[phpBB2] Frage zum Administrationslogg unter Sicherheit

Hallo liebes Team,

ich hätte eine Frage bezüglich eines, mir merkwürdig vorkommendens, Sicherheitsprotokolls in meinem Administrationsbereich unter dem Reiter "Sicherheit".
Ich hatte gestern mal durchgeschaut welcher meiner Admins, was am Forum gemacht hat und dabei ist mir was komisches aufgefallen was ich nicht ganz verstehe.
Da ich das ganze jetzt nicht per Screenshoot hochladen möchte, da dort Name verzeichnet ist, kopiere ich nun einfach mal die merkwürdigen Loggs und füge sie hier ohne Name ein.
(Natürlich kann ich einem Teammiltglied des Hilfeforums auch gerne den Screen per PN schicken)

Diese Aktionen wurden an einem Tag ausgeführt als ich im Forum nicht anwesned war!

Fr 30 Jan 2015 - 10:38 Name 46.23.66.107 Versuchte Veränderung des Forengründerprofils  
Fr 30 Jan 2015 - 10:38 Name 46.23.66.107 Veränderung eines Nutzers Update der Befugnisse von  
Fr 30 Jan 2015 - 10:38 Name 46.23.66.107 Löschung eines Administrators Der Administrator wurde zu einem Nutzer degradiert
Fr 30 Jan 2015 - 10:36 Name 46.23.66.107 Betreten des Administrations-Bereichs  
Fr 30 Jan 2015 - 10:29 Name 93.232.60.180 Betreten des Administrations-Bereichs

Was ich jetzt nicht ganz an der Sache verstehe ist folgendes:

1.) Der Sever der IP Adresse mit der sich mein CoAdmin das erste mal (10:29 uhr) eingeloggt hat, steht in NRW, also dort wo mein CoAdmin auch wohnt! Mich wundert das sich dann nochmal um 10:36 Uhr mit einer ganz anderen IP Adresse eingeloogt wird, wo der Sever in United Kingdom steht! Sieht für mich nach IP Blocker aus, CyberGhost beispielsweise!

2.) Welcher Admin wurde gelöscht? Alle meine Admins sind noch da! Und was bedeutet der Satz " Der Administrator wurde zu einem Nutzer degradiert"? Ist mir nicht ganz schlüssig was dort versucht oder gemacht wurde!

3.) Nachdem dieser "mir unbekannte" Admin zum Nutzer degradiert wurde, steht ihm Logg: Veränderung eines Nutzers "Update der Befugnisse von"! Von was, steht aber nicht da! Es endet nach "von"! Was hat das zu bedeuten?

Was zum Schluss versucht wurde ist mir vollkommen klar und wird nachher in einer Teambesprechung noch Angeprochen! Doch die anderen 3 Fragen bleiben offen!

Wäre wirklich lieb wenn mir da jemand weiterhelfen könnte?

Liebe Grüße
Pru

Herzlich willkommen bei , @Prudence !

Prudence schrieb:1.) Der Sever der IP Adresse mit der sich mein CoAdmin das erste mal (10:29 uhr) eingeloggt hat, steht in NRW, also dort wo mein CoAdmin auch wohnt! Mich wundert das sich dann nochmal um 10:36 Uhr mit einer ganz anderen IP Adresse eingeloogt wird, wo der Sever in United Kingdom steht! Sieht für mich nach IP Blocker aus, CyberGhost beispielsweise!

Ja, das wäre durchaus möglich. Wir erfassen nur die IP - interpretieren musst du das selber, aber Möglichkeiten sind durchaus, dass ein Proxy verwendet wurde oder sich (ev. mit Proxy) ein unbefugter User Zutritt verschaffen konnte, der an das Passwort des Admins gekommen ist.

Prudence schrieb:2.) Welcher Admin wurde gelöscht? Alle meine Admins sind noch da! Und was bedeutet der Satz " Der Administrator wurde zu einem Nutzer degradiert"? Ist mir nicht ganz schlüssig was dort versucht oder gemacht wurde!

3.) Nachdem dieser "mir unbekannte" Admin zum Nutzer degradiert wurde, steht ihm Logg: Veränderung eines Nutzers "Update der Befugnisse von"! Von was, steht aber nicht da! Es endet nach "von"! Was hat das zu bedeuten?

Punkt 2 + 3 bedeuten zusammengefasst: Ein Admin wurde aus der Admingruppe genommen ("zum Nutzer degradiert") und danach wieder in die Admingruppe aufgenommen ("Update der Befugnisse"). Was das bezwecken sollte, müsstest du bitte selbst bei dem Admin anfragen, der die beiden Aktionen vorgenommen hat.
Zuletzt wurde noch versucht, das Forengründerprofil zu ändern. Den Grund dafür konntest du ja anscheinend schon abklären.

Liebe Grüße
Günther

Hallo Günter,

erstmal danke für deine super schnelle Antwort

Ich habe meinen CoAdmin schon darauf angesprochen und dieser behauptet angeblich nur mit dem orangenfarbenen Teil also: "Fr 30 Jan 2015 - 10:38 Name 46.23.66.107 Veränderung eines Nutzers Update der Befugnisse von" was zutun zu haben. Jedoch sieht es für mich eindeutig so aus als hätte mein CoAdmin versucht in mein Gründerprofil zu gelangen, was ja nicht geht!

