ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (6): [1] 2 3 4 5 6 »   

> Без описания
Светлана
Отправлено: 18 сентября 2009 — 21:30
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


Выделено в отдельную тему из темы "Отступ"
Извиняюсь, вроде бы и такой темы нет: безопасность.

Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован). Ай-пи каждый раз новый. Через админку разрешено создавать посты только зарегистрированным пользователям. В папке "мемберс" обнаружена вот такая запись в файле __eaa7dcf20180ebff9bee53fd52a1496d:
CODE:
<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:9:"Illingert";
s:4:"pass";s:8:"bU8cnaOP";s:4:"mail";s:20:"winny23424@gmail.com";
s:5:"title";s:0:"";s:5:"posts";i:0;s:6:"joined";i:1253214678;
s:2:"ip";s:14:"94.142.130.167";s:9:"showemail";b:0;s:3:"www";
s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:9:"Illingert";s:8:"location";s:0:"";
s:9:"interests";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";
s:4:"skin";s:12:"InvisionExBB";s:7:"timedif";s:3:"-11";s:6:"avatar";s:8:"abra.gif";
s:6:"upload";b:1;s:7:"visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;
s:10:"posts2page";i:10;s:11:"topics2page";i:10;s:10:"last_visit";i:0;}

Что это и с чем едят? Поясните, плз, кто знает. Спасибо.
 
 
mastersound
Отправлено: 18 сентября 2009 — 23:21
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 604
Дата рег-ции: Март 2009  
Откуда: Ё-бург
Репутация: 23




Выделено в отдельную тему из темы "Отступ"
Проверьте - правильно ли установлены права на запись (755 или 777) некоторых папок и, соответственно -не установлены ли такие права на папки, которым по условиям безопасности нельзя давать эти права, только 644 или ниже?

вот... поподробней из FAQ
Спойлер (Отобразить)

Видимо форум хакнули Недовольство, огорчение
Гости при ограничении из Админки и при отсутствии разделов, типа "курилки", где открывают доступ гостям для постинга, другим путем проникнуть на форум не могут.
 
 
Светлана
Отправлено: 3 октября 2009 — 13:35
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


Выделено в отдельную тему из темы "Отступ"
С правами доступа всё в норме, спасибо. "Злоумышленник" проникает на форум через регистрацию. Обходится сторонкой подтверждение регистрации через почту. На почту админа приходит сообщение, что такого е-мэйл не существует, а пользователь нате, получите, уже в списках. Господа, это уже запор форума. Напрягает. Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ. И с капчёй надо что-то делать. Пробивается на раз. В одной из здешних веток видела утверждение, что форум безопасен на 100% и это подтвердили и наши и забугорные спецы. Как быть с тем, что происходило на моих глазах? Почему так легко пробить эту капчу и зарегиться на форуме без подтверждения по почте не составляет труда? Где слабое звено?

(Отредактировано автором: 3 октября 2009 — 13:36)

 
 
Светлана
Отправлено: 3 октября 2009 — 13:35
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


Перенесено из темы "Отступ"
vipraskrutka пишет:
Светлана проверьте в админке в "Форумы - управление" по всем разделам, чтоб там небыло разрешения писать гостям.
"Общие настройки - безопасность" ставим ДА в "Активировать защиту от регистрации ботов?", и ставим НЕТ в "Разрешить пользователям задавать себе пароль?".
Все, при таких настройках 100% гарантия что автоматически никакая спамилка не пробьет, и никакие гости писать не будут.
Также проверьте чтоб у вас версия форума была последняя, и чтоб не стояло никаких левых модов (о которых на данном форуме не известно), чтоб исключить возможность взлома форума через левые кривые моды и дополнения.

Поменяйте пароль админов. Поменяйте фтп пароль, а также изучите скрипты на сайте на наличие посторонних скриптов, т.к. взлом фтп - самая распространенная проблема и виной этому криворукие админы сайтов, которые юзают фтп через тотал командер, сохраняя в нем пароли и имея на компе кучу вирусов.

Больше причин вашей проблемы я не вижу...

