yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB 2.3.x » [WBB 2.3.x] Allg. Fragen und Probleme » Fragwürdig: User hat sich selbst gelöscht?

Fragwürdig: User hat sich selbst gelöscht?

NeLL
Hallo zusammen,

ich hätte da mal eine etwas "speziellere" Frage an euch, da ich sie mir im Moment einfach nicht beantworten kann.

Ich habe seit Anfang des Jahres ein WBB Lite 1.0.2 gehabt, im September wurde dann auf WBB 2.3.6 gewechselt. Weder heute, noch damals im Lite, hatte ich eine Funktion, die das eigenständige Löschen eines Accounts ermöglicht hat. Bis heute hat mich vor einigen Monaten lediglich ein User angeschrieben und mich darum gebeten - und das war zu 200 % nicht dieser, um den sich meine Frage nun dreht.

Keine große Story, nur ein Fall eines "Quasi-Spions". Mein Team hat das besonders die letzten Tage gut beobachtet und jetzt eben festgestellt, dass es diesen Account gar nicht mehr gibt. Und das ist wie gesagt nicht der oben erwähnte, den ich im Auftrag gelöscht habe. Ich habe in meinen Registrierungsbestätigungsmails nachgeguckt, das vom Team genannte, gemerkte Datum und der Username stimmen überein, dieses Mitglied hat sich wirklich bei uns registriert. Nun habe ich im ACP nochmal alle angemeldeten Nutzer gecheckt, sprich das Datum beim Punkt "Registriert am" - auch wenn ich weiß, dass es auch z. B. keine Funktion zum eigenständigen Ändern des Usernamens gibt. Aber, nichts. Der User ist in der Tat weg.

Daher jetzt nur mal ganz blöd gefragt: Wie konnte das passieren? Habt ihr irgendeine "Theorie"?

Vielen Dank im Voraus für jedes Statement!
Lordy20
Hallo
Wieviele Admins seid ihr denn? Vielleicht hat einer deiner Kollegen den User gelöscht.
Oder ihr habt jemanden, der Adminrechte hat und sich einen bösen Spass mit euch erlaubt.

Das solltest du als erstes überprüfen. Habt ihr zu leichte Passwörter oder Sicherheitslücken in eurem Board?


Grüße
Lordy20
NeLL
Nur ich bin der Admin, 3 andere sind - erst seit einer Woche - Moderatoren mit Themenverschiebungsrechten.
onesworld
ACP mit .htaccess geschützt?
register_globals am Server auf off?

Wenn nicht, dann ändern.
NeLL
Ersteres trifft (noch) nicht zu, letzteres ist leider völlig unbekanntes Gebiet für mich.
onesworld
Dann auf jeden Fall ersteres gleich erledigen.

Zum zweiten:

Erstelle eine phpinfo.php mit dem Inhalt:

php: 
1:
2:
3:

<?PHP
phpinfo ();
?>


Lade sie in das Hauptverzeichis und rufe sie im Browser auf. Was steht bei register_globals?

Wenn da on steht, dann entweder in der php.ini umstellen oder, wenn Du keine Zugriff auf diese hast (Webspace), dann eine .htaccess in das Hauptverzeichnis legen - mit folgendem Inhalt:

code: 
1:

php_flag register_globals off


phpinfo.php erneut aufrufen und prüfen, ob sich der Eintrag geändert hat.

phpinfo.php wieder löschen.
NeLL
Vielen, vielen Dank!

Habe die phpinfo.php erstellt und aufgerufen - register_globals sind bereits auf Off.

.htaccess habe ich nun auch auf das ACP gelegt, gemeinsam mit einigen anderen Einstellungen aus dem Sicherheitspaket von rellek.

Abgesehen davon, dass ich mein Passwort als "sehr sicher" und mehr als persönlich empfinde, komm' ich wirklich nicht vom Grübeln über diese Angelgenheit hinweg. Hmpf. unglücklich
onesworld
Ändere es trotzdem. Und verwende Dein Adminpasswort keinesfalls irgendwo anders (andere Foren, etc.). Das betrifft natürlich jeden mit Zugang zum ACP, aber so wie ich gelesen habe, bist Du ja die einzige Admine.
Forensoftware: Burning Board, entwickelt von WoltLab GmbH