Du haste geschrieben:

Günter schrieb:Punkt 2 + 3 bedeuten zusammengefasst: Ein Admin wurde aus der Admingruppe genommen ("zum Nutzer degradiert") und danach wieder in die Admingruppe aufgenommen ("Update der Befugnisse"). Was das bezwecken sollte, müsstest du bitte selbst bei dem Admin anfragen, der die beiden Aktionen vorgenommen hat.

Nun stellt sich mit die Frage welshalb dort aber kein Name des Nuterzs aufgeführt ist, welcher aus der Admingruppe genommen und wieder hinzugefügt wurde?
Denn ich habe gestern, der besagten Person, die Adminrechte weggenommen und habe nun folgenden Logg drin zu stehen:

Mo 9 Feb 2015 - 23:48 Maida Imogen Dunn (Ich) 37.24.156.107 Veränderungen an einer Gruppe Name (des CoAdmins) wurde aus der Admins Gruppe entfernt

Weshalb wurde bei mir der Name aufgeführt, aber beim CoAdmin nicht als er diese Tätigkeit ausgeführt hat?

Grüße

Prudence schrieb:Ich habe meinen CoAdmin schon darauf angesprochen und dieser behauptet angeblich nur mit dem orangenfarbenen Teil also: "Fr 30 Jan 2015 - 10:38 Name 46.23.66.107 Veränderung eines Nutzers Update der Befugnisse von" was zutun zu haben. Jedoch sieht es für mich eindeutig so aus als hätte mein CoAdmin versucht in mein Gründerprofil zu gelangen, was ja nicht geht!

Mit seinem Account wurde eindeutig versucht, im Adminbereich dein Gründerprofil zu ändern. Da dies aus Sicherheitsgründen nicht möglich ist, wurde ihm nur eine Fehlermeldung angezeigt und dieser Sicherheitslog vorgenommen: Versuchte Veränderung des Forengründerprofils
Du weißt allerdings nicht, was er konkret vorhatte: Im schlimmsten Fall wollte er dein Passwort ändern, um das Forum an sich zu reißen. Im besten Fall wollte er nur irgendetwas Harmloses an deinem Profil ändern.
Leugnet er allerdings, überhaupt diese Aktion vorgenommen zu haben, hast du wohl ein Sicherheitsproblem: Entweder kannst du deinem Admin nicht mehr vertrauen oder ein Dritter konnte an seine Logindaten gelangen. Ich wäre an deiner Stelle vorsichtig und würde mir gut überlegen, ob du diesem User die Adminrechte anvertraust...


Deine andere Frage kann ich dir einfach beantworten:

• Veränderungen an einer Gruppe: USER wurde der Admins Gruppe hinzufügt / wurde aus der Admins Gruppe entfernt
  Der Userstatus wurde geändert, indem der User in die Admingruppe eingefügt bzw. ihr entnommen wurde.
  
  
• Löschung eines Administrators: Der Administrator wurde zu einem Nutzer degradiert
  und
  Veränderung eines Nutzers: Update der Befugnisse von
  Der Userstatus wurde geändert, indem das Profil des Users im Adminbereich bearbeitet wurde:
  
  In diesem Fall zeigt das System im Sicherheitslog den Benutzernamen des beförderten/degradierten Users nicht an. Das ist normal so.

Das sollte klären, weshalb sich die Sicherheitslogs unterscheiden?


Für dich bedeutet das: Alle Vorgänge wurden korrekt im Sicherheitslog verzeichnet und sind zu 100% nachvollziehbar.
Mit dem Account eines Admins wurde ein Admin zuerst degradiert, dann wieder zum Admin ernannt und zuletzt wurde eine Änderung des Gründerprofils versucht. Die IP deutet darüber hinaus auf einem Verschleierungsversuch hin - entweder durch den Admin selbst oder durch eine Drittperson, die an sein Passwort gelangt ist.
Ich persönlich würde das als ernstes Sicherheitsproblem einstufen und dem Admin seine Befugnisse entziehen, falls er keine glaubhafte Erklärung dafür nennen kann.

Danke Günter,

jetzt habe ich auch verstanden weshalb das so anders ausschaut.

Ich haben dem User bereits die Adminrechte entzogen und werde ihn nachher, gemeinsam mit meinen anderen beiden Teammitgliedern, darauf ansprechen und mir eine Erklärung hohlen.

Ich danke dir für die Antworten und für mich wäre somit alles geklärt

Thema kann geschlossen werden

Liebe Grüße

Prudence schrieb:Ich haben dem User bereits die Adminrechte entzogen und werde ihn nachher, gemeinsam mit meinen anderen beiden Teammitgliedern, darauf ansprechen und mir eine Erklärung hohlen.

Das klingt nach einem sinnvollen Vorgehen.

Freut mich, dass ich Licht in die Sache bringen konnte. Viel Spaß mit deinem Forum!
-closed-