ExBB Community » » Уязвимости » Общие вопросы безопасности

Страниц (6): [1] 2 3 4 5 6 »
 

1. Светлана - 18 сентября 2009 — 21:30 - перейти к сообщению
Извиняюсь, вроде бы и такой темы нет: безопасность.

Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован). Ай-пи каждый раз новый. Через админку разрешено создавать посты только зарегистрированным пользователям. В папке "мемберс" обнаружена вот такая запись в файле __eaa7dcf20180ebff9bee53fd52a1496d:
CODE:
<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:9:"Illingert";
s:4:"pass";s:8:"bU8cnaOP";s:4:"mail";s:20:"winny23424@gmail.com";
s:5:"title";s:0:"";s:5:"posts";i:0;s:6:"joined";i:1253214678;
s:2:"ip";s:14:"94.142.130.167";s:9:"showemail";b:0;s:3:"www";
s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:9:"Illingert";s:8:"location";s:0:"";
s:9:"interests";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";
s:4:"skin";s:12:"InvisionExBB";s:7:"timedif";s:3:"-11";s:6:"avatar";s:8:"abra.gif";
s:6:"upload";b:1;s:7:"visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;
s:10:"posts2page";i:10;s:11:"topics2page";i:10;s:10:"last_visit";i:0;}

Что это и с чем едят? Поясните, плз, кто знает. Спасибо.
2. mastersound - 18 сентября 2009 — 23:21 - перейти к сообщению
Проверьте - правильно ли установлены права на запись (755 или 777) некоторых папок и, соответственно -не установлены ли такие права на папки, которым по условиям безопасности нельзя давать эти права, только 644 или ниже?

вот... поподробней из FAQ
Спойлер (Отобразить)

Видимо форум хакнули Недовольство, огорчение
Гости при ограничении из Админки и при отсутствии разделов, типа "курилки", где открывают доступ гостям для постинга, другим путем проникнуть на форум не могут.
3. Светлана - 3 октября 2009 — 13:35 - перейти к сообщению
С правами доступа всё в норме, спасибо. "Злоумышленник" проникает на форум через регистрацию. Обходится сторонкой подтверждение регистрации через почту. На почту админа приходит сообщение, что такого е-мэйл не существует, а пользователь нате, получите, уже в списках. Господа, это уже запор форума. Напрягает. Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ. И с капчёй надо что-то делать. Пробивается на раз. В одной из здешних веток видела утверждение, что форум безопасен на 100% и это подтвердили и наши и забугорные спецы. Как быть с тем, что происходило на моих глазах? Почему так легко пробить эту капчу и зарегиться на форуме без подтверждения по почте не составляет труда? Где слабое звено?
4. Светлана - 3 октября 2009 — 13:35 - перейти к сообщению
vipraskrutka пишет:
Светлана проверьте в админке в "Форумы - управление" по всем разделам, чтоб там небыло разрешения писать гостям.
"Общие настройки - безопасность" ставим ДА в "Активировать защиту от регистрации ботов?", и ставим НЕТ в "Разрешить пользователям задавать себе пароль?".
Все, при таких настройках 100% гарантия что автоматически никакая спамилка не пробьет, и никакие гости писать не будут.
Также проверьте чтоб у вас версия форума была последняя, и чтоб не стояло никаких левых модов (о которых на данном форуме не известно), чтоб исключить возможность взлома форума через левые кривые моды и дополнения.

Поменяйте пароль админов. Поменяйте фтп пароль, а также изучите скрипты на сайте на наличие посторонних скриптов, т.к. взлом фтп - самая распространенная проблема и виной этому криворукие админы сайтов, которые юзают фтп через тотал командер, сохраняя в нем пароли и имея на компе кучу вирусов.

Больше причин вашей проблемы я не вижу...

Ну, может и криворукость моя мешает... В том числе и та же проблема на других сайтах у других криворуких... Однако вроде бы не дурней паровоза и все настройки в админке те, что вы привели. Пароли доступа в фтп-менеджере, естественно, не сохраняются. Вирусов в компьютере нет. Я здесь что, антирекламу затеяла? Есть заинтересованность в этом движке, иначе не поднимала бы волну. Логично?
Вы всерьёз считаете этот движок "непробиваемым"? Есть серьёзная проблема и надо как-то решать, а обвинить админов сайтов конечно проще. Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.
5. yura3d - 3 октября 2009 — 16:59 - перейти к сообщению
Светлана пишет:
С правами доступа всё в норме, спасибо. "Злоумышленник" проникает на форум через регистрацию. Обходится сторонкой подтверждение регистрации через почту. На почту админа приходит сообщение, что такого е-мэйл не существует, а пользователь нате, получите, уже в списках. Господа, это уже запор форума. Напрягает.

Приведите пример такого сообщения о том что пользователь не найден, которое приходит на почту админку. Авторизоваться с неактивированной учётной записью невозможно в принципе (механизм авторизации вообще никак не взаимодействует с неактивирированными пользователями). Это же касается и подтверждения регистрации по e-mail, в алгоритме подтверждения имеются все необходимые проверки правильности ввода данных для активации. На этом форуме за полгода работы подобных проблем обнаружено не было, собственно, как и на форумах большинства пользователей. Проверяйте ещё раз правильность расстановки прав доступа. Возможно, на Вашем сервере установлены какие-либо другие скрипты (например, скрипты от WR), имеющие дыры в безопасности, через которые и осуществляется несанкционированный доступ к форуму

Светлана пишет:
Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ.

Откуда такая информация? Администратор этого сайта зарегистрирован на нашем форуме, не помню чтобы с его стороны поступали сообщения о подобных ошибках

Светлана пишет:
И с капчёй надо что-то делать. Пробивается на раз.

Системами автоматического распознавания образов текущий вариант каптчи не распознаётся, это проверено. Однако существует так называемый метод леммингов, при котором распознаванием текста с каптчи занимаются люди. Пусть этот метод и не очень эффективен для спамеров в финансовом плане, многие спамеры уже успели им воспользоваться. Для эффективного противодействия данному методу каптча (в любом её исполнении) не годится, Вам нужно использовать другие методы защиты с оригинальными вопросами, предполагающими определённые знания для ответов на них. Соответствующий мод для реализации собственных вопросов у нас есть

Светлана пишет:
Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.

На этот форум ежедневно пытаются пробиться несколько десятков ботов. Ни один не пробивается, будь у нас какие-либо проблемы в регистрации и авторизации, этот форум уже давно был бы забит спамом. Ну и как и было сказано выше, каптча не панацея от всех проблем
6. Светлана - 3 октября 2009 — 17:34 - перейти к сообщению
vipraskrutka пишет:
Светлана пишет:
Вы всерьёз считаете этот движок "непробиваемым"?

да, в стандартной его комплектации. Т.к. сам лично заказывал аудит движка у серьезных людей.

Кстати, по соседству с движком стоят еще какие-нибудь скрипты? На одном хостинг аккаунте (другие скрипты, другие сайты). Если да - в них также могут быть дырки.

Светлана пишет:
И капча - не фонтан.

стандартная капча не пробивается автоматически, единственная программа которая самая пробивучая - xrumer, с ней я тоже "на ты", она не пробивает капчу, и к ExBB FM не обучена.
Потому спамят вас вручную.

Светлана пишет:
Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.

можо узнать что это был за чудо бот?


Комплектация стандартная, июльская, этого года. Менялись только файлы .тпл и вносились изменения по рекомендации Юры. По "соседству" ничего нет. Бот создан, видимо, не менее "серьёзными людьми", чем те, к кому вы обращались. Обозвали его луером (Lauer).
(Добавление)
yura3d пишет:
Приведите пример такого сообщения о том что пользователь не найден, которое приходит на почту админку. Авторизоваться с неактивированной учётной записью невозможно в принципе (механизм авторизации вообще никак не взаимодействует с неактивирированными пользователями). Это же касается и подтверждения регистрации по e-mail, в алгоритме подтверждения имеются все необходимые проверки правильности ввода данных для активации. На этом форуме за полгода работы подобных проблем обнаружено не было, собственно, как и на форумах большинства пользователей. Проверяйте ещё раз правильность расстановки прав доступа. Возможно, на Вашем сервере установлены какие-либо другие скрипты (например, скрипты от WR), имеющие дыры в безопасности, через которые и осуществляется несанкционированный доступ к форуму

Светлана пишет:
Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ.

Откуда такая информация? Администратор этого сайта зарегистрирован на нашем форуме, не помню чтобы с его стороны поступали сообщения о подобных ошибках

Светлана пишет:
И с капчёй надо что-то делать. Пробивается на раз.

Системами автоматического распознавания образов текущий вариант каптчи не распознаётся, это проверено. Однако существует так называемый метод леммингов, при котором распознаванием текста с каптчи занимаются люди. Пусть этот метод и не очень эффективен для спамеров в финансовом плане, многие спамеры уже успели им воспользоваться. Для эффективного противодействия данному методу каптча (в любом её исполнении) не годится, Вам нужно использовать другие методы защиты с оригинальными вопросами, предполагающими определённые знания для ответов на них. Соответствующий мод для реализации собственных вопросов у нас есть

Светлана пишет:
Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.

