Probleme mit gesperrtem Nutzer

  • Affected Version
    WoltLab Suite 3.0

    Hallo Zusammen,

    ich bin mir ziemlich sicher, dass sich ein gesperrter User bei uns ins Forum reingehackt hat und weiter alles mitliest. Er hat noch keinen weiteren Schaden angerichtet.

    Es soll aber auch nicht dazu kommen!

    Er ist sehr IT-affin. Wir hingegen sind einige Ehrenamtliche, die zwar ein Forum zum Laufen bringen können, aber mit Hackern nicht umgehen können.

    Wie kann ich die Sicherheitslücke wirksam schließen? Ich nehme an, dass es nicht reicht, einfach alle Passwörter für die Homepage und das Forum zu ändern?

    Vielen Dank für Eure Hilfe!

  • Hi.

    Worauf beruht sich deine Annahme, dass ein gesperrte Nutzer irgendwie Zugriff auf etwas hat, was ihm verwehrt sein sollte?

    Denkst du, er kann nur Foreninhalte lesen, die sonst nicht für normale Benutzer zu sehen wären?

    Das hört sich etwas unstimmig an.

  • Wir haben keine normalen Nutzer.

    Er ist gesperrt, sodass er gar nichts lesen dürfte. Wir sind für nicht angemeldete Leser gesperrt. Und für gesperrte Nutzer nicht mehr nutzbar.

    Der User ist immer noch regelmäßig online.

    - Und jemand hat sein Avatar gelöscht und den Text geändert. Wir waren das nicht.

    Admin- Zugriff hat er ggf. auch. Bzw. befürchte ich das. Auch befürchte ich, dass er hier mitliest, da er mehrere eigene Foren betreibt mit der gleichen Software.

    Wahrscheinlich hat er jedoch soviele Kenntnisse, dass er keine Hilfe mehr benötigt.

    Mir gehen langsam die Nerven baden. Vor ca. 1/2 Jahr hätten wir beinahe alles zu gemacht. Diese Person manipuliert und seit Jahren, hat das Team gegeneinander ausgespielt und wollte zuletzt, dass wir an ihn verkaufen. Das klingt wie ein Scherz, ist aber wirklich passiert.

    Ich weiß nicht mehr, was ich machen soll. Außer erstmal stillegen, damit nichts passiert.

  • Was ich weiß ist, dass der Avatar geändert wurde und der Titel, den man im Nutzernamen eintragen kann. Das wir Admins da nicht dran waren, weiß ich sicher.

    Außerdem steht die Person als online in der Liste. Auch wiederholt. Wenn sie nicht reinkommen würde, warum dann immer wieder einloggen?

    Er wird nach der letzten schrägen Aktion nie wieder freigeschaltet.

    Dazu ist auch zu sagen, dass er ein ehemaliger Admin von uns ist, der alle Zugangsdaten hatte und hingeschmissen hat, weil etwas nicht nach seinem Gusto lief. Also unschön auseinandergegangen. Grund für Streit gibt es daher leider. Wir haben zwar danach die Passwörter geändert, jedoch bin ich mir absolut sicher, dass er weiter reinkommen kann, wenn er wollen würde.

    Wie soll man das genau beweisen? Beweisen kann ich das nicht weiter. Ich gehe jedoch davon aus bzw. befürchte sehr stark, dass irgendwie Zugangsdaten kopiert und eine Lücke aufgemacht worden ist.

    Technisch verstehe ich das leider nicht, wie das gehen kann oder ob es gehen kann.

    Daher meine Frage.

    Seid Ihr der Meinung, dass das unmöglich ist und meine Befürchtungen daher unbegründet sind? Bwz. es eine andere Erklärung dafür geben muss?

    Lieben Dank

  • Der User ist immer noch regelmäßig online.

    Gesperrte Accounts sind in der Benutzer-Online-Liste zwar gelistet, haben aber keinen Zugriff mehr auf die Inhalte. Das wäre also erst mal normal.

    - Und jemand hat sein Avatar gelöscht und den Text geändert. Wir waren das nicht.

    Tendenziell eine übernommene Session oder ein Passwort, das er erraten hat - oder es war jemand aus dem Team - oder ihr habt mit der Sperrung den Avatar gesperrt oder ein Plugin, das hier irgendwie eingreift.

    Dazu ist auch zu sagen, dass er ein ehemaliger Admin von uns ist, der alle Zugangsdaten hatte und hingeschmissen hat, weil etwas nicht nach seinem Gusto lief. Also unschön auseinandergegangen. Grund für Streit gibt es daher leider. Wir haben zwar danach die Passwörter geändert, jedoch bin ich mir absolut sicher, dass er weiter reinkommen kann, wenn er wollen würde.

    Nochmal alle Passwörter vom Panel des Hosters, FTP und Datenbank ändern (am Besten in genau der Reihenfolge). Sicherstellen, dass nicht noch Zertifikate für Logins hinterlegt sind. Dann die Passwörter der Administrator-Accounts ändern, sicherstellen, dass kein anderer Benutzer irgendwelche Rechte hat. Dann noch im Dateisystem schauen, ob da etwas ist, was nicht dazu gehört.

  • Guten Tag,
    entschuldigt, dass ich mich hier einmische, aber das klingt ja sehr interessant..
    Nicoo, wenn du die Anleitung von T1N0 befolgt hast, wärst du dann so gut, hier noch einmal zu schreiben, ob es erfolgreich war?
    Auf Wunsch kann ich dir auch helfen, eventuelle Lücken zu schließen.

    MfG

  • Erfahrungsgemäß wird sich nicht einfach reingehackt. Denn hacken ist nicht so einfach wie man denkt. Der Benutzer hatte mal Adminrechte. Entweder er hat sich damals selbst eine Backdoor eingebaut oder ein anderer Admin war so dumm und nutzt auf der Seite das gleiche Passwort wie woanders. Da es hier aber keine echten Beweise, sondern maximal Vermutungen gibt, ist eh nichts sicher. Wenn ihr auf Nummer Sicher gehen wollt, kann ich da viel eher eine 2-Stufen-Authentisierung empfehlen oder zumindest das Hauptpasswort fürs ACP einstellen.

  • Wenn ihr auf Nummer Sicher gehen wollt, kann ich da viel eher eine 2-Stufen-Authentisierung empfehlen oder zumindest das Hauptpasswort fürs ACP einstellen.

    ohne vorher alles andere "gesichert" zu haben, hilft das auch Nichts, das kommt eben darauf an was er vorher alles erreichen konnte - Host-Account / FTP / SQL - sowas sollte man ohnehin niemandem mit Hauptzugriff freigeben, da es für die Administration der fertig installierten Seite, keinen Grund gibt das sich "Team"-Mitglieder regelmäßig in den Host-Account einloggen könnten

    der TE hat sich aber seit der Anleitung nicht mehr gemeldet, könnte also sein, das nun Ruhe ist

    Hunde die bellen, beißen nicht? -> nun, ich bin kein Hund. -> Ich belle nicht. - Ich Beiße! 8o

  • Das war ein Technik-Admin, der alles erreichen konnte, weil er die Daten bzw. das Update installieren sollte bzw. die technische Betreuung des Forums übernehmen sollte.

    Daher gab es außer den Betreibern nur diesen einen weiteren Admin.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!