User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

[Gelöst] Sicherheitsproblem: Daten gelöscht

Wed 21. Aug 2013, 22:38

Ich habe heute innerhalb 8 min von meinem Runalyze ganze 7 Mails bekommen, dass ich angeblich meinen Account löschen möchte und ich hierzu auf den Link klicken soll (oder ignorieren, falls ich nicht möchte).
Ich denke mal, dass es sich hierbei um eine externe Attacke handelt. Allerdings frage ich mich, wie diese Mails verschickt werden können. Auf der Startseite gibt es hierzu ja keinen Link.
Habe nur ich das Problem?

-----
[Edit] Ich habe die beiden Themen mal zusammengeführt ^laufhannes
0 x
Image

User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

Fehlende Daten

Wed 21. Aug 2013, 22:45

Hallo.
Ich habe ein großes Problem. Plötzlich fehlen etliche Einträge. Manche Wochen sind komplett leer. Selbst mein gestriger Lauf, den ich abends noch eingetragen habe, ist nun weg. Wie kann das sein bzw. woran könnte das liegen? Ich hoffe, es hat nichts mit meinem anderen Beitrag hier im Forum zu tun. Wenn mich jedoch nicht alles täuscht, dann stimmt kurioserweise der Gesamtkilometerstand.
Attachments
fehlende_eintraege.jpg
fehlende_eintraege.jpg (94.66 KiB) Viewed 5668 times
0 x
Image

User avatar
laufhannes
Core developer
Posts: 744
Joined: Mon 29. Jul 2013, 20:59

Re: Runalyze v1.3: Account löschen

Thu 22. Aug 2013, 10:30

Du nutzt eine eigene Installation, richtig?

Die E-Mails können eigentlich nur verschickt werden, wenn man über Konfiguration -> Account versucht, den Account zu löschen. In Verbindung mit deinem anderen Problem würde ich sicherheitshalber einmal das Passwort ändern. Was genau passiert ist, kann man aber vermutlich nur in den Server-Logs sehen.
0 x
User help -- short questions via Twitter, Facebook

User avatar
laufhannes
Core developer
Posts: 744
Joined: Mon 29. Jul 2013, 20:59

Re: Fehlende Daten

Thu 22. Aug 2013, 10:37

Schau am besten zunächst einmal im PhpMyAdmin des Servers nach, wie die Datenbank aussieht. In der Tabelle 'runalyze_training' kannst du die Einträge mal nach ID sortieren. Die letzte ID sollte dann das zuletzt eingetragene Training sein. Jede fehlende ID (eigentlich eine fortlaufende Nummer) deutet auf einen gelöschten Datensatz hin.

Wenn der Gesamtkilometerstand hingegen tatsächlich stimmen sollte, wurde evtl. nur das Datum geändert.

Wenn das plötzlich von einem auf den anderen Tag passiert ist, ist zu befürchten, dass jemand dein Passwort erraten hat und sich eingeloggt hat. Wie im anderen Thread angedeutet, würden da nur die Server-Logs helfen.

Wenn das hingegen nach einer Aktion von dir passiert ist (z.B. versucht mehrere Trainings auf einmal hochzuladen, Multi-Editor verwendet, bestimmte Trainings gesucht, was auch immer ...), könnte es auch an Runalyze liegen. Das kann ich mir aber eigentlich nicht vorstellen.
0 x
User help -- short questions via Twitter, Facebook

User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

Re: Fehlende Daten

Thu 22. Aug 2013, 22:28

Ich hatte nach meinem Urlaub versucht, meine drei Läufe auf einmal hochzuladen, was jedoch nicht klappen wollte. Danach habe ich sie einzeln hochgeladen. Allerdings fällt mir auf, dass das Hochladen mittlerweile ewig dauert. Vorher waren es ein paar Sekunden. Inzwischen dreht sich der Kreis minutenlang und es passiert nichts. Irgendetwas stimmt da nicht. Als ich eben den heutigen Lauf hochladen wollte, wurden mir in der Auswahlliste noch zig andere Läufe als neu markiert. Wahrscheinlich die, die fehlen. Übrigens stimmt die Gesamtkilometerzahl doch nicht. Es fehlen ca. 800 km. Doch wenn jemand sich bei mir eingeloggt hat, wieso löscht er dann so durcheinander und nicht die aktuellsten Läufe? Die Logs werde ich mir mal anschauen.
0 x
Image

User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

Re: Runalyze v1.3: Account löschen

Thu 22. Aug 2013, 22:35

Ohoh, das klingt nicht gut. :(
Blöde Frage: Wie kann ich in Runalyze das Passwort ändern? Bei den Account-Einstellungen finde ich nix. Oder muss ich das über "Passwort vergessen" machen? Falls ja, dann wäre das ein Verbesserungsvorschlag für die nächste Version. Das Ändern des Passworts in den Einstellungen wäre komfortabler.
0 x
Image

User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

Re: Fehlende Daten

Thu 22. Aug 2013, 23:04

Ich habe bei PhpMyAdmin nachgeschaut und die Datensätze nach ID sortiert. Fazit: Es fehlen definitiv etliche Einträge. :(
Nun muss ich mal nach meinem letzten Backup schauen. Dürfte noch nicht all zu lange her sein. Was passiert, wenn ich das einspiele? Erhalte ich dann doppelte Datensätze? Muss ich zuvor alles löschen? Was ist im Backup (aus Import/Export-Plugin) alles enthalten? Auch die Angabe des gelaufenen Schuhs? Oder soll ich besser ein richtiges MySQL-Backup einspielen?
0 x
Image

User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

Re: Runalyze v1.3: Account löschen

Fri 23. Aug 2013, 03:17

Zur Info: Wenn man die Datei "window.delete.php" aufruft, wird eine Account-Löschungs-Mail verschickt. Selbst dann, wenn man nicht eingeloggt ist und man eigentlich darauf hingewiesen wird, dass man nicht mehr eingeloggt ist. Dies dürfte nicht sein. Kann daher auch ein Bot verantwortlich sein, dass ich diese Mails erhielt? Falls ja, stellt sich mir die Frage, ob so auch Trainings gelöscht werden können, nur weil der Bot die entsprechende Datei aufruft.
PS: In meinem Fall war zu diesem Zeitpunkt "www.80legs.com" extrem auf meiner Seite unterwegs.

:!: :!: :!: :!: :!:
Nachtrag: Es ist tatsächlich so. Wenn der Pfad bekannt ist, dann können Trainings gelöscht werden, obwohl man nicht eingeloggt ist.
:!: :!: :!: :!: :!:
0 x
Image

User avatar
BrennrDE
Runalyzer
Posts: 53
Joined: Wed 31. Jul 2013, 17:29
Location: Mannheim
Contact: Website

Re: Fehlende Daten

Fri 23. Aug 2013, 03:37

Ich habe die böse Vermutung, dass Webcrawler durch Aufruf von URLs wie
http://www.domain.de/runalyze/call/call ... elete=4711
Trainings löschen können, obwohl sie nicht eingeloggt sind.
In der Log-Datei meines Servers war "www.80legs.com" extrem unterwegs.
Dabei wurden u.a. solche URLs aufgerufen.
Ist das ein Bug von Runalyze oder habe ich einen Fehler gemacht?
0 x
Image

User avatar
laufhannes
Core developer
Posts: 744
Joined: Mon 29. Jul 2013, 20:59

Re: Sicherheitsproblem: Daten gelöscht

Fri 23. Aug 2013, 08:07

Hallo Christian,

danke für die "Aufdeckung" und ein großes Sorry für das Problem. Scheinbar hast du da wirklich eine große Sicherheitslücke aufgedeckt, die allerdings nur Accounts betrifft, die auf der ID 0 laufen. Das kann aber bei denjenigen, die Runalyze schon genutzt haben, als es noch keine Accounts gab, der Fall sein.

Der schnelle Fix für dich, damit das nicht weiterhin auftreten kann:
http://sourceforge.net/p/runalyze/code/624/
0 x
User help -- short questions via Twitter, Facebook

Return to “Runalyze v1.3”

Who is online

Users browsing this forum: No registered users and 1 guest