Значит у Вас имеется сторонняя брешь в безопасности, позволяющая добавлять сообщения на форум в обход скриптов форума (поскольку запрет в админке на создание тем и сообщений для гостей работает правильно, эта функция уже неоднократно проверялось и подтверждена годом бесперебойной работы данной версии форума на этом и множестве других сайтов). Проверяйте правильность расстановки прав доступа на файлы и папки текстовой базы данных форума. Все права доступа должны быть расставлены строго в соответствии с инструкциями хостера, иначе в некоторых случаях расстановка слишком широких прав (0777, 0755 и т.д.) на некоторых хостингах может открыть доступ к файлам Вашего форума для других пользователей (клиентов) хостинга

ну ладно...
но хост не давал никаких инструкций... и поддержка на столько забита, что он мне точно не ответит...
как я выводил права? расставил 666 на все, а потом судя по ошибкам на форуме выставлял 667 или 777
короче спасибо.. буду разбираться

это правда или ложь?

пассивные это ведь не страшно)

Ссылка не открывается

Сори, все открылось.

ЗЫ На всякий случай сделал принтскрин, если нужно будет прикреплю

altjo
lisiycat
vipraskrutka
Подтверждаю, проблема со скриптом редиректа rd.php есть, но чтобы ей воспользоваться нужно сочетание как минимум 2-х событий. Вредоносную ссылку c XSS (подобную приведённой altjo по ссылке выше) нельзя опубликовать на форуме или переслать в ЛС, эту ссылку и подобные ей можно отправить разве что по e-mail, ICQ и т.п. Если жертва кликнет подобную ссылку (при условии что она использует IE6), злоумышленник может украсть cookies жертвы, иными словами проделать то, что называется XSS.

Чтобы закрыть эту брешь, в самом начале скрипта rd.php разместите фильтрующий фрагмент, который будет осуществлять проверку правильности адреса перед осуществлением редиректа:

Данное исправление является критическим, однако тем, у кого мод перехода по внешним ссылкам через редирект не установлен, оно не нужно.

А ни о каких, из этой фразы всё становится ясно:

Вопрос вообще поставлен некорректно. Все входные данные POST экранируются, поэтому в данном случае они пытаются найти кодировку, где экранирование не будет работать (а оно не будет работать в кодировке, где управляющие символы представлены другими значениями их кодов в памяти). Однако это бесмысленно, поскольку браузер оперериует непосредственно ASCII-кодами управляющих символов (хотя в отношении того же IE6 всякое может быть), постольку они будут бесконечно искать свою кодировку и декодеры к ней:

Для тех, кто очень сильно боится, предлагаю настроить Apache для принудительной перекодировки всех входящих на форум запросов и отдаваемых страниц форума в windows-1251, тогда смысла в подмене кодировки нет

и есть одна мелочь...

altjo
Ничего страшного в данном случае нет, просто в скрипте отсутствовала проверка на наличие элемента, соответствующего запрашиваемому файлу, в массиве прикреплённых файлов. Учитывая что все входящие данные от пользователя экранируются, никакой угрозы безопасности этот недочёт в себе не несёт.

Для исправления открываем файл printfile.php, находим строку:

и заменяем её строкой:

Вот и всё!

В первом сообщении на данной странице в




может лучше заменить на


Просто меньше букв в регулярном выражении

Не лучше. Уже вышла обновлённая версия скрипта редиректа rd.php, где однозначно согласно документации PHP определён набор символов, не подлежащих URL-кодированию и через которые кодируются все остальные символы. Подробности здесь

В последнии дни в логах ошибок хостинга стали появляться такие строки:

Посмотрел логи доступа, с этого ip пытались зайти по этому адресу:

Решил посмотреть в Гугле, почему такой странный запрос и узнал, что это была попытка взлома через уязвимость скриптов ExBB

Вопрос, эти уязвимости закрыты?

ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны

Спасибо, теперь я спокоен

P.S. Самое интересное, что в бюллетене безопасности говорится о версии 1.9.1, скачал из архива эту версию, посмотрел, а там вообще нет ни папки /modules, ни тех файлов, которые перечислены в бюллетене.

Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?

Грешить ли на хостера? или?

В подобных файлах форум хранит информцию о неподтверждённых (неактивированных) по e-mail регистрациях. Как только зарегистрировавшийся пользователь переходит по ссылке в письме с инструкцией по активации, ему присваивается номер (ID) и информация из временного файла перемещается в файл с этим номером. Если же в течение 24 часов с момента регистрации активация не будет произведена, временный файл будет удалён