phpBB.de

Hallo zusammen,
ich verwalte seit Jahren für den Messerschmitt-Club-Deutschland auf unserer Homepage ein phpbb-Forum.
Vielleicht bin ich ja jetzt schon paranoid, aber im letzten halben Jahr erschienen immer wieder komische Anmeldeversuche mit Angaben wie Vorname == Nachname und Adresse offensichtlich ein Fake. Die IP-Nr waren immer wieder aus Russland.
Deshalb bin ich hergegangen und habe die IP-Bereiche gesperrt. (Wir haben keine Mitglieder in Russland) Kaum hatte ich den Bereich gesperrt kam am folgenden Tag der Anmeldeversuch aus einem anderen Bereich. Auch Anmeldungen über proxy und Tor-Brouser habe ich beobachtet.
Im Bereich "Wer ist online" habe ich beobachtet, wie ein GAST eine PN verschickt hat (so zumindest die Anzeige). Das ist aber von den Rechten her ausgeschlossen.
Daraufhin habe ich das Forum seit einigen Tagen für Gäste komplett geschlossen (Gast: kein Zugang).
Daraufhin waren Gäste nur noch sehr selten zu beobachten. Wahrscheinlich nur während des Login.
Seit ein paar Tagen beobachte ich aber immer morgens zwischen 9:00 und 10:00 folgendes:
bis zu 3 Gäste gleichzeitig online!
1. IP aus Russland
2. IP aus USA
3. IP aus Ukraine
[ externes Bild ] Bild als Screenshot
Wie kann das Zufall sein? Völkerverständigung ergibt da einen vollständig neue Bedeutung.
Oder gibt es in den tiefen der PHP-Strukturen irgendwo eine Hintertür/Loch über das sich diese Typen austauschen können.

Noch eine Bitte: Seit einigen Versionen erscheint bei dem " IP: xxx.xxx.xxx.xxx » Whois" immer nur das gleiche Popup Fenster mit "RIPE Network Coordination Centre (RIPE)" aus Amsterdam. Wo kann man da einen aussagekräftigeren Anbieter eintragen.

Hat jemand eine Idee wie man das abschalten / weiter untersuchen kann, oder muss ich damit an das BSI gehen?
Mit freundlichem Gruß
Ulrich

Hallo

Zuerst mal, irgendwelche IPs oder IP-Bereiche interessieren heute nur noch sekundär, da kann man sehr schlecht irgendwas festmachen oder steuern wollen. Das hilft immer nur maximal kurzfristig. Die Kriminellen nutzen eine grosse Bandbreite von Verschleierungstechniken, wozu neben TOR auch Cloud Hosting und Bot-Netze über Zombie-Rechner (gekaperte Rechner) benutzt werden, inklusive mobile Zugänge über Smartphone-Netze.

Ulrich1 hat geschrieben: 17.03.2025 13:27 Im Bereich "Wer ist online" habe ich beobachtet, wie ein GAST eine PN verschickt hat (so zumindest die Anzeige). Das ist aber von den Rechten her ausgeschlossen.

phpBB differenziert in diesem Punkt nicht zwischen Versuch und Erfolg. Was da angezeigt/geloggt wird, ist schon der blosse Versuch. Wenn du nicht gravierende Fehler bei der Rechte-Konfiguration gemacht hast, dann kannst das ignorieren.

Deswegen Gäste als Ganzes sperren fällt eher unter Panik-Reaktion bzw. Aktionismus.

Noch eine Bitte: Seit einigen Versionen erscheint bei dem " IP: xxx.xxx.xxx.xxx » Whois" immer nur das gleiche Popup Fenster mit "RIPE Network Coordination Centre (RIPE)" aus Amsterdam. Wo kann man da einen aussagekräftigeren Anbieter eintragen.

Gar nicht. Es gab eine externe Änderung bei RIPE auf die phpBB keinen Einfluss hatte. Das wurde/wird auf .com bereits diskutiert und so wie ich das aktuell sehe, wirds vermutlich bei 3.3.15 eine Änderung bei diesem Feature geben. Siehe auch:

https://www.phpbb.com/community/viewtopic.php?t=2660611

oder muss ich damit an das BSI gehen?

Was versprichst du dir davon, also wie denkst du, kann dir hier das BSI weiterhelfen?

Dann, du hast noch nicht erwähnt, welche Massnahmen du gegen Spam eingerichtet hast. Nutzt ihr z.B. die Funktion "Kürzlich registrierte Benutzer"?

Bitte auch mal die Eckdaten angeben:

phpBB Version
PHP Version

Danke für die Antwort LukeWCS

LukeWCS hat geschrieben: 17.03.2025 14:29 Dann, du hast noch nicht erwähnt, welche Massnahmen du gegen Spam eingerichtet hast. Nutzt ihr z.B. die Funktion "Kürzlich registrierte Benutzer"?

Gegen Spam haben wir einiges versucht. Bilderkennung wird nach wenigen Stunden umgangen. Letztenendes sind wir bei Q&A gelandet mit einer Antwort die nur "Insider" unseres Oldtimer-Clubs beantworten können. Selbst das wurde nach wenigen Tagen dank KI gelöst. Eine Antwort mit dem Buchstaben "ü" in "fünf" war da schon erfolgreicher.
Wir sind zu dritt als Admins tätig und schalten Neumitglieder nur nach eingehender Prüfung frei. Aber diese unsinnigen falschen Anmeldeversuche sind einfach sehr nervig und kosten Zeit.
Mit freundlichem Gruß
Ulrich
Ach so: Version des Boards: 3.3.14
PHP-Version: 8.1.31

Danke für die Daten.

Was "Bilderkennung" angeht, ich vermute du meinst die grafischen Captchas die bei phpBB Standard dabei sind? Wenn ja, im nachfolgend verlinkten Beitrag sind dazu deutliche Worte zu finden. ^^

Was Q&A angeht, das ist schon erheblich brauchbarer, aber ich persönlich halte nicht viel davon, aus Usability Gründen. Und das die Tage von Q&A gezählt sind, war in KI Zeiten auch schon länger absehbar. Ebenfalls in dem verlinkten Beitrag ist ein Link zu einer Alternative zu finden, aber auch dessen Tage sind gezählt. Aber noch fällt das unter brauchbar.

viewtopic.php?p=1426845#p1426845

Ulrich1 hat geschrieben: 17.03.2025 14:47 Aber diese unsinnigen falschen Anmeldeversuche sind einfach sehr nervig und kosten Zeit.

Jupp, aber da wird dir wohl kein Admin widersprechen.

Wohl jeder hat schon mindestens einmal mit Spam zu kämpfen gehabt. Und egal was man macht; alles hat immer nur eine zeitlich begrenzte Nutzbarkeit und es gibt nie einen 100% Schutz. Aber wenn ihr die verlinkte Ext nutzt plus "Kürzlich registrierte Benutzer", habt ihr schon mal einen brauchbaren Grundschutz und auf jeden Fall wird so sichergestellt, dass euer Forum zumindest nicht öffentlich einsehbar "zugemüllt" wird.

Ich hoffe mal, Gäste dürfen bei euch nicht posten? Falls doch, wäre das eines der ersten Dinge die ich abstellen würde, weil das zwar super bequem für die User ist, aber ein Alptraum für die Administratoren/Moderatoren und hochgradig riskant in Bezug auf Abmahnungen.

Richtig ich meinte die grafischen Captchas. Die helfen NIX und verwirren nur.
Richtig geholfen hat mir der Link ganz oben im 2. Betrag zu IP lokalisieren (viewtopic).
Da schreibt einer:
Make a backup of the following file and edit the original...
Edit: styles\prosilver\template\viewonline_body.html

Find Code

Code: Select all

{user_row.U_WHOIS}

Replace that string with this string:

Code: Select all

https://ipinfo.io/{{ user_row.USER_IP }}

Save the file, and clear the forum cache. It's very different from the standard WHOIS, but also quite good, because it too lists the IP owner's CIDR address, which if it's a nasty bad actor, can be quickly added to the .htaccess's Order Deny,Allow file, as in:
Deny from 119.42.144.0/21
-------------kann leider im englischen Teil Zitat nicht ausführen --------------
im https habe ich https://whatismyipaddress.com/ip/ ersetzt. Funktioniert hervorragend!
Das Beste ist aber die Idee mit der .htaccess Datei.
Da wäre ein automatischer Eintrag durch den Admin, bei wer ist online, einfach genial! Dann würden alle "lieben Gäste" nach und nach ausgesperrt und verlieren die Lust. Mal sehen ob ich so etwas gebacken kriege?
Schönen Abend noch
Ulrich

Wir sind schon vor X-Jahren auf Q&A Captcha umgestiegen und "toitoitoit" hat sich daran noch kein Spambot vorbei geschlichen aber ich denke auch, dass das dank KI früher oder später passieren kann. Bezüglich der Herkunft der IPs - das kann ja alles letztendlich noch via VPN maskiert sein
Vielleicht könnt ihr eure Fragestellung ja noch etwas "frisieren".

