User Account macht sich selbständig

  • Hab ein großes Problem. Unser Stammuser mit den meisten Beiträgen hat ein massives Problem. Seit Tagen konnte er immer wieder nicht richtig das Forum aufrufen. Habe dann im ACP gefunden, dass er bei der Foren-Berechtigung auf "keinen Zutritt" gestellt war. Der Nutzer ist ansonsten in normaler Gruppe drin, andere Nutzer haben dieses Problem nicht. Ich habe dann all seine Rechte auf "Grünen Hacken" gesetzt. Dann habe ich seinen Account gecheckt und da kam wieder die Meldung keine "Zugriffsrechte" und es ploppte eine Aktivierung auf.

    Wenige Minuten später war der Account des Users als Gast markiert. Scheinbar nicht komplett gelöscht, da seine Bewertungen aus meinem Filmbewertungsplugin noch drin sind.

    Wollte dann den User wieder herstellen mit folgende Codes:

    UPDATE wbb1_post SET userID = 134 WHERE username = 'tom bomb';

    UPDATE wbb1_thread SET userID = 134 WHERE username = 'tom bomb';

    Dann kam eine Fehlermeldung im SQL:

    Cannot add or update a child row: a foreign key constraint fails (`???`.`wbb1_post`, CONSTRAINT `abbc0439063d333ac79065f1379ac5ef_fk` FOREIGN KEY (`userID`) REFERENCES `wcf1_user` (`userID`) ON DELETE SET NULL)


    Fehler bei der Anfrage:

    UPDATE wbb1_post SET userID = 134 WHERE username = 'tom bomb';


    Für die ??? ist die Datenbankbezeichung drin. Habe meine anderen Adimins runtergestuft, mein Passwort geändert und neue Paswörter in der Datenbank vergeben.

    Ich bin jetzt erstmal am Ende und weis nicht wo das Problem dieses einen Account zu finden ist.

  • ähm und jetzt, wie soll ich den benutzer wieder in gang setzen? Sein name ist da, bewertungen sind da, ich dachte man erstellt damit die ID wieder oder muss ich eine bestehende id mit dem code überschreiben, dass der funktioniert.

    es hat sich herausgestellt, das wohl ein admin account gehackt wurde, wohl schon seit tagen dann.. so richtig schaden wurde nicht gemacht sondern sehr unauffälliges, mal ein like gesetzt bei dem admin account und bei einem account ab und zu im acp-profil was umgestellt.

    Was kann das für ein Type sein, ein richtiger hacker ist doch interessiert das forum lahm zu legen oder was zu verlinken oder spam zu setzen? schadecode finde ich nicht, scheinbar keinen zugriff auf dem ftp

  • ich dachte man erstellt damit die ID wieder oder muss ich eine bestehende id mit dem code überschreiben, dass der funktioniert.

    UPDATE wbb1_post SET userID = 134 WHERE username = 'tom bomb';

    UPDATE wbb1_thread SET userID = 134 WHERE username = 'tom bomb';

    Damit überschreibst du ALLE bereits hinterlegten userID's mit der ID 134, sofern die WHERE-Bedingung (Username = "tom bomb") zutrifft.

    Wenn man keine Erfahrung mit SQL hat, sollte man davon absehen, einfach so irgendwelche Statements auszuführen, da du damit ordentlich Schaden anrichten kannst. ;)

    ähm und jetzt, wie soll ich den benutzer wieder in gang setzen?

    Backup einspielen? User soll sich neu registrieren? Such dir was aus.

    es hat sich herausgestellt, das wohl ein admin account gehackt wurde

    Weil überall das gleiche Passwort verwendet wurde?

  • Damit überschreibst du ALLE bereits hinterlegten userID's mit der ID 134, sofern die WHERE-Bedingung (Username = "tom bomb") zutrifft.


    Wenn man keine Erfahrung mit SQL hat, sollte man davon absehen, einfach so irgendwelche Statements auszuführen, da du damit ordentlich Schaden anrichten kannst. ;)

    damit habe ich damals 2 user wieder hergestellt, die gast waren. ich habe aber eine besehende id genommen so weit ich weis. den code habe ich hier aus dem forum damals bekommen um accounts wieder herzustellen, also die id 134 muss es dann nur geben damit der code funktioniert. der überschreibt nicht alle user. der code soll halt die id mit dem namen überschrieben, es gibt ja nicht mehr als einen user der tom bomb heisst ^^

    ich werd dann mal einen toten account die id 134 geben, den account denn mit dem code überschreiben, damit sollte es gehen. datenbank habe ich ja abgesichert vorher

