mail mit new password

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Antworten
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

mail mit new password

Beitrag von dutch »

Hallo,

ich habe heute auf einen Schlag 5 mails bekommen, in denen mir ConPresso mitteilt, dass ich ein neues Password für die Anmeldung hätte. In den mails stehen dann auch jedesmal neue Passwörter drin.
Ich habe aber keine neuen Passwörter angefragt und kann mich auch immer noch mit meinem alten Passwort anmelden.

Ist das evtl. ein hack-Versuch?
Habe auch ctracker installiert aber der hat nichts gelogt...

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Passwortversand nicht deaktiviert?

Dann wirst Du damit leben müssen.

Dass Dein altes Passwort weiterhin funktioniert ist so gewollt, siehe
http://community.conpresso.de/viewtopic ... wort+reset
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Aber woher kommen die Mails?
Ist das ein unberechtigter Zugriff auf eine bestimmte Datei?

Das Komische ist, dass ich den Passwortversand zwar aktiviert habe, aber wenn jemand auf der Anmeldeseite versucht ein neues Passwort anzufragen, selbst mit einem existierender Benutzername, kommt bei mir nicts an, keine Mail und das alte Passwort funktioniert auch wie gehabt.

Ich nehme an, das ist nicht ganz der Sinn der Sache, oder? ;)

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Dass die Mails ankommen hast Du doch selbst geschrieben.
Sie kommen eben bei dem User an, für den ein neues Passwort angefragt wurde, Du als Admin solltest davon eher nichts mitbekommen, es sei denn jemand hat Deinen Usernamen rausgekriegt, der bei mir nie "Administrator" lautet. Der steht bei allen Hackern ganz oben auf der Brute Force Liste.

Früher war es so, dass Hacker für beliebige User neue Passwörter anfordern konnten und diese es dann erst mal zurückändern mussten.

Seit CPO 4.1.x wird zwar ein neues Passwort versendet, aber sowohl das alte als auch das neue sind gültig, so dass man nicht ausgesperrt wird und im Grunde diese Mails ignorieren kann insofern man nicht selbst eins angefordert hat.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Aha, jetzt verstehe ich, warum mein altes Passwort auch noch funktioniert.

Komisch war nur, dass ich keine mail bekommen habe, als ich zum Test selbst ein neues Passwort angefragt habe.
Das habe ich aber eben nochmal wiederholt und jetzt kam die mail an. Vielleicht ist die andere einfach noch unterwegs ;)

Da die 5 mails englisch waren und die letzte, die ich selbst angefragt hatte, auf Niederländisch (was auch die Systemeinstellung ist), schätze ich, das da wirklich jemand am Probieren ist...

Danke für die Hilfe/Auskünfte!

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ist das eigentlich eine 4.1.5 oder 4.1.6 oder ggf. noch eine Version, die XSS-Angriffe erlaubt?
Die Tatsache mit den englischen Mails irritiert mich doch sehr.
Gibt es da ggf. ein paar unkontrollierbare User?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Es ist eine 4.1.6 und es gibt nur einen User...

Ich habe jetzt zur Sicherheit einen neuen admin angelegt (neuer Name und Passwort) und auch den FTP Zugang geändert.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Hast Du auch mal mod_brute_force ausprobiert?
Ist immer ganz witzig zu sehen, wenn mal wieder hunderte Logins ins Leere laufen...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Nein noch nicht, werde ich aber mal ausprobieren 8)
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ist jetzt installiert.
Ich bin gespannt ;)

Danke!

Gruß,
dutch
Antworten