Ich hab bei uns z.B.:

Wofür steht die Abkürzung "f-&-l-&-a" ausgeschrieben?
Tip: Ein Sisters Album und Songtitel...:

Durch die Bindestriche und Sonderzeichen scheint das noch knifflig genug zu sein.

Bezüglich der vermeintlichen Mitleser/Besucher/Crawler würde ich gar nichts unternehmen, so lange das nur eine handvoll Ereignisse sind sollte das nicht spürbar die Serverlast beeinträchtigen.

Die paar Bots bringen mich nicht aus der Ruhe.
Ich habe bei Q&A z.B. die Frage gestellt: "Wie viel Finger hat der Mensch an einer Hand" Zahlwort.
Versuche mal das ü auf der kyrillischen Tastatur zu tippen -> Fingerbruch.
Aber besonders wütend sind sie geworden, als ich die Frage (auf kyrillisch) gestellt habe: "Was ist Putin?" => Kriegsverbrecher вое́нный престу́пник
Was ich damit sagen will: man kann mit ihnen auf diese Art kommunizieren.
Mich hat verwundert, dass seit Ausbruch des Ukraine-Krieges die Aktivitäten drastisch zugenommen haben und in der Forensoftware gibt es kaum Möglichkeiten etwas dagegen zu unternehmen.
Schön wäre z.B. nur bestimmte Länder zuzulassen oder bestimmte auszuschließen, denn wir und die meisten anderen Foren sind räumlich begrenzt.
Schön wäre zur Sicherheitsüberprüfung auch eine Möglichkeit so etwas wie einen Log-Level auf PHP-Basis einzubauen. Momentan bekomme ich von meinem Provider (IONOS) nur einen Server-Log bei dem nur die IP-Nr ohne letzte Ziffer / das Datum und einen groben Überblick was der User angeklickt hat angezeigt wird.

Ich habe z.B. beobachtet, dass bei "Wer ist online" für Gäste nicht nur stand "Registriert sich" sondern auch "befindet sich im persönlichen Bereich".
Das ist ja alles noch nachvollziehbar, aber Dinge wie "betrachtet Profil eines Users" oder noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel. Da werde ich misstrauisch.
Ich habe die Rechte überprüft, aber nichts gefunden.
Es gibt bei uns im Prinzip 3 Arten von Usern:

1. Gäste: keine Rechte
2. registrierte und durch den Admin freigeschaltete User: nur Lese- und auch begrenzte Schreibrechte, nur auf einen allgemeinen öffentlichen Bereich ohne PN-Rechte,.
3. registrierte Clubmitglieder: bis auf Admin- und Moderatorenrechte fast alles.

Die Frage die mich umtreibt ist: Was wollen die bei uns? E-mail für Spam abgreifen? Da gibt es Einfacheres. Mitlesen? Uninteressant.
Was bleibt noch? Über PN mit anderen (Spionen / dubiosen Typen) kommunizieren?
Bin ratlos
Ulrich

Ulrich1 hat geschrieben: 18.03.2025 13:36 noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel

Siehe dazu Knowledge Base - Gast liest private Nachrichten?

Geoblocking kann man natürlich realisieren, vielleicht ist diese Erweiterung etwas für dich (alternativ zum an der htaccess herumbasteln):

https://www.phpbb.com/customise/db/exte ... bycountry/
https://www.phpbb.com/customise/db/exte ... pic/246787

Wie viele Bots dann draußen bleiben und wie viele sich via VPN "einbürgern" weiß ich nicht.

Ulrich1 hat geschrieben: 18.03.2025 13:36 Ich habe z.B. beobachtet, dass bei "Wer ist online" für Gäste nicht nur stand "Registriert sich" sondern auch "befindet sich im persönlichen Bereich".
Das ist ja alles noch nachvollziehbar, aber Dinge wie "betrachtet Profil eines Users" oder noch schlimmer "sendet eine PN" sind nicht mehr akzeptabel. Da werde ich misstrauisch.

Über das Thema bin ich schon vor >15 Jahren gestolpert, als irgendwelche Bots da vermeintliche Seiten aufgerufen haben auf denen sie nichts verloren haben. Letztendlich ist es aber aufgeklärt, dass pbpBB diese Zugriffe dummerweise missverständlich anzeigt, was etwas Unruhe stiften kann obwohl diese Seiten real natürlich nicht angezeigt werden sondern ein Hinweis im Sinne von:

Du musst registriert und angemeldet sein, um Profile anzuschauen.

Danke für die Info.
Da bin ich ja beruhigt.
Gruß
Ulrich