Lieber Besucher, herzlich willkommen bei: Insektenfotos.de-Forum.
Falls dies dein erster Besuch auf dieser Seite ist, lies bitte die Hilfe durch. Dort wird dir die Bedienung dieser Seite näher erläutert.
Darüber hinaus solltest du dich registrieren, um alle Funktionen dieser Seite nutzen zu können.
Benutze das Registrierungsformular, um dich zu registrieren oder informiere dich ausführlich über den Registrierungsvorgang.
Falls du dich bereits zu einem früheren Zeitpunkt registriert hast, kannst du dich hier anmelden.
Vorübergehende Deaktivierung des Spinnenforums
Hallo Spinneninteressierte,
seit Samstag wurde das Forum mit Spam geflutet.
Da die Ursache nicht bekannt und nicht behoben wurde, sah ich mich heute gezwungen, das Board vorübergehend zu deaktivieren um sicherzustellen, dass die Daten unserer Mitglieder geschützt sind.
Sobald Experten eingeschaltet werden, die die Sicherheitslücke schließen, kann es weitergehen.
Bitte keine Nachfragen über das Kontaktformular des Spinnenforums, mir fehlen Zeit und Energie um individuell zu antworten.
Es tut mir sehr leid, aber ich musste die Notbremse ziehen und konnte das wegen der Dringlichkeit nicht abstimmen. Natürlich kann das Forum jederzeit von Admins aktiviert werden, ich sehe aber bei der Datensicherheit keinen Spielraum.
Liebe Grüße
Jutta
Hallo Jutta,
nur eine Frage/Anregung: gibt es für die Forensoftware keine Antispam-Addons? Evtl. mal im Forum zur Forensoftware nachfragen (falls es sowas gibt). Zu WoltLab BBS (unsere Software) gibt es z.B. einen Zusatz "StopForumSpam", welcher anhand von Online-Spammer-Listen das Forum zuverlässig vor Spammern schützt.
Alles, was trotzdem durchkommt, blockiere ich direkt in der Firewall des Root-Servers (meist ganze IP-Bereiche). Das hängt natürlich davon ab, ob ihr auf dem Serverspace Root-Rechte habt.
Hallo Jürgen,
vielen Dank für deine Ideen, aber da ich völliger Softwarelaie bin, werde ich nicht versuchen, die Sicherheitslücke zu identifizieren und zu schließen.
Ich bin Admin geworden um dort die Userbetreuung zu übernehmen, seither kümmere ich mich um Registrierung und Kommunikation. Wenn es mir beim Aufbau des neuen Forums gelang manche anderen Bereiche zu regeln, ist das eher dem Glück als meinem Können geschuldet.
Beim Schutz der Daten unserer Mitglieder werde ich kein Risiko eingehen. Darum muss sich ein Experte kümmern.
Entweder findet die arages einen versierten Forenadministrator oder das Board bleibt deaktiviert.
Liebe Grüße
Jutta
Hallo Jutta,
Beim Schutz der Daten unserer Mitglieder werde ich kein Risiko eingehen.
ich dachte, es wären nur Spammer? Die sind ärgerlich, weil sie das Forum mit Müll fluten, aber per se kein höheres Sicherheitsrisiko als jede(r), der/die Postings absetzen kann.
Hallo Jürgen,
nein, es waren nicht gewöhnliche Spammer, die könnte man ja sperren, wenn es nicht zu viele sind.
Wir haben verschiedene Gruppen, denen jeweils bestimmte Berechtigungen zugeordnet sind. Admins, Mods, Registrierte Benutzer und Gäste.
Gäste haben nur lesenden Zugang. Diese Einschränkungen wurden alle umgangen. Jeder konnte ohne Registrierung posten und auch der Wortfilter wurde irgendwie umgangen. Jetzt war auch für jeden Gast ein Zugriff auf die Mitgliederliste mit Klarnamen und Emailadressen möglich, zudem konnte gezielt nach Beiträgen Einzelner gesucht werden. Als ich das erfuhr, habe ich umgehend das Board deaktiviert.
Vermutlich habe ich das Wort Spammer auch falsch gewählt, wenn jemand Einschränkungen und Filter umgehen kann, muss man ihn eher Hacker nennen.
Bösartiges Pack passt noch besser...
Liebe Grüße
Jutta
wenn jemand Einschränkungen und Filter umgehen kann, muss man ihn eher Hacker nennen.
Bösartiges Pack passt noch besser...
Da hast du wohl recht...
Hallo, T think that the spider forum uses that awful, poorly designed PHPBB software. I think that PHPBB actually still uses mysqli instead of pdo for db connectivity. A complete rewrite would be necessary in order to prevent what appears to be sql injection attacks (along with uri get parameter hacks). I, for one, would not try to recode PHPBB. It is a convoluted mess of amateur code. pdo is necessary to thwart sql injections. I also think that PHPBB does not use CSRF tokens. However, it seems to me that the spider forum does not offer secure connections (https). I have https everywhere enabled in my browser and i get a notice that the spider forum is not using secure protocol.
This forum, on the other hand, uses WoltLab forum software. I believe that WoltLab uses pdo. Jurgen also has secure connections (https).
I recommend switching to a more secure forum software package but the db migration could be a painstaking process.
summary: the hacking, spamming seems to be sql injection, uri get parameter tampering and possibly spoofing.
sorry that the forum is down. I used to go there but i got direspected a few times and left that forum. But it seems like a nice place for people to get ids on our lovely spider friends. I also like spiders.
Good luck and hopefully the forum can be upgraded to better security practices.
Best wishes,
John
Hello John,
thank you so much for taking the time to write such a detailed analysis!
