[3.3] Massiver Spamversand via PNs

[Loewenherz]

Hallo,
letzte Nacht hat ein neu-registrierter Benutzer Spam in Massen per PN an Foren-User versendet. An sich hatte ich die Einstellung, dass neu registrierte User gar keine PN versenden dürfen (nie). Allinkl hat mittlerweile den Zugriff auf /includes/functions_messenger.php gesperrt.
Besteht hier ein Sicherheitsproblem mit 3.3 oder gibt es Tipps zur besseren Absicherung?

[Dr.Death]

Naja, wie sieht denn die effektive Rechteverfolgung des betroffenen Users aus?


ACP -->
Berechtigungen -->
Effektive Berechtigungen : Benutzer Berechtigungen anzeigen --> Benutzer anzeigen --> Nach einem Mitglied suchen: Insert Name hier --> Berechtigungen anzeigen.
Reiter: Private Berechtigungen

Dann auf das kleine Symbol vor der entsprechenden Berechtigung anklicken.


Siehe dazu auch: Knowledge Base - Effektive Berechtigungen - oder Rechte verfolgen

[Loewenherz]

Den betreffenden User habe ich schon gelöscht, kann hier also nicht mehr schauen.

Er war allerdings in der Gruppe "neu registrierte User", sollte also deren Berechtigungen haben. Oder meinst du, jemand könnte seine Berechtigungen durch einen Hack verändert haben? Dann wäre die Frage: Wie ist ihm dies gelungen?

[Dr.Death]

Da ist mir nichts bekannt, lege doch einen neuen registrierten User an und verfolge mal seine Rechte, ich weiß ja nicht wie deine Berechtigungsstruktur im Gesamten ausschaut.... ansonsten sperrt man diesen User erst bevor man ihn löscht..... um z.B. seine Rechte prüfen zu können

[Loewenherz]

Ok, merk ich mir.

Hab gerade bei einem anderen neu registrierten User geschaut. Bei PNs ist nur erlaubt:

Kann Private Nachrichten aus eigenem Ordner entfernen
Kann Dateianhänge in Privaten Nachrichten herunterladen
Kann eigene Private Nachrichten ändern
Kann Private Nachrichten drucken
Kann Smilies in Privaten Nachrichten verwenden
Kann Private Nachrichten lesen

Wenn ein neu registrierter User also PNs verschickt, müsste er entweder seine Einstellungen manipuliert haben oder eine Sicherheitslücke ausnutzen.

[Dr.Death]

Oder er war zusätzlich in einer anderen Gruppe die ihm den Versand erlaubt hat.....

Du könntest ja ggf. ein Datenbank Backup in ein lokales Testforum einspielen.... ein Backup welches den besagten User noch beinhaltet.

Ansonsten steht es dir frei einen Security Issue zu erstellen: https://tracker.phpbb.com/projects/SECURITY/issues/

Die meisten Fehler dieser Art passieren durch falsch zugewiesene Rechte.

[Loewenherz]

Oder er war zusätzlich in einer anderen Gruppe die ihm den Versand erlaubt hat.....

Definitiv nicht. War ein frisch angemeldeter User, der automatisch in die entsprechende Gruppe kam, die die üblichen Standardrechte hat, nur ein wenig restriktiver als phpBB es normalerweise macht.

Im Moment hat functions_messenger.php chmod 0 und dadurch kann mal wohl im gesamten Forum auch nicht mehr posten. Könnte ich wieder auf 644 setzen, muss dann aber mit erneutem Missbrauch durch neue User rechnen. Ob es sich wirklich um ein Sicherheitsproblem handelt, kann ich nicht sagen - müsste dann auf jeden Fall auch woanders auftauchen und nicht nur bei mir.

[Dr.Death]

Wenn du absolut sicher bist, das es kein Berechtigungsproblem ist, melde den Fehler im Security Board.

Mir selbst ist kein weiterer Fall dieser Art bekannt.

[chris1278]

Also normalerweise ist ein Benutzer doch bei Neuregistrierung, sofern alles Standard ist, in der Gruppe "kürzlich registrierte Benutzer" und "registrierte Benutzer".

Prüfst du beide Rechte.

Du kannst das auch testen in dem du mit einem neu angelegten Benutzer eine pn schreibst. Falls er ja keine Berechtigung für pn schreiben hat, sollte er dies auch nicht können. Sollte er dennoch eine pn schreiben können, dann kannst du mal testen was passiert, wenn du der Gruppe "kürzlich Regestrierte Benutzer" beim Recht PN schreiben auf nie setzt.

Nur mal so ein Gedankengang von mir.

[Loewenherz]

Hab die Berechtigungen eines neu registrierten Users übernommen. Und bin dennoch weiterhin mit einem Teil meiner Adminrechte unterwegs - kann zwar korrekterweise nicht mehr ins ACP, sehe auch keine Boards, die diese User nicht sehen dürften. Kann aber weiterhin als Admin/Ich agieren, also meine Posts bearbeiten, meine PNs sehen usw. Das wirkt seltsam auf mich...