家园奇案！谁动了你的ID？

[j0n6dj2y2w]

前面说明了，这是因为管理员权限设置错误，导致所有论坛新注册的用户，有了1项（仅1项）版主的权限（编辑基本用户资料）。我上面贴的图片是管理员才有的权限和界面，管理员通过上面的错误设置，才导致所有论坛“新用户“有了这项权限，即编辑用户的资料信息，包括自定义头衔等。

你也可以通过上面的图注意到，除了编辑基本用户资料这项权限以外，它并没有查看IP，警告和封禁用户的权限，所以它能做的破坏是比较有限的，只能mess用户的头衔之类的。

这个“ 大叔老矣?stillcanflirtwithdm” ，作为新注册用户，看到这个，它不应该有的，版主才有的编辑菜单，就滥用了这项权力。其实所有论坛新用户，因为这项设置错误，一度都有这个权力，但只有这个ID，注意到，并滥用了这项权力。

这个ID和家园论坛没有任何关系，也没有所谓黑客进家园论坛系统的能力，除了这个编辑功能以外，也没有看到额外，不应该看到的信息。

至于这个ID的所有历史操作，论坛确实有记录(log)，我们没有发现其它不当操作。

能看出多少人的资料被改动过吗？

 

[j0n6dj2y2w]

很奇怪之前有人篡改我的头像，个性前面和头像下的标注，一开始还以为是系统出错，结果改过去还是被修改了，而且经常定期修改，刚刚竟然被修改成“禁封用户”。不知道这样的手段是谁弄出来的？刚刚再次将一切修改回来，发现我的邮箱竟然是一个不知道的邮箱，不知道这个邮箱是谁的？是不是被什么骇客给侵占了？
是不是家园被不明势力入侵了？还是是版主自己搞得玩笑？
浏览附件540629浏览附件540630

多谢你这一贴的提醒，不愧为是家园有功之臣。

 

[j0n6dj2y2w]

原来网络里也有大侠。

查了一下，我的资料没被改动过。

 

[jjsheng]

查了一下，我的资料没被改动过。

说明你不那么招人怨吧，或者说你还不够大咖。

 

[j0n6dj2y2w]

说明你不那么招人怨吧，或者说你还不够大咖。

我很普通，最大的特点就是助人为乐，偶尔口头玩笑闹闹，极少货真价实地显摆，应该没人怨。

 

[星川]

谢谢楼主报告这个情况，帮助我们解决了一个设置错误。家园论坛当前已经解除了这个错误的设置。

导致这个问题的根本原因如下：
----------------------------------------------------

管理员日前在创建“新用户”这个组别时，不小心错误的赋予了这个组别一项特别的权限。如下图：

”编辑基本用户资料“


浏览附件540645
----------------------------------------------------------------

一位“有心”的论坛会员，发现并利用了这个漏洞，注册了一个名叫“ 大叔老矣?stillcanflirtwithdm” 的新用户， 从而获得了 ”编辑基本用户资料“ 的权限，然后多次反复编辑了 楼主的资料。

嗯，这个画面是是设置常规版主权限的界面，
也就是说大叔老矣注册时是常规版主
普通用户网友注册时也是常规版主？
还是给大叔老矣赋予了常规版主，不过是不小心多给了一个功能？