phpBB.de

Ich betreibe ein phpBB2 2.0.17 (mit SoftBlue V2-Template, falls das zur Sache tut).

Vor einiger Zeit haben wir einen "geschützten Bereich" eingerichtet, in den nur bestimmte Benutzer reinkönnen sollen. Das habe ich realisiert, indem ich ein neues Unterforum und eine neue Benutzergruppe erstellt habe.
Alle Mitglieder dieser Benutzergruppe haben in dem besagten Unterforum Moderator-Status.
Das Unterforum ist allerdings für ALLE (auch unregistrierte) SICHTBAR gewesen, ebenso ist die Liste der Mitglieder der Benutzergruppe für ALLE sichtbar gewesen.
Lesen, Schreiben etc. in dem Unterforum konnten aber nur Moderatoren (also in diesem Falle alle Mitglieder der besagten Benutzergruppe).

Jetzt ist ein Photo (und andere Infos), das in diesem Unterforum gepostet wurde, an Stellen gelangt, wo sie nicht hinsollten (worum es inhaltlich geht tut hier eigentlich nicht zur Sache, kleines Stichwort: Fußballfans) und das Vertrauen aller Mitglieder der Benutzergruppe untereinander und auch ggüber der Software ist natürlich zerstört. Es gibt nun zwei Theorien:

1. einer der Mitglieder der Benutzergruppe war ein "Maulwurf" und nicht vertrauenswürdig, dann bin ich bei euch im Supportforum an der falschen Adresse :)

2. es gibt eine technische Möglichkeit doch in unser Unterforum reinzukommen! Das Ausprobieren von Passwörtern bestimmter User (die Liste der Mitglieder der Benutzergruppe war ja für ALLE einsehbar) halte ich für unwahrscheinlich.
Gibt es da einen "Hackertrick", um da reinzukommen oder haltet ihr das bei meinem phpBB2 2.0.17 für eher unwahrscheinlich?? Was sagen die Experten, wie sind die Erfahrungen? Wird sowas hier öfters berichtet??

Wäre euch sehr dankbar für Hilfe und Aufklärung in meinem kleinen "Kriminalfall". Was haltet ihr für wahrscheinlich?

Hallo,
kann es sein das du eine öffentliche Gruppe erstellt hast.
In öffentlichen Gruppen kann sich jeder anmelden und hat somit Zugang
zu deinem Internen. Prüf das mal.

Hehe. Natürlich nicht. Es war eine "geschlossene Gruppe". Nur ich als Admin konnte der Gruppe Mitglieder hinzufügen.

Aiko hat geschrieben:Hehe. Natürlich nicht. Es war eine "geschlossene Gruppe". Nur ich als Admin konnte der Gruppe Mitglieder hinzufügen.

Hätte ja sein können.

das problem kann ich nur bestätigen, sieht nach einem explit aus...
jemand der nicht in den geschützen bereich darf, wusste auf einmal gestern wann und von wem das letzte thema erstellt wurde
ist auch bei mir ein phpbb2.0.17...

Hast du das Forum auf die Option "Moderatoren [Versteckt]" bei Befugnoissen gestellt?

... natürlich
es ist ein forum mit mehreren tausend benutzern und existiert auch schon länger, und bis vor 2 tagen konnte das auch noch niemand sehen

nach eigener aussage desjenigen der da erinkam ist es ein nicht public exploit, wusste aber nicht ob ichs ihm glauben sollt...
wo ich das nu gelesen hab dachte ich mal ich häng mich mit drann, da er ja scheinbar das selbe problem zu haben scheint

Amosh:
was genau meinst Du mit "Moderatoren [Versteckt]"? Wo finde ich diese Option?

Bei mir waren die Forum-Permissions für
Ansicht / Lesen / Posten / Antworten / Bearbeiten
auf "Mod", für den Rest auf "Admin".

Bei den Group-Permissions hatte ich bei dem geschützten Forum unter "Moderatorenstatus" dann "ist hier Moderator".

Meint ihr wirklich, es ist möglich als Nicht-Befugter in den Bereich zu kommen? Wenn ja, wie?? Was sagen die Experten??

onez0r: wie war das denn bei dir geregelt mit den Permissions??

das forum ist so eingestellt, das man jeden user der da rein darf einzeln unter befugnisse freischalten muss, außerdem natürlich für leute die nicht reinkommen versteckt