[3.3] Passwörter verändern sich selbständig

[Twister57]

phpBB Version 3.3.10
Server php 8.1

Seit ein paar Tagen (kein zeitlicher Zusammenhang mit Umstellung des Servers) muss ich feststellen, dass sich PWs eigenständig verändern.
Ein paar User, die ihr PW nicht geändert haben, erhalten eine Fehlermeldung beim erneuten einloggen mit ihrem PW.

Die Einträge in der DB habe ich bei den betroffenen Usern verglichen und sie haben alle die gleichen Einträge/verschlüsseltes PW

Ich habe dann in Absprache mit ihnen das PW im ACP geändert und sie konnten sich einloggen - beim nächsten Login hatten sich die die PWs selbständig wieder auf den vorherigen einheitlichen Eintrag verändert.
Das gleiche passiert, wenn sie sich über "Passwort vergessen" ein neues holen - das verschwindet danach genauso.

Bin absolut ratlos und hoffe auf Eure Hilfe.

[Crizzo]

Hi,

Was für Extensions hast du denn installiert?

Grüße

[Twister57]

About us 2.1.3
ACP Add User 1.0.5
ACP Style 1.0.0
Activation Justification 1.0.4
Activ Tabmenue 1.0.0
Advanced BBCode Box 3.3.5
Arcade Pro 6.0.1
Board Announcements 1.1.1
Board Greetings to Xmas and New Year 0.0.2
Board online time 1.0.0
Board Rules 2.1.3
Calendar 1.1.0 n
Collapsible Forum Categories 2.0.1
Genders 1.3.0
Gratuliert den Geburtstagkinder auf der Index 1.0.0
Hangman Game 0.6.0
Hide Username 1.0.0
Hover-Effekte 1.1.0
JVA - Add System Bot 1.1.0
JVA - Contact 1.1.1
JVA - Footer Chat 2.1.1
JVA - Privacy Policy and data management tool 1.0.8
Knuffel 1.0.4
LF who was here 2 2.1.5
mChat 2.1.4
Medals System 1.0.1
Member Avatar & Status 3.2.7
Moods 1.0.0
No Description for attached Image 1.0.0
On and Offline Status 1.0.1
Paypal Donation 1.0.4
PN Info Box 1.1.0
Posts count 1.0.2
Profile on Leftside 1.2.2
Prune PMs 1.2.0
Style Changer 2.7.0
Tabbed Smilies 0.3.4-beta
Thanks for posts 2.0.7
Top Stats 1.0.2
Userreminder for phpbb 1.5.0
Welcome back 1.0.16
Welcome Robot 1.0.0
Who Visited This Topic 1.0.9
[**] Site logo 2.1.0-RC7
[devspace] Log user connections 3.3.0

[Crizzo]

Hi,

Zeig doch mal von einem neuen erstellten Account, wie dort die Passwort Einträge in der Datenbank aussehen und in was sie dann geändert werden.

Grüße

[Twister57]

Lieben Dank für Deine schnellen Antworten Crizzo

Diese PWs Einträge DB:

$argon2id$v=19$m=65536,t=4,p=1$ILHAE+ELI/N5G2iWW+wvag$ZFduF2vgdHj1XwXPXrWZfhew3IBwnCqODy4EV6xBYQg
$argon2id$v=19$m=65536,t=4,p=1$60t2O82gubFBo8AAg8MicA$+xyYrRSSLXt3PBUbGA9GvXay6/+j/ZfEggFKmv/BduE
$argon2id$v=19$m=65536,t=4,p=1$KTR5g/dSAr2CT7j7aIf4MQ$tSc71NuUsBXA4D5G640j7OnjBHsiqALtQa9w/qjCKOc
$argon2id$v=19$m=65536,t=4,p=1$CFFhypuuCLMSgttL1jCn5w$XmgDrbjHJAGdmmcLZNZ/Kn92YpyfcrHryhsZ0dXZ56g

wurden zu
$argon4id$v=19$m=655z36,t=4,p=3$cjdOQTdGHSSHEHHHJRVlwMGxON01MZQ$RaQ8AsU37uSbojI6Ub1f72JUwYfru8OzSzyU5XBmsFDQ

17 weitere User haben diesen Eintrag, die zum größten Teil dieses Jahr noch nicht versucht haben, sich einzuloggen.
1 Account von den 17 ist deaktiviert und 1 User wurde gestern neu aktiviert.

