ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
mail mit new password

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
dutch
ConPresso-Experte


Anmeldungsdatum: 04.07.2007
Beiträge: 537

BeitragVerfasst am: 11.01.2015 13:49    Titel: mail mit new password Antworten mit Zitat

Hallo,

ich habe heute auf einen Schlag 5 mails bekommen, in denen mir ConPresso mitteilt, dass ich ein neues Password für die Anmeldung hätte. In den mails stehen dann auch jedesmal neue Passwörter drin.
Ich habe aber keine neuen Passwörter angefragt und kann mich auch immer noch mit meinem alten Passwort anmelden.

Ist das evtl. ein hack-Versuch?
Habe auch ctracker installiert aber der hat nichts gelogt...

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 11.01.2015 14:31    Titel: Antworten mit Zitat

Passwortversand nicht deaktiviert?

Dann wirst Du damit leben müssen.

Dass Dein altes Passwort weiterhin funktioniert ist so gewollt, siehe
http://community.conpresso.de/viewtopic.php?t=4498&lighter=passwort+reset

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Experte


Anmeldungsdatum: 04.07.2007
Beiträge: 537

BeitragVerfasst am: 11.01.2015 14:55    Titel: Antworten mit Zitat

Aber woher kommen die Mails?
Ist das ein unberechtigter Zugriff auf eine bestimmte Datei?

Das Komische ist, dass ich den Passwortversand zwar aktiviert habe, aber wenn jemand auf der Anmeldeseite versucht ein neues Passwort anzufragen, selbst mit einem existierender Benutzername, kommt bei mir nicts an, keine Mail und das alte Passwort funktioniert auch wie gehabt.

Ich nehme an, das ist nicht ganz der Sinn der Sache, oder? Wink

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 11.01.2015 15:25    Titel: Antworten mit Zitat

Dass die Mails ankommen hast Du doch selbst geschrieben.
Sie kommen eben bei dem User an, für den ein neues Passwort angefragt wurde, Du als Admin solltest davon eher nichts mitbekommen, es sei denn jemand hat Deinen Usernamen rausgekriegt, der bei mir nie "Administrator" lautet. Der steht bei allen Hackern ganz oben auf der Brute Force Liste.

Früher war es so, dass Hacker für beliebige User neue Passwörter anfordern konnten und diese es dann erst mal zurückändern mussten.

Seit CPO 4.1.x wird zwar ein neues Passwort versendet, aber sowohl das alte als auch das neue sind gültig, so dass man nicht ausgesperrt wird und im Grunde diese Mails ignorieren kann insofern man nicht selbst eins angefordert hat.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Experte


Anmeldungsdatum: 04.07.2007
Beiträge: 537

BeitragVerfasst am: 11.01.2015 15:40    Titel: Antworten mit Zitat

Aha, jetzt verstehe ich, warum mein altes Passwort auch noch funktioniert.

Komisch war nur, dass ich keine mail bekommen habe, als ich zum Test selbst ein neues Passwort angefragt habe.
Das habe ich aber eben nochmal wiederholt und jetzt kam die mail an. Vielleicht ist die andere einfach noch unterwegs Wink

Da die 5 mails englisch waren und die letzte, die ich selbst angefragt hatte, auf Niederländisch (was auch die Systemeinstellung ist), schätze ich, das da wirklich jemand am Probieren ist...

Danke für die Hilfe/Auskünfte!

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 11.01.2015 15:56    Titel: Antworten mit Zitat

Ist das eigentlich eine 4.1.5 oder 4.1.6 oder ggf. noch eine Version, die XSS-Angriffe erlaubt?
Die Tatsache mit den englischen Mails irritiert mich doch sehr.
Gibt es da ggf. ein paar unkontrollierbare User?

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Experte


Anmeldungsdatum: 04.07.2007
Beiträge: 537

BeitragVerfasst am: 11.01.2015 16:03    Titel: Antworten mit Zitat

Es ist eine 4.1.6 und es gibt nur einen User...

Ich habe jetzt zur Sicherheit einen neuen admin angelegt (neuer Name und Passwort) und auch den FTP Zugang geändert.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 11.01.2015 16:08    Titel: Antworten mit Zitat

Hast Du auch mal mod_brute_force ausprobiert?
Ist immer ganz witzig zu sehen, wenn mal wieder hunderte Logins ins Leere laufen...

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Experte


Anmeldungsdatum: 04.07.2007
Beiträge: 537

BeitragVerfasst am: 11.01.2015 16:12    Titel: Antworten mit Zitat

Nein noch nicht, werde ich aber mal ausprobieren Cool
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
dutch
ConPresso-Experte


Anmeldungsdatum: 04.07.2007
Beiträge: 537

BeitragVerfasst am: 11.01.2015 16:31    Titel: Antworten mit Zitat

Ist jetzt installiert.
Ich bin gespannt Wink

Danke!

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen