Falls es jemanden interessiert. So habe ich geprüft, ob die IP-Adressen zu bekannten Schülern gehören, also einmal irgendwo normal angemeldet haben, brav unterricht hatten und dann später irgendwo reingeplatzt sind.
Dazu habe ich mit Hilfe der mir genannten Benutzernamen oder Zeitraum die Benutzernamen ermittelt und gegreppt:
cd /var/log/nginx
grep -r Benutzername
Das Ergebnis gibt mir eine IP-Adresse, die ich dann für andere Nutzer verwenden kann:
grep -r '10.20.30.40.*fullName'
Es werden nur die Zeilen aufgeführt, die zur Anmeldung an einem Raum verwendet wurden. Ergebnisse sehen dann so aus:
root@Ubuntu-1604-xenial-64-minimal /var/log # grep -r '10.20.30.40.*fullName'
nginx/bigbluebutton.access.log:10.20.30.40 - - [21/Jan/2021:11:11:03 +0100] "GET /bigbluebutton/api/join?meetingID=NpQBNd8FFD3f&fullName=Paul&password=ctNSE3ofjyoCrL97ncZQWLEz7DdfS&createTime=161122386018&redirect=true&joinViaHtml5=true&guest=true&checksum=bde7c9de5c56fbab688365807f5642a9fd3b9 HTTP/1.1" 302 0 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 13_7 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1.2 Mobile/15E148 Safari/604.1"
In diesem Fall nur ein Treffer und Paul war der Bösewicht.
Nur falls sich raus stellen sollte dass es keine eigenen Schueler sind
die da stoeren
… doch doch: das waren schon eigene Schüler: denn die müssen ja den
Link und das Passwort in Whats App posten: sonst würden die anderen gar
nicht kommen können …
Was ist das dann? Im Auftrag? Anstiftung?
Ich poste hier mal Herrn Grubs Antwort auf die Frage, ob Lehrer Zugriff auf die Landes-bbb-Logs haben (das ist der Inhalt meines Links von weiter oben):
Zitat
Hallo,
den Lehrkräften steht bei BigBlueButton keinerlei Log-File zur Verfügung. Die einzelnen Dienste in BigBlueButton protokollieren aber durchaus auf den jeweiligen Servern mit.
Bei ähnlich gelagerten Vorfällen habe ich auch schon mal grundsätzlich geprüft ob man z.B. die Einträge in den geteilten Notizen (technisch ist das ein Etherpad) den jeweiligen Autor:innen zuordnen kann. Ergebnis: Das geht grundsätzlich, ist aber mit einem erheblichen Aufwand verbunden da die Informationen aus verschiedenen Log-Files und aus einer Datenbank miteinander in Verbindung gebracht werden müssen.
Neben dem technisch und zeitlich hohen Aufwand gibt es dann noch den rechtlichen Aspekt, den ich zwischenzeitlich auch geklärt habe. Es handelt sich um personenbezogene Daten die wir nicht ohne richterliche Anordnung freigeben können.
Grundsätzlich wäre deshalb ein Vorgehen wie es hier auch schon dargelegt wurde sicher der richtige Weg.
Andernfalls wäre das Vorgehen, das bzgl. Aufwand aber vorher bedacht werden sollte:
Die Log-Daten werden wenige Tage gespeichert (ca. 3 - 5 Tage) - es ist im Notfall also zeitnah zu handeln.
Mail an uns, mit präziser Angabe der folgenden Daten, damit wir die Log-Files und die Datenbank sichern …
Genauer Server-Name, z.B. bbb023-010
Uhrzeit
…
Nach Rückbestätigung der Daten-Sicherung durch uns müssen Sie dann eine offizielle Anzeige veranlassen. Wir stellen dann auf Richterbeschluss die Daten den Ermittlungsbehörden zur Verfügung.
Unsere Schüler haben unterschrieben, dass Admins zur Verbesserung des päd. Netzes der Begutachtung von Logs zustimmen. Ich denke, das reicht in diesem Fall aus.
So passt das dann schon. Ich bin trotzdem vorsichtiger geworden.
Abend,
Andreas Grupp bezog sich da auch auf ein Posting von mir mit eher zielorientiertem Ansatz, passt hier vielleicht auch rein.
Morgen alle,
wir haben auch zwei eigene BBB-Instanzen, da wir noch kein Zeitfenster fuer
eine scalelite-Installation frei hatten, ist die eine nur durch Greenlight
versorgt und auch hier aus Zeitgruenden ist jeder (!) Moderator in den
BBB-Raeumen, das tut sogar gut. Wir haben aber die Schueler darauf
eingeschworen, dass wir alle in einem Boot sitzen und die Lehrer auch schon am
Anschlag ticken, das wurde auch verstanden.
Natuerlich gibt es hier und da mal Schueler. die dem Lehrer den Moderator
nehmen, aber das laesst sich recht schnell durch eine Ansage klaeren und in nur
einem Fall musste ich da mal kurz in den Raum und mit §303 StGB § 303 StGB - Einzelnorm winken, es lohnt sich da mal
mit der Klasse durchzuklicken, a, b, c, das hinterlaesst bleibenden Eindruck.
Wir befinden uns hier im Bereich des Strafrechts, da wird auch nicht lange
gefackelt, Hausordnung, Schulordnung, Verordnung…alles Kindergarten, das geht
gleich ans Eingemachte, §90 laesst sich da aus meiner Sicht mal gleich
ueberspringen, bin aber kein Jurist.
Ein kurzer Kommentar, dass BBB auch jede Menge Dinge loggt und Moodle ja auch
mal grundsaetzlich die User kennt und die IPs der User und der Chat ja auch
noch eine Logdatei und ueberhaupt rundet das Ueberzeugungspaket ab.
In der Regel ist es ja auch so, dass das immer nur ein/zwei Schueler sind,
macht man der Klasse klar, dass diese den Lernprozess massiv behindern, wird
der Druck aus der eigenen Gruppe zumindest bei uns sehr (!) hoch, sind aber
Berufsschule, das mag bei Euch anders sein.
Von Uli Stein gibt es ein Bild, da sitzt ein Specht auf der Bordwand der Arche
Noah und pickt da gerade ein Loch rein, drueber steht: „Egal wo Du bist, es
gibt immer ein Arschloch.“.
Also das die Landesserver Logdateien nicht rausgeben ohne richterlichen Beschluss ist klar, sind ja auch aDaten von anderen Schulen in den Logdateien.
Aber wenn von der Schule ein eigenes BBB gehostet ist, sehe ich da kein Problem. Der Admin ist ja dafür zustänidg, dass die Systeme ordentlich funktionieren und ein reibungsloser Betrieb stattfinden kann. Sollte da Probleme auftauchen, so wird der störenfried per IP ausfindig gemacht. (Fail to Ban funktioniert ja auf dem Prinzip). Und da man die IP auch auf den anderen System sperrt, ist ja selbstverständlich.
Weshalb sollten (auch) Lehrkräfte Zugriff auf BBB-logs haben.
Oder auf bestimmte Moodle-log-Einträge.
Das geht gar nicht - und muss auch so sein.
Ich habe (manchmal) schon Bauchschmerzen wenn ich Mailrückläufer habe von neuen SuS, die sich noch nie in Moodle angemeldet haben und ich das irgend wann „nach oben“ weiter gebe.
Oder wenn TN behaupten sie hätten eine Mail nicht erhalten, usw, usw. Ich könnte Daten auslesen und kombinieren ohne Ende.
Ist aber nicht mein Job. Das ist eine pädagogische Aufgabe.
Andererseits sind wir auch nur ein kl. Laden, nicht vergleichbar mit einem Schulbetrieb.
Ich finde die hiesige Diskussion sehr erfrischend, zeitnah und die Ansätze damit umzugegangen.
Klar, es soll/muss eine pädagogische Lösung her.
Andererseits ein guter Moment den SuS etwas über BGB/StGB am praktischen Beispiel zu vermitteln, Medienkompetenz?
Technisch für mich erst einmal interessant, dass klar „das Problem“ eingekreist und benannt werden konnte. Als Admin mit eigenen Servern irgend wie beruhigend zu wissen.
Wir haben auch in unserem Impressum den Hinweis auf Auswertung der log-Dateien [/var/log] und den Hinweis des hohen log-Aufkommens von Moodle.
Zugriff hat nur Chef (Moodle) und ich (alles).
Ist die eigene Infrastruktur - und damit der Datenschutz - bei einem externen Dienstleister, ist das natürlich schon etwas anderes.
Die Vorstellung der Schul-Admin breitet vor dem Lehrer-Kollegium all die persönlichen Netz-Daten des „Übeltäters“ aus, lässt mich Stellhaare bekommen. Datenschutz muss auch erst gelernt werden bzw. der Umgang mit den Daten.
Um Harry’s Schluss-Satz abzuändern:
„Egal wo Du bist, wir wissen wer Du bist, Arschloch“.
und obwohl auch ich mich SCHAURIG geärgert habe über destruktive *** ler, die ab und zu (sehr selten) unsere Video-Meetings stören:
Ich glaube, man sollt sich - aufgrund der eigenen „Seelenhygiene“ - lieber darauf konzentrieren, die Störer draußen zu halten, als sie mit kriminalistischer Strategie zu verfolgen. Es mag sein, dass man sich SEHR geärgert hat - aber seien wir doch pragmatisch in unserem Vorgehen.
Ich habe jedenfalls kurzzeitig erwogen, den Loglevel meines Jitsis zu erhöhen - aber ich lass’ es einfach. Unser Weg mit dem Sitzungspasswort nach Eintritt (s.o.) funktioniert - und „gut is’ !“
Wer sich übrigens für die Serverauslastung bei Jitsi interessiert:
Bei 35 Teilnehmern wächst bei dem 8-Kerner und 32Gb RAM der Datendurchsatz auf ein maximal 1/5 der möglichen Nettodatenrate von 1Gigibit und etwa so viel Prozessorlast an.
Theoretisch müssten also Konferenzen mit ca. 150 Teilnehmern gut möglich sein - bei linearer Skalierung.
… das ist so ohne weiteres nicht möglich, wenn man BelWü moodle mit
ZSL-BBB benutzt, da man in die BBB Sitzungen nur mittels moodlePlugin
kommt: man sich also vorher in moodle authentifizieren muss.
Wenn ein Bomber so in den Videoraum kommt, dann weiß man, wessen Schüler
Credentials benutzt wurden …
moodleBBB Plugin ist also nicht nur einfach bequemer sondern auch viel
sicherer.
Da bin ich froh, dass wir weitgehend volljaehrige Schueler haben, die wuerden sich kaputtlachen, wenn jemand mit Maske und Wumme in der Hand die „Sitzung“ stoeren wollte.
Porn und Hakenkreuze wuerden auch eher belustigen als traumatisieren.
es gibt über Instagram und TikTok Gruppen, dort werden SuS aufgefordert die öffentlichen Zugangsdaten ihres Online-Klassenraumes einzustellen.
Dann kommen andere User rein und können dieses „Videobombing“ machen.
Der Zugang zu solchen Videoplattformen sollte daher nur mit nachvollziehbaren Usern geöffnet werden, so ist zumindestens der verantwortliche Schüler erkennbar.
Bei Greenlight sollte der Raum ebenfalls mit „Warteraum“-Funktion konfiguriert werden. Leider ist das bei Moodle nicht möglich, das wäre ein gutes Feature für einen Elternsprechtag.
Aus dem Grund haben wir beides, BBB mit Nextcloudanbindung und Greenlight.
Für SuS werden Räume mit Nexcloudauthentifizierung angelegt, (auch wenn es noch ein paar Bugs im Connector gibt), Für Elterngespräche etc. kann dann per NC oder per Greenlight die Räume erstellt werden.
… also wir hatten heute angeblich mindestens einen Fall, in dem ein Fremder in einer BBB-Session, die mit moodle-Plugin abgesichert ist, gestört hat. Also Videobombing at its best!
Nur nochmal zur Sicherheit: Mit dem einfachen Link, den das moodle-Plugin erzeugt, kann man nicht an einer Session teilnehmen, richtig? Ich habe den Link mit dem Token in einen anderen Browser kopiert und erhalte: „Nicht erlaubt. Session not found.“
Wenn ich das richtig sehe, bedeutet das im Umkehrschluss, dass der Schüler seine moodle-/Schulzugangsdaten auch mit verteilt haben muss, damit jemand Fremdes da Zugang hat, ja? Wie kann man denn bitte so dämlich sein? (Es geht hier um Klasse 9 an einem Gymnasium …).
Die Frage ist: Wie geht ihr damit um? Was unternehmt ihr in so einem Fall? Eigentlich sollte man den Account sofort sperren … aber das wird in Corona-Zeiten kaum durchsetzbar sein…
§90 Schulausschluss. Das funktioniert. Dann werden die Moodle-Zugangsdaten für die Dauer des Ausschlusses gesperrt und der Person wird ihre Bühne entzogen.
Bei uns wird nun auch juristisch vorgegangen: Es kam ein Aufruf von unserer Abteilung 7 Regierungspräsidium KA mit einer Strafanzeige darauf zu reagieren. Das BKA ermittelt und möchte sich ein umfassendes Bild davon machen. Wahrscheinlich sind diese Bombing-Besuche organisiert.
LG
Marcus
Nur nochmal zur Sicherheit: Mit dem einfachen Link, den das
moodle-Plugin erzeugt, kann man nicht an einer Session teilnehmen,
richtig? Ich habe den Link mit dem Token in einen anderen Browser
kopiert und erhalte: „Nicht erlaubt. Session not found.“
Wenn ich das richtig sehe, bedeutet das im Umkehrschluss, dass der
Schüler seine moodle-/Schulzugangsdaten auch mit verteilt haben muss,
damit jemand Fremdes da Zugang hat, ja?
es ist mir nicht bekannt, dass es auch ohne den Umweg über moodle einen
Weg in so eine BBB Sitzung geben würde.
Aber ich bin da nciht der experte: frag im BBB moodleraum vom ZSL mal nach.
Aber: wenn derjenige über moodle gekommen ist, dann stand doch der Name
des Schülers bei den Teilnehmern dabei: dann weiß man doch, wer da Mist
gemacht hat: sei es der Quatsch in BBB oder das verraten der Zugangsdaten.
… nach erneuter Rücksprache hat sich ergeben, dass da offenbar doch eine jitsi Konferenz gemeint war.
Die sind (wenn über Moodle & Plugin angelegt) nicht so abgesichert wie bei BBB, richtig?
MaW: da kann jeder Troll reinkommen, sofern er den richtigen Link hat, oder?
Der betroffene Schüler hat angeblich zugegeben, dass er „etwas“ in einem Forum gepostet hat. Aber was genau das war, wurde bisher nicht in Erfahrung gebracht…