Bei bemerken des Problems hatten fast alle Betroffenen diesen Eintrag:
$argon3id$v=19$m=65536,t=4,p=3$cjdOQTdtRVlwMGxON01MZQ$RaQ8AsU37uSbojI6Ub1f72JUwYfru8OzSzyU5XBmsFDQ

Die ursprünglichen Einträge kenne ich nicht.

[Crizzo]

Hi,

Da scheint irgendwas Unsinn mit den Einträgen zu machen. Sowas wie Argon3 und Argon4 gibt es nicht. Also schreib mal deinen Webspace Anbieter, ob er da irgendwas über seine Datenbank laufen lässt, was durch einen Bug Unsinn macht. Falls nicht, kann es auch sein, dass du dir schadcode eingefangen hast:
Knowledge Base - Mein Forum wurde gecrackt - was nun?

Führ zudem mal folgendes aus:

Code: Alles auswählen

<?php
print_r(password_algos());
?>

D.h. PHP-Datei erstellen und die dann hochladen und im Browser aufrufen.

Grüße

[Twister57]

Vielen Dank Crizzo,

ich habe einen vServer, so dass es meine DB ist.
Werde aber Deinen Rat befolgen und mich wieder melden.

LG Twister

[LukeWCS]

Dein Beitrag mit den verschiedenen Hashes ist mehreren Punkten sehr interessant.

Wie Crizzo schon schrieb, gibt es (noch) kein Argon3 oder höher. Das ist also kompletter Unsinn diese Hashes. Des Weiteren wurden diese "kaputten" Hashes auch nicht generiert, sondern konstruiert. Das sieht man zum Beispiel daran, dass dort der Hash des dubiosen Argon3 Strings exakt der gleiche ist wie beim dubiosen Argon4 String, obwohl zwei unterschiedliche SALTs definiert sind. Das ist ein Ding der Unmöglichkeit, oder sagen wir, extrem unwahrscheinlich. Da dürfte ein Sechser im Lotto wahrscheinlicher sein.

Ergo: Das hat mit phpBB schlicht nichts zu tun. phpBB ist hier nur der "Leidtragende".

1. Hier muss eine Dritt-Komponente in der DB "herumfuhrwerken" die da nichts zu suchen hat. Ich würde den Hoster auf die Problematik ansprechen, wie Crizzo schrieb. Notfalls müsste der Hoster entsprechende Massnahmen unternehmen können um herauszufinden, was da in deiner DB wütet.
2. Zweite Möglichkeit wäre, dass da jemand per Hand in der DB herumbastelt, der wenig bis gar keine Ahnung von Hashes hat.
3. Dritte Möglichkeit wäre Schadsoftware, aber das scheint mir momentan eher unwahrscheinlich, weil es dem "Angreifer" potentiell gar nichts bringen würde, wenn er PW Hashes zerstört. Da sehe ich keinen Sinn darin.

[Twister57]

Hi,

Da scheint irgendwas Unsinn mit den Einträgen zu machen. Sowas wie Argon3 und Argon4 gibt es nicht. Also schreib mal deinen Webspace Anbieter, ob er da irgendwas über seine Datenbank laufen lässt, was durch einen Bug Unsinn macht. Falls nicht, kann es auch sein, dass du dir schadcode eingefangen hast:
Knowledge Base - Mein Forum wurde gecrackt - was nun?

Führ zudem mal folgendes aus:

Code: Alles auswählen

<?php
print_r(password_algos());
?>

D.h. PHP-Datei erstellen und die dann hochladen und im Browser aufrufen.

Grüße

Die Abfrage ergab folgendes:

Array ( [0] => 2y [1] => argon2i [2] => argon2id )

[Crizzo]

Also Standard. Dann sind Argon2 wie erwartet da.

Dann gilt der Rest. Du musst rausfinden, wer oder was deine Datenbank ändert. Schadcode, Bug in Extensions, andere Scripte etc.