter dem Benutzer einen Haken setzen und dann "Erinnern" --> Absenden.

Wie man Spam-Anmeldungen verhindert, wird schon hier diskutiert: viewtopic.php?f=87&t=184008

Grüße

Hallo BlackHawk87,

BlackHawk87 hat geschrieben:da scheint dein Browser einfach nur deinen Benutzername + Passwort gespeichert zu haben. Nimm einfach mal einen anderen Browser z.B. Google Chrome, Opera, Safari, Internet Explorer oder Firefox, je nach dem was du aktuell nutzt. Dann sollte die Login-Maske nicht ausgefüllt sein.

Du hast recht alle anderen Browser Chrome und IE machen das nicht.
Weiterhin ist merkwürdig, wenn ich aus "outlook" das Forum aufrufe sind die Felder nicht ausgefüllt. Also nur wenn ich die Eingabezeile benutze.
Dies ist bei mir normalerweise nicht schlimm da an meinem Computer kein Fremder arbeitet. Aber es kann ja mal ein Fall eintreten wo dies der Fall ist. Hier kann der Nutzer das Forum und den Adminbereich aufrufen. Hier kann er nun alle Personen bezogene Daten ausspähen.
Die Chronik habe ich schon ohne Erfolg gelöscht.
Weiter weiß ich nun nicht. Hast Du da einen Rat oder muss ich in diversen Foren rumstöbern? Ich benutze übrigens den FF.

BlackHawk87 hat geschrieben:Inaktive/nicht aktivierte Benutzer kannst du erinnern, einfach nach Admin-Bereich --> Benutzer und Gruppen -> inaktive Benutzer.

Was heißt "erinnern", was bewirkt dort das Häkchen?

BlackHawk87 hat geschrieben:Wie man Spam-Anmeldungen verhindert, wird schon hier diskutiert: viewtopic.php?f=87&t=184008

Habe ich mir durchgelesen und werde weiter daran arbeiten.
Was mich allerdings stört, ist das dies überhaupt möglich ist. Die E-Mail muss bestätigt werden, dies ist im jetzigen Fall ja nicht möglich das zweite ist, das Captcha muss erfüllt sein, da weiß ich nicht wie die an die richtige Antwort kommen, also automatisch ist das fast unmöglich. Per Hand jedoch ginge das schon.
Also beide Sicherungen werden überwunden (?) und trotzdem kann der Angreifer eine Antwort erstellen.
Ehrlich gesagt bin ich ein wenig ratlos.

Vor allem vielen Dank für die Antwort.

MfG

friwem

friwem hat geschrieben: Weiterhin ist merkwürdig, wenn ich aus "outlook" das Forum aufrufe sind die Felder nicht ausgefüllt. Also nur wenn ich die Eingabezeile benutze.

Du surfst mit einem E-Mail-Client im Internet, nicht übel.

Dies ist bei mir normalerweise nicht schlimm da an meinem Computer kein Fremder arbeitet. Aber es kann ja mal ein Fall eintreten wo dies der Fall ist. Hier kann der Nutzer das Forum und den Adminbereich aufrufen. Hier kann er nun alle Personen bezogene Daten ausspähen.
Die Chronik habe ich schon ohne Erfolg gelöscht.
Weiter weiß ich nun nicht. Hast Du da einen Rat oder muss ich in diversen Foren rumstöbern? Ich benutze übrigens den FF.

Links oben auf Firefox --> Einstellungen --> Sicherheit --> Haken entfernen bei "Passwörter speichern" & "Gespeicherte Passwörter" --> Alle Entfernen.

Dann ist es weg.

Was heißt "erinnern", was bewirkt dort das Häkchen?

Dnan bekommt der Nutzer nochmals eine Erinnerungsmail, dass er seinen Account noch aktivieren muss. Wenn da nichts passiert, würde ich den Account einfach nach ein paar Wochen löschen.

Also beide Sicherungen werden überwunden (?) und trotzdem kann der Angreifer eine Antwort erstellen.
Ehrlich gesagt bin ich ein wenig ratlos.

Menschliche Spammer kann man nicht mit einem Captcha aufhalten, dass würde sonst auch dazu führen, dass sich überhaupt niemand mehr bei dir registrieren kann.
Also Q&A-Captcha mit so 10-20 Fragen, die einfach aber nicht zu einfach zu beantworten sind. Dazu würde ich dann die Gurppe "kürzlich registrierte Benutzer" aktivieren (ACP --> Registrierungen) und ihr bei den Forenspezifischen Berechtigungen das "Beitrag erstellen ohne Freigabe" verbieten. So bis sie 10-20 Beiträge geschrieben haben. Dann wird es schon schwerer.

Hallo BlackHawk87,

BlackHawk87 hat geschrieben:Du surfst mit einem E-Mail-Client im Internet, nicht übel.

Natürlich surfe ich nicht mit einem E-Mail-Client im Internet, gemeint ist, wenn ich von "phpBb" eine E-Mail bekomme kann ich den Link anklicken um zu "phpBB" zu kommen, dann muss ich mich auch anmelden. Dann ist jedenfalls dieses Feld nicht ausgefüllt. Danke für die Antwort.

BlackHawk87 hat geschrieben:Links oben auf Firefox --> Einstellungen --> Sicherheit --> Haken entfernen bei "Passwörter speichern" & "Gespeicherte Passwörter" --> Alle Entfernen.

Dann ist es weg.

Habe ich gemacht und hat geklappt. Danke