Befürchtung, dass mein ocPortal aufgebrochen wurde!!

Teile den Blogpost mit deinen Freunden 🙂

Hallo liebe Leser und Freunde des Feedbacks! Es gibt sehr schlechte Nachrichten und zwar befürchte ich, dass mein 1 Monat junges ocPortal aufgebrochen wurde.

Es war massenhaft Spam in den Kommentaren durchgegangen und es wurde auch im Namen meiner Kommentierer kommentiert. Mehr noch, es wurden im Forum Themen vom System erstellt. Ich frage mich wie das passieren konnte, dass jemand im System war. Ich habe sichere Passwörter.

Ich wollte ja das Kommentieren erleichtern und habe das Captcha deaktiviert und das war eine Fehlentscheidung. Ohne Captcha kann man ocPortal nicht betreiben. Bei WordPress Blogs hat man kein Problem mit Spam, wenn man mit Anti Spam Bee arbeitet, aber bei einem anderen CMS wie dem ocPortal hat man solche Möglichkeiten nicht und muss bei den Kommentaren mit Captcha arbeiten.

Durch diesem Spam-Hacker wurde mein ocPortal Design dermassen zerschossen, dass ich es nicht wiederherstellen konnte. Vor allem wusste ich nicht, was der Hacker genau gemacht hat, so musste ich diese Installation komplett löschen und ob ich es nochmals laufen lassen werde, weiss ich es noch nicht. Installiert ist es erstmals.

Wahrscheinlich wurde mit phpCode irgendetwas gemacht. Ein Backup der Daten hatte ich nicht, weil es in erster Linie als Demo-Projekt laufen sollte auch wenn ich mich dazu entschlossen habe, dort zu bloggen. Also für alle, die ocPortal dauerhaft einsetzen sollten, deaktiviert Captcha nicht und nutzt alle Schutz-Mechanismen, die ocPortal im Backend anbietet. Da gibt es noch so einige und ihr müsst im Backend in der internen Suche nur das Wort Captcha eingeben.

Dass ocPortal einen Sicherheitsleck hat, schliesse aber aus, denn an der Software wird gearbeitet. So vermute ich, dass bei mir ein Spamhacker am Werk war und diese suchen meistens nach den Schwachstellen im System, sei ein Passwort oder etwas anderes.

ocPortal

Ich teste ja viele CMS und muss noch mehr aufpassen, dass ich überall bei den Kommentaren mit Captcha arbeite. Bei meinem phpFusion-Blog ist auch Captcha drin und auch wenn das Kommentieren dann nicht mehr leicht ist, kann man nicht drauf verzichten. Vll. hat der Hacker meine gesamte Domain im Visier. Wollen wir hoffen, dass es nicht der Fall ist.

WordPress und Spam geht immer noch am besten durch, bei allen anderen CMS kann man sich nicht genug absichern. Ich musste mich neulich auch von einer Software namens Discus trennen, was ein Forum war. Mein Webhoster wies mich auf einen Sicherheitsleck hin. So war es mir egal, ob schon Inhalte vorhanden waren. Ein Update dieser Software gab es aktuell nicht. Ja, was will man machen?! Man will eine auf den ersten blick tolle CMS Software nutzen und hat dann sowas.

Ich lerne nie aus und muss nun noch mehr aufpassen.

by Alexander Liebrecht

Hinterlasse einen Kommentar, wenn du magst!

19 Comments
  1. Dass ocPortal einen Sicherheitsleck hat, schliesse aber aus, denn an der Software wird gearbeitet. So vermute ich, dass bei mir ein Spamhacker am Werk war und diese suchen meistens nach den Schwachstellen im System, sei ein Passwort oder etwas anderes.

    Ist das nicht ein Widerspruch? Schwachstellen im System sind doch Sicherheitslecks! Für mich zumindest. Oder unterscheidet man da in der Blogszene?

  2. Ja, Rainer, ich habe mich falsch ausgedrückt und habe jetzt eine neue Erkenntnis von meinem ocPortal. Es war doch niemand im System und es wurde nur das Gast Posting ausgenutzt und dann noch ohne Captcha.

    Daher wurde viel gespammt und hat mir das Design zerschossen. Wusste auch nicht, dass es möglich ist, beim Spamkommentieren, das Design zu zerschiessen.

    Aber nun lerne ich daraus und habe immer schön Captcha aktiviert.

  3. Guten Morgen

    Wusste auch nicht, dass es möglich ist, beim Spamkommentieren, das Design zu zerschiessen.

    Das ist ja sehr interessant. Alleine mit einer Menge von Kommentaren oder kann man HTML Code schreiben? Aber so und so ist das meiner Meinung nach schon sehr fahrlässig so ein CMS auf den Markt zu bringen.

    1. Hi Rainer,
      ja, also ich habe nicht falsch geschaut. Das Design war zerschossen. Es wurden mehr als 100 Spam-Kommentare abgegeben, die dann erschienen sind.

      Bei ocPortal ist es so, dass man für Kommentare auch ein Forum hat. So erscheinen Kommentare sowohl im Frontend unter den Artikeln als auch im Forum. Ich kann dir aber gerade nicht sagen, ob HTML-Code im Kommentar-Eingabe-Feld nutzbar ist.

