Sonderbare Ereignisse heute

[Manu.G]

Hallo,

ich hoffe ihr könnt mir bei einem Problem weiterhelfen.
Heute hatte ein Gast in dem Forum eines Bekannten von mir in einem Posting:

1. Please contact me by e-mail: hier stand die E-Mail Adresse, if you can`t see my e-mail on this page: hier stand die E-Mail Adresse aber sie war entfremdet, das @-Zeichen stand in Klammern
2. I will send you application form which you should fill, print, sign and send back to my e-mail.
3. You should scan and send me your ID (passport or driver licence).

Ich habe die E-Mail Adresse herausgelassen, denn ich weis nicht, ob sie wirklich der Verursacher war.

Nachdem dieses Posting sichtbar war, hatten die Moderatoren dort im Forum keinerlei Berechtigungen mehr. Sie konnten die Boards nicht mehr moderieren. Sie mussten einen Admin herbeirufen, der das Posting löschte. Nach dem das Posting gelöscht war, lief das Forum wieder normal und die Moderatoren hatten wieder ihre Berechtigungen.

Während sie das Problem versuchten zu lösen, nutzen 2 Mitglieder das PM-System. Einer der Moderatoren erhielt während diesen Vorfalls genau von diesen 2 Mitgliedern Spam-E-Mails von den E-Mail Adressen, die die Mitglieder dort im Profil angegeben haben.

Ich weis nicht, ob das alles zusammenhängt. Ist jemanden aus diesem Forum auch schon mal so etwas passiert?

[MartinB]

Bisher nicht.
Aber es gibt vielleicht ne Möglichkeit raus zubekommen warum das Passiert ist.
Am besten ist es wenn du den Beitrags Text womit dieses Problem aufgetaucht ist aus der Datenbank Kopierst, da ich vermute das da noch weitere Passagen drin sind die man im Regulären Beitrag nicht sieht.

Also einfach den Text des Beitrages aus der Datenbank auslesen:
(zb. mit PHPMyAdmin die Tabele smf_messages aufrufen die Beitrags ID suchen lassen und das Feld body komplett Kopieren)

!! Bitte die Antwort hier dann in CODE BBC einsetzen !!

[dieter4]

!! Bitte die Antwort hier dann in CODE BBC einsetzen !!

Vllt sogar besser als Text-Datei anhängen.

[Jorin]

Momentan ist ein richtiger Run auf SMF-Foren. 

[ディン1031]

Momentan ist ein richtiger Run auf SMF-Foren. 

Da gebe ich dir, recht soviel hacking versuche die derzeit laufen habe ich schon lang nicht gesehen... das ist echt sonderbar zur zeit... <<

Bye
DIN1031

[Mave]

Naja die Herausforderung wirds sein.
Meine Bannliste wird immer länger 

[ThorstenE]

@Manu0372: ist in dem betroffenen Forum das Posten von HTML-Code erlaubt oder generell nur BBCODE und normaler Text?

[Ferrika]

Das Thema hatten wir ja auch schon im Portal. ThorstenE hatte ja dort den Vorschlag gemacht, sich mal mit mod_security zu beschäftigen.

@Mave

unser Hoster hat mir das auf dem Server installiert, Du könntest da mal nachfragen. Wenn das Portal wieder funktioniert, schau mal in den Thread. Laß dann aber gleich die Funktion für die Uploadgrößenbeschränkung abschalten *grins* Bei mir funktionierte plötzlich kein Bilderupload mehr *g*

@ThorstenE

der Beispielcode, den Du dort gepostet hast, funktioniert leider bei mir nicht, weil ich das Forum gebridged habe... nehm ich zumindest an. Als ich den eingegeben habe, hatte ich plötzlich auch kein Theme mehr (

Aber ich werde mich doch mal weiter damit beschäftigen und rumprobieren. Die meisten Injection-Versuche kommen ja über die Joomla-Seite, da man die anderen Verzeichnisse dadurch ja gar nicht erkennen kann. Deswegen werde ich wohl eine Möglichkeit finden müssen, die http-Eingabe dort zu unterbinden, was aber nicht so leicht ist, weil ja alle Module durchprobiert werden.

Dennoch denke ich, mod_security ist ein guter Ansatz, solche Dinge zu unterbinden.

Ich stelle jedenfalls fest, daß es seit der Installation schon weniger geworden ist.

Gruß Ferrika

[Mave]

@Mave

unser Hoster hat mir das auf dem Server installiert, Du könntest da mal nachfragen. Wenn das Portal wieder funktioniert, schau mal in den Thread. Laß dann aber gleich die Funktion für die Uploadgrößenbeschränkung abschalten *grins* Bei mir funktionierte plötzlich kein Bilderupload mehr *g*

Werd mal schauen danke.

[Manu.G]

Bisher nicht.
Aber es gibt vielleicht ne Möglichkeit raus zubekommen warum das Passiert ist.
Am besten ist es wenn du den Beitrags Text womit dieses Problem aufgetaucht ist aus der Datenbank Kopierst, da ich vermute das da noch weitere Passagen drin sind die man im Regulären Beitrag nicht sieht.

Also einfach den Text des Beitrages aus der Datenbank auslesen:
(zb. mit PHPMyAdmin die Tabele smf_messages aufrufen die Beitrags ID suchen lassen und das Feld body komplett Kopieren)

!! Bitte die Antwort hier dann in CODE BBC einsetzen !!

Leider habe ich keine Zugang zu der Datenbank des Forums. Ich denke aber, dass ich den Beitrag in der Datenbank nicht mehr finden könnte, da er ja von einem Admin gelöscht wurde. Komplett gelöscht.
Achja, das mit den Emails, hatte nichts mit dem Posting zu tun.
Das eigentliche Problem war, dass die Moderatoren im Forum nicht mehr moderieren konnten, sie konnten auch nicht posten oder PM's verschicken, erst nachdem der Admin das Posting komplett gelöscht hatte, hatten die Moderatoren wieder alle Berechtigung wie zuvor.

Ich denke, dass alles wird euch wohl nicht weiterhelfen. 

[Mave]

Stimmt