Would it be ok, if I copy those passages, that refer to the software problem, then I could send them to somebody who understands the content better, than I do?
I understand very well, why you left the forum, that is exactly the reason, why I got engaged. I can guarantee, that all the communication in the forum is done in a respectful way. Neither the new moderator (Simeon), nor I (admin) ever use an inadequate tone in the forum.. All communication between users and admin takes place in Emails or PNs. There are no unpleasant or disrespecting answers anymore and this has been the case for more than a year now.
As M., the experienced admin, who created the forum and put his time and energy in it for about 20 years, stepped back to concentrate on his work, we (i.e. I) have tried to keep it going, but without somebody in charge of the software, the forum will not be reactivated.
If we finally find an admin, that can handle the software-side and the forum can be recreated, then you (and many others) need to give it another chance.
Thanks again!
Cheers,
Jutta
Thank you for the diagnosis and recommendations John! How are we going to implement it, is another topic...
And sorry to hear about your past experiences with our forum...
Simeon
Spinnen; auch ein wenig Weberknechte, Wanzen, Panorpa.
Servus,
hier wäre ein PDF-Artikel, der sich mit den Sicherheitsproblemen von PHPBB3 befasst und auch einige Lösungsmöglichkeiten anbietet:
PHPBB3 BULLETIN BOARD SECURITY TESTING. Wahrscheinlich kennen eure Spezialisten das alles schon, aber für alle Fälle
.
Grüße, Uli
hmm. I typed a response but it didn't get posted. Oh well, i will retype my answer:
Dear Simeon, I remember you from the forum and you were always respectful and helpful. I remember that you were studying Philodromus back then.
I am not interested in naming names of the individuals that made me feel unwelcome. I do not maintain negative feelings toward the community. I will gladly rejoin the forum and contribute whenever possible.
Meantime, i want to install phpbb on my work laptop to investigate further. Perhaps changing to pdo is easier than i think. I will look at it but it could be a bit time consuming. I cannot specify how long it will take to examine the code and make necessary changes. However, i promise (versprochen) to try to change mysqli to pdo and get it working securely. Then, perhaps, the site will be much more secure. I will also have to investigate how the code handles GET parameters. Perhaps security code also needs added here.
Anyway, i will also try to help with this forum while you search for other php programmers.
Best wishes,
John
Two (or three) positive statements from my side
- während das mit dem Spinnenforum eine ärgerliche Sache ist (danke Jutta für dein Engagement!), und ich mich nach der Migration noch nicht neu angemeldet habe, möchte ich doch anmerken, dass sich das Spinnenforum meiner Erfahrung nach zum Positiven entwickelt hat, was die Umgangsformen angeht (hab da selber früher problematische 'Begegnungen' gehabt, und dies auch von anderen Benutzern gehört). In letzter Zeit hat es mir wieder Spaß gemacht, dort Funde anzufragen (besonder Dank auch an Simeon!)
- more importantly: I am so glad to see John here in the forum again! Welcome back!!
Ich selber war längere Zeit abstinent hier, das hatte aber Zeitmanagement-Gründe (und die meisten Bestimmungen werden mittlerweile halt über iNaturalist abgehandelt)
Hoffe das Arages-Forum ist bald wieder benutzbar...
Liebe Grüße, Carnifex
---
Alle meine Beobachtungen sollten auch auf >>
iNaturalist zu finden sein.
more importantly: I am so glad to see John here in the forum again! Welcome back!!
Hello and Thank you for the welcome message, Carnifex
I have been away for quite some time now due to surgeries. I had three operations in four years. two on my left shoulder and one on my right elbow. I am right handed so i couldn't use my computer very well with my left hand. I am doing better now and becoming more active in the forums. I hope that you are doing well and i hope that you have found some interesting animal friends along the way
Hallo,
Frage zum aktuellen Stand des ARAGES-Forums:
sieht so aus als könne man da nicht mehr mitlesen, wenn man nicht registriert ist-stimmt das so?
Wenn ich die "aktiven Themen" anklicke kommt dies: Es wurden keine passenden Ergebnisse gefunden.
oder ist es zur Zeit wieder ausser Betrieb?
Fand das immer recht wertvoll mitlesen zu können.
VG Maria
Hallo Maria,
nein, das Forum läuft und Bestimmungsanfragen werden regelmäßig beantwortet etc.
Vorübergehend ist der Zugang für Gäste beschränkt, da es nicht möglich ist, Gästen lesenden Zugang zu erlauben und gleichzeitig das Schreiben von Beiträgen zu verhindern. Diese Einstellungen haben offensichtlich einen Bug, das sollte nach dem Update behoben sein.
Es zeichnen sich einige Entwicklungen ab, die technischen Probleme sollten bald dauerhaft der Vergangenheit angehören.
Ich melde mich, sobald ich konkret werden kann.
Vielen Dank für das Interesse am Forum, bitte dranbleiben - es lohnt sich
Liebe Grüße
Jutta
Hallo Jutta,
ich habe vor rund 10 Tagen um neuerliche Mitgliedschaft angesucht, aber noch keine Antwort erhalten..ist mein Antrag nicht eingegangen?
Vg Maria
Hallo Maria,
welchen Kontaktweg hast du gewählt? Ich habe keine neue Registrierung unter deinem Namen gesehen, die ich hätte freischalten können und auch keine Email über das Kontaktformular von dir erhalten. Bitte gehe auf forum.arages.de (nicht ins alte Forum, das jetzt unter forum1.arages.de zu finden ist.) und registriere dich dort mit neuem (längerem) Passwort im Registrierungsformular. Ich schalte dich dann frei und du kannst wieder aktiv schreiben.
Bis bald im Spinnenforum!
Jutta