      Mir wurde in diesen Spam-Kommentaren ein Haufen von Links reingehaut. URLs werden von den Kommentaren aber akzeptiert. Ob es HTML-und-PHP-Code in den Kommentare gegeben hat, weiss ich nicht mehr. Ich habe versucht alles zu löschen, schaffte auch einen Teil, aber das Design konnte ich nicht reparieren.

      Aber das offizielle ocPortal läuft doch und ich frage mich wie das das hinbekommen.

      Captcha muss auf jeden Fall sein.

  4. Damit ist das gesamte CMS als unsicher zu bezeichnen, was will man dann mit sowas? Also für mich ist sowas dann unbrauchbar.

  5. Also ich habe Dein neu aufgestelltes OC-Portal über Twitter gefunden und habe auch mal einen Test-Kommentar abgegeben. Das angezeigte Bild enthielt Zahlen, welche nicht angenommen wurden. Die Zahlen waren sehr einfach zu erkennen und totzdem wurden diese nicht angenommen. Erst durch den Download der Audiodatei war es mir Möglich einen Kommentar zu hinterlassen.

  6. Hi Sabine,
    ich war auch sehr sehr enttäuscht von ocPortal. Ich weiss, das hat der Lothar auch bemängelt. Anscheinend gibt es auch mit Captcha ein Problem.

    Ich werde es gleich selbst im nicht eingeloggten Zustand testen. Ein Blog ohne funktionierende Kommentare gefällt mir selbst nicht wirklich. Und nur für sich zu schreiben, ist doch auf Dauer mühsam.

  7. Ich habe neue Erkenntnisse! Das Kommentieren im ocPortal im nicht eingeloggten Zustand und mit Captcha hatte eben zwei mal hintereinander geklappt. So kann ich fast davon ausgehen, dass man kommentieren kann. Die Frage ist nun, warum es bei den anderen nicht funktioniert.

    Ich habe zum Schutz vom ocPortal auch Stop Forum Spam aktiviert, aber das gilt wohl dann für das Forum oder das ganze Blog. Wahrscheinlich das Forum. So muss ich schauen, ob es mir als Schutz reicht und hoffentlich werden die ganzen Spam-Bots gleich blockiert. Der Captcha Schutz ist bei ocPortal extrem wichtig wie ich finde.

    Etwas anderes haben wir da nicht. Schön wäre natürlich das Anti Spam Bee Plugin für ocPortal, aber das muss erst entwickelt werden :-).

  8. Na ja, gut finde ich das Du am Ball bleibst. Ich werde mich dann in der nächsten Woche auch mal wieder an das OC Portal machen.

  9. Ja, gut gut! Dann dir schon mal viel Spass mit dem ocPortal. Jetzt heisst es abwarten bis die ersten Spam-Bots kommen und dann sehe ich es gleich, ob Captcha etwas taugt.

  10. Wo finde ich denn dein OCPortal? Ich konnte auf die schnelle keinen Link finden.

  11. Hi Alex,
    hättest Du die Kommentare nicht aus der SQL löschen können?
    Hattest Du kein Backup?
    Frag doch mal Deinen Hoster ob er nicht noch ein Backup.
    Dann kannst Du vielleicht noch eine alte Datenbank einspielen und die verlorenen Beiträge retten.
    Mein aktueller Hoster hält noch Backups von vor zwei Monaten vor.

    Das nur mal so als Tipp.
    Grüße
    Lothar

  12. Hi Lothar,
    ja hätte man machen können, aber ich war wahrscheinlich etwas blind und versuchte die Spamkommentare manuell zu löschen. Sie zerschossen mir auch das Design.

    Bei meinen Webhoster kann ich mal nachfragen, ob sie das Backup haben.

  13. Ich hoffe mal das nicht so viele wertvolle Beiträge verlorengegangen sind.
    Aber da es noch nicht so lange her ist wird ein normaler guter Hoster sicherlich noch ein Backup haben.

    Machst Du keine regelmäßigen Backups von Deinem Server?
    Also da bin ich geheilt. Bei mir wird regelmäßig ein Backup gezogen nachdem ich Anfang des Jahres mal den Servercrash hatte und ich mit Mühe und Not und mit alten Backups die Dateien wiederherstellen konnte.

    Das sollte man sich angewöhnen.
    Wenn Du einen Server hast kann man das doch sicherlich auch automatisch steuern.
    Musst mal den Thomas fragen der ist doch IT Profi.

    Grüße
    Lothar

  14. Naja, Beiträge gab es nicht viele, um die 30, aber immerhin ein Monat Arbeit pfutsch! Ich habe den Hoster noch nicht gefragt.

    Ich habe bei diesem Projekt kein einziges Backup angelegt und das habe ich auf dem Managed Server bei All-inkl., sodass die Kollegen dort denke ich mal regelmässig Backups machen. Muss ich einfach danach fragen.

    Ja, deinen Crash bekam ich auch mit und schade drum, aber man lernt nie aus und es kommt immer mal wieder etwas dazwischen. So ist es mit unseren Blogs und Projekten.

    Das mit der Frage an Thomas notiere ich mir mal.

  15. Na ja ein Monat Arbeit umsonst ist ja schon ärgerlich.
    Ich suche grad den Link zum Portal, hast Du den weggemacht?

    Grüße
    Lothar

  16. Ja, etwas schon und derzeit habe ich erstmals keine Lust, weitere 30 Artikel zu bloggen. Mal sehen was daraus werden wird.

    Hier nochmals der Link zum Portal.

    Der Link war im Artikel noch nicht drin!!

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg