Стояла 2.0.21 версия форума, обновил до 2.0.22
Есть аккаунт с id=2, который давно снят с админства.
Сейчас у видел, что он имеет возможность просматривать спрятанные приватные форумы и писать в них тоже.
Этот пользователеь акка, теоритически мог иметь доступ к базе данных форума на сервере уже после того, как его понизили в правах.
Стандартные средства админ панели "Права доступа" - отображабт его как пользователь...
Staff_mod так же не выводит в инфо окно информацию о нём.
Как избавится?
бывший администратор с правами просмотра привата
-
Браток
- phpBB 1.4.1
- Сообщения: 47
- Стаж: 18 лет 10 месяцев
-
Браток
- phpBB 1.4.1
- Сообщения: 47
- Стаж: 18 лет 10 месяцев
Все права ограничены, закрыто всё.RedNaxi писал(а):исправить его права доступа к форумам
Сейчас зделал с помощью мода Reset User Level коррекцию.
Понаблюдаю за просмотрами тем и отпишу. Но не надеюсь, если честно, что исправлено.
Добавлено спустя 2 часа 11 минут 37 секунд:
НЕ помогло! ХЕЛП
Таблицы изучал юзеров, заметил что у этого поле user_newpasswd пустое - у других либо NULL, либо в хэше пароль. Кроме него ещё с пустым полем Аноним.
-
Balamut
- Former team member
- Сообщения: 2214
- Стаж: 20 лет 1 месяц
- Откуда: {postrow.POSTER_FROM}
- Поблагодарили: 68 раз
-
Браток
- phpBB 1.4.1
- Сообщения: 47
- Стаж: 18 лет 10 месяцев
Для начала я изменил пароль юзверя на свой (предварительно сохранил его пароль, что бы вернуть), зашёл под ним и не увидел расширенных прав. Всё в точности соответствует проставленным в админке флажкам.
Напомню, что юзер тот совершенно точно просматривал приватные темы, размещал там сообщения и даже удалил пользователя.
Вернул ему пароль, изменил id на свободное, обнулил user_newpasswd на NULL.
Буду ждать его активности снова, провоцируя на просмотр закрытых тем.
Напомню, что юзер тот совершенно точно просматривал приватные темы, размещал там сообщения и даже удалил пользователя.
Вернул ему пароль, изменил id на свободное, обнулил user_newpasswd на NULL.
Буду ждать его активности снова, провоцируя на просмотр закрытых тем.
-
Браток
- phpBB 1.4.1
- Сообщения: 47
- Стаж: 18 лет 10 месяцев
после обнаружения злостных деяний, свой пароль я изменил - после чего они повторилисьRedNaxi писал(а):может ему известен ваш пароль?
моё присутствие заметили бы те, кто в это время был на форуме.
мм, предположим:
Юзер читает темы под своим логином - это фиксирует мод "кто смотрел".
Если только он заходит мной, проставляет себе админские права, читает, снова заходит мной что бы их убрать.. не очень похоже, т.к. он несколько раз просматривал как-то темы с кратким перервом.
левых юзеров удалил и изменил на оставшихся пароли.RedNaxi писал(а):или он пока был админом создал себе левого юзера ftp|mysql и теперь доволен
-
Браток
- phpBB 1.4.1
- Сообщения: 47
- Стаж: 18 лет 10 месяцев
-
Палыч
- Former team member
- Сообщения: 9683
- Стаж: 18 лет 11 месяцев
- Откуда: Питер
- Благодарил (а): 1 раз
- Поблагодарили: 27 раз
Читать можно прямо из базыБраток писал(а):Где-то дыра.. он снова читает
А может доступ остался? (подключиться к БД можно не заходя на форум, если знать пароль к БД)Браток писал(а):Этот пользователеь акка, теоритически мог иметь доступ к базе данных форума на сервере уже после того, как его понизили в правах.
Не все то WINDOWS, что висит... phpBB только учусь.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
ICQ, email, ЛС - только для личных сообщений. Вопросы по phpbb только на форумах. По найму не работаю.