На этот форум ежедневно пытаются пробиться несколько десятков ботов. Ни один не пробивается, будь у нас какие-либо проблемы в регистрации и авторизации, этот форум уже давно был бы забит спамом. Ну и как и было сказано выше, каптча не панацея от всех проблем

Сообщение с мэйл.ру не сохранила. Да это обычное сообщение мэйл-службы о том, что "... к сожалению, на ваш запрос... так как такой адрес не обнаружен... ай-пи..."" и т.д. Ещё сообщение от джи-мэйл, но такое же по сути: "Hi. This is the qmail-send program at ххххххх.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<winny23424@gmail.com>:
209.85.219.15 does not like recipient.
Remote host said: 550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 http://mail.google.com/support/b...r.py?answer=6596 19si758573ewy.94
Giving up on 209.85.219.15......."
Так что получается, что зарегистрироваться без подтверждения по мылу как раз можно... в принципе... Так как пользователь с почтовым адресом winny23424@gmail.com появлялся в списках пользователей под разными именами несколько раз. Может обходят как-то, не знаю... И каждый раз служба джи-мэйл присылала админу сообщение, приведённое выше. Причём, бардак прекращается после того, как я, очередной раз удалив нежелательного пользователя, снова запрещаю регистрацию новых пользователей. Но... как только разрешаю, регистрируется ещё какой-нибудь балбес под другим именем и с другим ай-пи и всё продолжается. Перегружала форум, меняла пароли фтп.
На форуме php.su в нескольких постах админа уже просили сменить движок и жаловались на появление рекламы порносайтов и другого хлама (у меня то же самое). Не знаю, почему админ сайта не поставил вас в известность.
7. yura3d - 3 октября 2009 — 17:51 - перейти к сообщению
Светлана
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом неавторизованный пользователь получает доступ к созданию сообщений на Вашем форуме
8. Светлана - 3 октября 2009 — 17:59 - перейти к сообщению
yura3d пишет:
Светлана
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом неавторизованный пользователь получает доступ к созданию сообщений на Вашем форуме

Да, попросила об этом хостера. Посмотрю, что сообщат. Да и в том-то и дело, что пользователь как раз авторизуется!
9. yura3d - 3 октября 2009 — 18:27 - перейти к сообщению
Хм, так авторизацию спамер проходит или нет? Из сообщений выше не понятно, ибо имеют место 2 противоположных утверждения:
Светлана пишет:
Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован).

Светлана пишет:
Да и в том-то и дело, что пользователь как раз авторизуется!
10. Светлана - 3 октября 2009 — 19:05 - перейти к сообщению
yura3d пишет:
Хм, так авторизацию спамер проходит или нет? Из сообщений выше не понятно, ибо имеют место 2 противоположных утверждения:
Светлана пишет:
Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован).

Светлана пишет:
Да и в том-то и дело, что пользователь как раз авторизуется!

Повторюсь: первый случай - сообщения оставляет "гость", хотя права оставлять сообщения "гостем" не выставлены, второй - спаммер авторизуется, обходя подтверждение авторизации по е-мэйл.
11. yura3d - 3 октября 2009 — 19:21 - перейти к сообщению
Светлана пишет:
Повторюсь: первый случай - сообщения оставляет "гость", хотя права оставлять сообщения "гостем" не выставлены, второй - спаммер авторизуется, обходя подтверждение авторизации по е-мэйл.

Ясно, план наших действий от этого не изменяется:
yura3d пишет:
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом...
12. Светлана - 4 октября 2009 — 12:56 - перейти к сообщению
vipraskrutka пишет:
Светлана может всетаки покажите свой форум?

Разве об этом стоял вопрос? Там смотреть в общем, не на что. Всё поудаляли. Проект с мёртвой точки никак не сдвинем Огорчение совместными усилиями. Разве что посмотреть, как Helen, прикованная к больничной койке, торгует даже теми средствами, что разрешают. Есть на что Улыбка . Мне так ещё долго учиться. http://helenclubfinance.com/forum/
13. Victor - 4 октября 2009 — 13:44 - перейти к сообщению
Светлана лично у меня были боты и разные гости оставляющие рекламу, решилось все отключением возможности гостям отвечать и создавать темы... попытки ботов зарегится обычно проваливаются...

Я бы посоветовал проверить целостность всех файлов загруженных на сервер, плюс поставь оригинальную тему без измененных файлов и потом включив защиту понаблюдать...
возможно часть файлов побилась или повредилась..
14. Светлана - 4 октября 2009 — 14:00 - перейти к сообщению
Цитата:
Я бы посоветовал проверить целостность всех файлов загруженных на сервер, плюс поставь оригинальную тему без измененных файлов и потом включив защиту понаблюдать...
возможно часть файлов побилась или повредилась..

Уже делалось, увы.
15. Borman - 4 октября 2009 — 16:48 - перейти к сообщению
Предлагаю поставить мод "текстовое подтверждение", сменить хостера ибо я больше склоняюсь к нечистоплотности его, тем более если хостер завел сервера под спам вам от них не отбиться ибо как не крути, а они при желании имеют доступ к вашим файлам.

От себя, второй год юзаю этот форум скажу что он единственный из всех существующих в инете бесплатных форумов которого еще не "пробили"!!!

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0299]     [ ]