  • hatte das schon lange nicht mehr gemacht und den user wieder hergestellt samt beiträge und filmbewertung

    habe bei bestehenden 0post account den Namen "Tom Bomb" gegeben und seine email eingetragen, dann den code von oben genommen, die neue id musste ich nehmen, seine alte wollte mit dem code nicht mehr.. kommt ne fehlermeldung

    verstehe nicht, warum man user keine neue id geben kann, die nicht besetzt ist

  • Ein konkretes durch normalsterbliche Menschen lesbares Protokoll der im ACP durchgeführten Aktionen gibt es nach wie vor nicht. Du kannst Dir lediglich per Klick auf die Sitzung anschauen, welche Seiten vom jeweiligen Benutzer aufgerufen wurden.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

  • es hat sich herausgestellt, das wohl ein admin account gehackt wurde, wohl schon seit tagen dann.. so richtig schaden wurde nicht gemacht sondern sehr unauffälliges, mal ein like gesetzt bei dem admin account und bei einem account ab und zu im acp-profil was umgestellt.

    Du hast den Vorfall dokumentiert? Dann solltest du jetzt drüber nachdenken, die Aufsichtsbehörde zu informieren und Strafanzeige zu stellen, und das Ergebnis deiner Überlegungen ebenfalls dokumentieren. Du hast ein Backup? Dann könntest du einen sauberen Stand wiederherstellen. Aber bitte nicht einfach blindlings losbasteln. Deine Benutzer solltest du gegebenenfalls auch informieren.

  • Du hast ein Backup? Dann könntest du einen sauberen Stand wiederherstellen. Aber bitte nicht einfach blindlings losbasteln. Deine Benutzer solltest du gegebenenfalls auch informieren.

    Eher nicht, da der TE nicht darauf eingegangen ist.

    Gruß Markus

    WoltLab Suite 5.5.20

  • Eher nicht, da der TE nicht darauf eingegangen ist.

    Hab genug Backups. Momentan ist ruhe, ausser das jemand versucht sich massenweise im ACP Anzumelden mit Fehlschläge. Hatte ganzen Passwörter geändert, dass hatte damals auch geholfen. Backup neu aufsetzen das dauert lange und ich weis nicht was das bringen soll bei solch einen Problem. In den ACP-Sitzung haben wir festgestellt, dass ein Admin Account geknackt wurde. Scheinbar aber kein richtiger Hacker, Datenbank und FTP nichts auffälliges. Bisher haben die Hacker was ganz anderes gemacht wie Seite umleiten, Schadscode Platzieren, Massenspam verursachen.... All das traf nicht zu bisher. So clever wie ich das bisher kenne, war der diesmal scheinber nicht oder er lässt sich extrem viel Zeit bei seiner Arbeit. ^^ Der hat nichts auffälliges gemacht als gut 2 Wochen einen einzigen User zu ärgern.

  • In den ACP-Sitzung haben wir festgestellt, dass ein Admin Account geknackt wurde. Scheinbar aber kein richtiger Hacker, Datenbank und FTP nichts auffälliges. Bisher haben die Hacker was ganz anderes gemacht wie Seite umleiten, Schadscode Platzieren, Massenspam verursachen.... All das traf nicht zu bisher. So clever wie ich da sbishe rkenne, war der sieesmal scheinber nicht oder er lässt sich extrem viel Zeit bei seiner Arbeit.

    Bisher. Das heißt ihr hattet schon öfter solche Probleme!? Bin irgendwie grad leicht fassungslos. Zieh die Notbremse bzw. den Stromstecker! Vergib neue sichere Passwörter, Länge gerne jenseits der 25 Stellen, und verwende die jeweils nur einmal, heißt: ACP, FTP, SQL haben jeweils ein eigenes Passwort. =O

  • Die rechtlichen Konsequenzen nicht zu vergessen ;)

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Die rechtlichen Konsequenzen nicht zu vergessen ;)

    Bisher. Das heißt ihr hattet schon öfter solche Probleme!? Bin irgendwie grad leicht fassungslos. Zieh die Notbremse bzw. den Stromstecker! Vergib neue sichere Passwörter, Länge gerne jenseits der 25 Stellen, und verwende die jeweils nur einmal, heißt: ACP, FTP, SQL haben jeweils ein eigenes Passwort. =O

    Mich schockt es umso mehr.... Das das noch nicht passiert ist!

    Projekte:

    XIVDATA - Eorzea Database

    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!