phpBB.de

[edit: Es gab keine Sicherheitslücke, sondern ein Admin hatte das Thema ohne Hinweis verschoben und ich hab's versäumt im Protokoll nachzusehen. ]

Hallo,

heute musste ich feststellen, dass eine neuregistrierte Person in einem Bereich einen Beitrag geposted hat, der eigentlich für sie gar nicht zugänglich sein sollte.

In dem Beitrag stand der HInweis, das Thema zu entfernen und dass er die "Antwort" auf Google gefunden habe.

NikolasTesla hat geschrieben:I found the answer in google, remove the topic pls.

Hat jemand eine Idee, wie das passieren konnte? Effektive Berechtigungen habe ich überprüft und sämtliche Berechtigungen des Users für das betreffende Forum waren auf "Nein". Ebenso konnte ich über "Berechtigungen des Nutzers testen" nicht auf den Bereich zugreifen. Also soweit scheint alles korrekt.

Die Art und Weise wie der Nutzer sich geäußert hat und dass er weder Spam noch sonst etwas produziert hat, sondern nur diese Nachricht im Adminforum hinterlassen hat, lässt mich vermuten, dass das ein Hinweis auf eine evtl. Sicherheitslücke sein sollte?!?

Zum Forum:

• Version 3.0.10
• Selbstmodifizierter Prosilverstyle (sonst keine Styles aktiv)
• Mods:
  • NV "who was here?"
  • MOD Version Check
  • phpBB Calendar
  • phpBB Statistics
  • Automatische Sommerzeit 2
  • phpBB Gallery
  • Snippet "Zuletzt bearbeitet von ..." immer anzeigen

Hat irgendjemand ne Idee?

Herzlichen Dank
Jopa

Ich denke, du hast die Rechte einfach falsch gesetzt, wenn selbst Google bzw. die Botgruppe Zugriff aufs Adminforum bei dir hat...
Leg doch selbst mal einen neuen Nutzer an, der dann automatisch die gleichen Rechte hat wie der Neuzugang, denn du hier erwähnst. Dann siehst du doch, ob Neuzugänge standardmäßig das Forum sehen können oder nicht.

Ich denek ebenfall an die Rechtevergabe.

jopa hat geschrieben: sämtliche Berechtigungen des Users für das betreffende Forum waren auf "Nein".

Ein "Nein" kann woanders durch ein "Ja" quasi überschrieben werden - das solltest du nun genauer untersuchen!

Vllt. helfen dir auch die Erklärungen:
KB:rechtesystem
KB:rechte_verfolgen

sorry habt mich wohl falsch verstanden

effektive Berechtigungen des Nutzers sind alle auf "nein"

Ich habe bei Google, weder das Adminforum, noch irgendeinen Hinweis darauf finden können. Botrechte sind auch so gesetzt, dass kein Zugriff darauf möglich ist => Effektive Berechtigungen "Nein"

trotzdem schon mal danke für die antworten

Aber mir ist noch etwas anderes aufgefallen:
Die ThemenID ist erheblich größer als eigentlich nötig. Ein neues Thema was ich erstellt habe hat ID 263. Das "Hack-Thema" hat ID 1192, was etwas über der Anzahl der Gesamtbeiträge liegt.

Ich vermute daher, dass der Eintrag nicht über die "normale" Routine, bzw. das Formular erfolgt ist, sondern der Eintrag möglicherweise über eine SQL-Injektion eingeschleust wurde und der Angreifer sicher gehen wollte, dass die ThemenID noch nicht belegt ist.

edit: Testuser neuangemeldet und Berechtigungen getestet => kein Zugriff möglich

Das die Themen oder Beitrags ID höher liegt als die tatsächliche Anzahl an Themen oder Beiträge im Forum ist, liegt daran, das wenn Themen oder Beiträge gelöscht werden, die ID's trotzdem fortlaufen und nicht zurückgehen.

Beispiel:
Thema A hat die ID1
Thema B hat die ID2
Thema C hat die ID3
nun wird Thema C gelöscht, somit auch die ID3 - welche nun teoretisch wieder frei ist.
Wenn jetzt ein weiteres Thema eröffnet wird, bekommt das dennoch die ID4 und nicht die 3

Das liegt daran, das die Datenbank quasi immer beim neuen Eintrag +1 macht (auto_increment), sie weiß was die letzte eingetragene ID war, speichert das (auch wenn die letzte ID-Eintrag wieder gelöscht wir) und macht beim nächsten Eintrag die darauffolgende ID
Das verhindert Kollisionen.

Wenn also ein Bot eine SQL-Injection oder der gleichen durchgeführt haben sollte, hätte er sicherlich schlimmeres verursacht.
Wenn du deine Log-Files (des Servers) auswertest kannst das auch erkennen.

Zu deinem Test:
Du hast dir einen Testaccount erstellt, dann hattest du sicherlich die Rechte eines "neuregistrierter Benutzer" oder "Registrierter Benutzer" (jenachdem wie deine Einstellung ist).
Du hast also sicherlich nicht die Einstellung (Rechte) eines Bots getest.

Und wie gesagt, "Nein" bedeutet nicht "Nie", deswegen kann ein "Ja" an anderer Stelle eine "Nein" Einstellung überschreiben - "Nie" hingegen bedeutet auch wirklich "Nie".

hackepeter13 hat geschrieben:Du hast also sicherlich nicht die Einstellung (Rechte) eines Bots getest.

Das kann man in der Regel recht einfach überprüfen, indem man den User-Agent des Browsers überschreibt. Wenn ein Bot nur an Teilen des User-Agents erkannt wird, klappt das immer, wenn man im ACP IP-Bereiche eingegeben hast, natürlich nicht.

Danke für die Antworten. Und nochmal Sorry, dass ich mich bei den Rechten missverständlich ausgedrückt habe. Ich verstehe, dass ihr erst an die Rechteverwaltung denkt. Ist ja auch nicht das Trivialste hier bei phpBB. Aber ich bin mir ziemlich sicher, dass die Rechte korrekt gesetzt sind.

hackepeter13 hat geschrieben:Das die Themen oder Beitrags ID höher liegt als die tatsächliche Anzahl an Themen oder Beiträge im Forum ist, liegt daran, das wenn Themen oder Beiträge gelöscht werden, die ID's trotzdem fortlaufen und nicht zurückgehen.

Ich Dussel hab die IDs vertauscht Das eine is ne BeitragsID, das andere ne ThemenID.

hackepeter13 hat geschrieben: Wenn also ein Bot eine SQL-Injection oder der gleichen durchgeführt haben sollte, hätte er sicherlich schlimmeres verursacht.
Wenn du deine Log-Files (des Servers) auswertest kannst das auch erkennen.

Jo ich werd mich mal drum bemühen. Liegt aufm Server der Uni das Forum.
Ich weiß nicht, ob da irgendwelche Daten ausgespäht wurden oder so, aber bislang ist mir noch nichts Gravierendes aufgefallen.

Aber da das mit der ThemenID nur von mir falsch gesehen war, ist natürlich die Wahrscheinlichkeit wieder höher, dass es doch keine SQL-Injektion war

hackepeter13 hat geschrieben:
Zu deinem Test:
Du hast dir einen Testaccount erstellt, dann hattest du sicherlich die Rechte eines "neuregistrierter Benutzer" oder "Registrierter Benutzer" (jenachdem wie deine Einstellung ist).
Du hast also sicherlich nicht die Einstellung (Rechte) eines Bots getest.

Und wie gesagt, "Nein" bedeutet nicht "Nie", deswegen kann ein "Ja" an anderer Stelle eine "Nein" Einstellung überschreiben - "Nie" hingegen bedeutet auch wirklich "Nie".

Ja sorry, ich hab "Nein" geschrieben und "Nie" gemeint, bei den effektiven Rechten gibts ja kein "Nein". Mein Fehler, ändert aber an dem Problem nix

modernist hat geschrieben:

hackepeter13 hat geschrieben:Du hast also sicherlich nicht die Einstellung (Rechte) eines Bots getest.

Das kann man in der Regel recht einfach überprüfen, indem man den User-Agent des Browsers überschreibt. Wenn ein Bot nur an Teilen des User-Agents erkannt wird, klappt das immer, wenn man im ACP IP-Bereiche eingegeben hast, natürlich nicht.

Hui das mag sein. Aber der mehr Gewinn ist nicht sonderlich groß, wenn ich mich darein denke und an meinem Browser rumspiele. Die Botrechte stehen laut phpBB auf "Nie". Und ich konnte wie gesagt auch noch bei keiner Suchmaschine etwas aus meinem Adminbereich entdecken.


Gut also ich vermute, dass der php Calendar 0.1.0 (alightner) ne Sicherheitslücke hat. Befindet sich ja auch noch in der Entwicklungsphase. Den werde ich nun erstmal wieder ausbauen.

PS: Noch ein Wörtchen zu mir. Gut ich ich bin kein Profi, aber ich habe die Homepage, die zum Forum gehört, selbst geschrieben samt kleinem CMS. Also so ganz der Neuling bin ich nich. Mit PHP, (X)HTML und CSS kann ich gut was anfangen und auch SQL ist mir nich ganz unbekannt. Ich betreibe auch seit 7 Jahren phpBB-Foren, so dass ich durchaus mit der Rechtevergabe vertraut bin Was ja nicht heißen muss, dass ich da keine Fehler mache.

jopa hat geschrieben:Gut also ich vermute, dass der php Calendar 0.1.0 (alightner) ne Sicherheitslücke hat.

Ob der Kalender eine Lücke öffnet um in die posting-DB-Tabelle einträge zu machen, kann ich nicht beurteilen (da ich ihn auch nicht nutze), hat denn der Kalender etws mit der posting-Funktion zu tun?

jopa hat geschrieben:Befindet sich ja auch noch in der Entwicklungsphase.

Woher hast du die Info?
Laut dem Mod-Thema auf phpbb.com hat die Mod den Status [ABD]
Was soviel bedeutet wie Entwicklung eingestellt (alle Bezeichnungen) - und das ist bei dieser Mod schon sehr lange der Fall.

Hallo
Es handelt sich bei NikolasTesla um einen Spambot --> siehe http://www.google.de/#hl=de&cp=53&gs_id ... 39&bih=563
Ich nehme an, da stimmt etwas bei deinen Berechtigungen nicht.


Grüße: Mahony

@Hackepeter: Ui, Danke für die Info

Das hab ich noch nich gewusst. Gut mal so ne Abkürzungserklärung zu haben. Nun denn, da liege ich vermutlich gar nicht so falsch mit meiner Vermutung, dass da irgendwo der Wurm steckt.

Ich guck mal, ob ich einen Zusammenhang mit der Posting-Tabelle finde. Kommentare können übern Kalender jedenfalls abgegeben werden, wo die gespeichert werden, mal sehn.
Mal gucken, wann ich dazu komme. Also herzlichen Dank

Ich bau das Teil aus und dann hat sich das hoffentlich erledigt. In Zukunft werde ich da bei der Wahl meiner Mods besser aufpassen.

Mal so nebenbei: Kennt jemand zufällig einen aktuellen Kalendermod mit der Funktionalität, dass man sich auch zu den einzelnen Terminen eintragen kann und vielleicht auch Kommentare schreiben kann?

@Mahony: Danke. Werde das nochmal prüfen mit den Bot- und Gast- Berechtigungen, auch wenn ich das schon mehrfach getan habe.