Ich betreibe ein phpBB2 2.0.17 (mit SoftBlue V2-Template, falls das zur Sache tut).
Vor einiger Zeit haben wir einen "geschützten Bereich" eingerichtet, in den nur bestimmte Benutzer reinkönnen sollen. Das habe ich realisiert, indem ich ein neues Unterforum und eine neue Benutzergruppe erstellt habe.
Alle Mitglieder dieser Benutzergruppe haben in dem besagten Unterforum Moderator-Status.
Das Unterforum ist allerdings für ALLE (auch unregistrierte) SICHTBAR gewesen, ebenso ist die Liste der Mitglieder der Benutzergruppe für ALLE sichtbar gewesen.
Lesen, Schreiben etc. in dem Unterforum konnten aber nur Moderatoren (also in diesem Falle alle Mitglieder der besagten Benutzergruppe).
Jetzt ist ein Photo (und andere Infos), das in diesem Unterforum gepostet wurde, an Stellen gelangt, wo sie nicht hinsollten (worum es inhaltlich geht tut hier eigentlich nicht zur Sache, kleines Stichwort: Fußballfans) und das Vertrauen aller Mitglieder der Benutzergruppe untereinander und auch ggüber der Software ist natürlich zerstört. Es gibt nun zwei Theorien:
1. einer der Mitglieder der Benutzergruppe war ein "Maulwurf" und nicht vertrauenswürdig, dann bin ich bei euch im Supportforum an der falschen Adresse :)
2. es gibt eine technische Möglichkeit doch in unser Unterforum reinzukommen! Das Ausprobieren von Passwörtern bestimmter User (die Liste der Mitglieder der Benutzergruppe war ja für ALLE einsehbar) halte ich für unwahrscheinlich.
Gibt es da einen "Hackertrick", um da reinzukommen oder haltet ihr das bei meinem phpBB2 2.0.17 für eher unwahrscheinlich?? Was sagen die Experten, wie sind die Erfahrungen? Wird sowas hier öfters berichtet??
Wäre euch sehr dankbar für Hilfe und Aufklärung in meinem kleinen "Kriminalfall". Was haltet ihr für wahrscheinlich?
Hat jemand sich in meinen geschützen Bereich gehackt?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
netzmeister
- Ehemaliges Teammitglied
- Beiträge: 1146
- Registriert: 02.05.2003 20:59
- Wohnort: Freiburg
- Kontaktdaten:
Hallo,
kann es sein das du eine öffentliche Gruppe erstellt hast.
In öffentlichen Gruppen kann sich jeder anmelden und hat somit Zugang
zu deinem Internen. Prüf das mal.
kann es sein das du eine öffentliche Gruppe erstellt hast.
In öffentlichen Gruppen kann sich jeder anmelden und hat somit Zugang
zu deinem Internen. Prüf das mal.
Gruß netzmeister
Die "Suche" ist euer Freund
Die "Suche" ist euer Freund
-
netzmeister
- Ehemaliges Teammitglied
- Beiträge: 1146
- Registriert: 02.05.2003 20:59
- Wohnort: Freiburg
- Kontaktdaten:
Hätte ja sein können.Aiko hat geschrieben:Hehe. Natürlich nicht. Es war eine "geschlossene Gruppe". Nur ich als Admin konnte der Gruppe Mitglieder hinzufügen.
Gruß netzmeister
Die "Suche" ist euer Freund
Die "Suche" ist euer Freund
... natürlich
es ist ein forum mit mehreren tausend benutzern und existiert auch schon länger, und bis vor 2 tagen konnte das auch noch niemand sehen
nach eigener aussage desjenigen der da erinkam ist es ein nicht public exploit, wusste aber nicht ob ichs ihm glauben sollt...
wo ich das nu gelesen hab dachte ich mal ich häng mich mit drann, da er ja scheinbar das selbe problem zu haben scheint
es ist ein forum mit mehreren tausend benutzern und existiert auch schon länger, und bis vor 2 tagen konnte das auch noch niemand sehen
nach eigener aussage desjenigen der da erinkam ist es ein nicht public exploit, wusste aber nicht ob ichs ihm glauben sollt...
wo ich das nu gelesen hab dachte ich mal ich häng mich mit drann, da er ja scheinbar das selbe problem zu haben scheint
Amosh:
was genau meinst Du mit "Moderatoren [Versteckt]"? Wo finde ich diese Option?
Bei mir waren die Forum-Permissions für
Ansicht / Lesen / Posten / Antworten / Bearbeiten
auf "Mod", für den Rest auf "Admin".
Bei den Group-Permissions hatte ich bei dem geschützten Forum unter "Moderatorenstatus" dann "ist hier Moderator".
Meint ihr wirklich, es ist möglich als Nicht-Befugter in den Bereich zu kommen? Wenn ja, wie?? Was sagen die Experten??
onez0r: wie war das denn bei dir geregelt mit den Permissions??
was genau meinst Du mit "Moderatoren [Versteckt]"? Wo finde ich diese Option?
Bei mir waren die Forum-Permissions für
Ansicht / Lesen / Posten / Antworten / Bearbeiten
auf "Mod", für den Rest auf "Admin".
Bei den Group-Permissions hatte ich bei dem geschützten Forum unter "Moderatorenstatus" dann "ist hier Moderator".
Meint ihr wirklich, es ist möglich als Nicht-Befugter in den Bereich zu kommen? Wenn ja, wie?? Was sagen die Experten??
onez0r: wie war das denn bei dir geregelt mit den Permissions??