Ну, может и криворукость моя мешает... В том числе и та же проблема на других сайтах у других криворуких... Однако вроде бы не дурней паровоза и все настройки в админке те, что вы привели. Пароли доступа в фтп-менеджере, естественно, не сохраняются. Вирусов в компьютере нет. Я здесь что, антирекламу затеяла? Есть заинтересованность в этом движке, иначе не поднимала бы волну. Логично?
Вы всерьёз считаете этот движок "непробиваемым"? Есть серьёзная проблема и надо как-то решать, а обвинить админов сайтов конечно проще. Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.
 
 
yura3d
Отправлено: 3 октября 2009 — 16:59
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Светлана пишет:
С правами доступа всё в норме, спасибо. "Злоумышленник" проникает на форум через регистрацию. Обходится сторонкой подтверждение регистрации через почту. На почту админа приходит сообщение, что такого е-мэйл не существует, а пользователь нате, получите, уже в списках. Господа, это уже запор форума. Напрягает.

Приведите пример такого сообщения о том что пользователь не найден, которое приходит на почту админку. Авторизоваться с неактивированной учётной записью невозможно в принципе (механизм авторизации вообще никак не взаимодействует с неактивирированными пользователями). Это же касается и подтверждения регистрации по e-mail, в алгоритме подтверждения имеются все необходимые проверки правильности ввода данных для активации. На этом форуме за полгода работы подобных проблем обнаружено не было, собственно, как и на форумах большинства пользователей. Проверяйте ещё раз правильность расстановки прав доступа. Возможно, на Вашем сервере установлены какие-либо другие скрипты (например, скрипты от WR), имеющие дыры в безопасности, через которые и осуществляется несанкционированный доступ к форуму

Светлана пишет:
Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ.

Откуда такая информация? Администратор этого сайта зарегистрирован на нашем форуме, не помню чтобы с его стороны поступали сообщения о подобных ошибках

Светлана пишет:
И с капчёй надо что-то делать. Пробивается на раз.

Системами автоматического распознавания образов текущий вариант каптчи не распознаётся, это проверено. Однако существует так называемый метод леммингов, при котором распознаванием текста с каптчи занимаются люди. Пусть этот метод и не очень эффективен для спамеров в финансовом плане, многие спамеры уже успели им воспользоваться. Для эффективного противодействия данному методу каптча (в любом её исполнении) не годится, Вам нужно использовать другие методы защиты с оригинальными вопросами, предполагающими определённые знания для ответов на них. Соответствующий мод для реализации собственных вопросов у нас есть

Светлана пишет:
Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.

На этот форум ежедневно пытаются пробиться несколько десятков ботов. Ни один не пробивается, будь у нас какие-либо проблемы в регистрации и авторизации, этот форум уже давно был бы забит спамом. Ну и как и было сказано выше, каптча не панацея от всех проблем
 
 
Светлана
Отправлено: 3 октября 2009 — 17:34
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


vipraskrutka пишет:
Светлана пишет:
Вы всерьёз считаете этот движок "непробиваемым"?

да, в стандартной его комплектации. Т.к. сам лично заказывал аудит движка у серьезных людей.

Кстати, по соседству с движком стоят еще какие-нибудь скрипты? На одном хостинг аккаунте (другие скрипты, другие сайты). Если да - в них также могут быть дырки.

Светлана пишет:
И капча - не фонтан.

стандартная капча не пробивается автоматически, единственная программа которая самая пробивучая - xrumer, с ней я тоже "на ты", она не пробивает капчу, и к ExBB FM не обучена.
Потому спамят вас вручную.

Светлана пишет:
Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.

можо узнать что это был за чудо бот?


Комплектация стандартная, июльская, этого года. Менялись только файлы .тпл и вносились изменения по рекомендации Юры. По "соседству" ничего нет. Бот создан, видимо, не менее "серьёзными людьми", чем те, к кому вы обращались. Обозвали его луером (Lauer).
(Добавление)
yura3d пишет:
Приведите пример такого сообщения о том что пользователь не найден, которое приходит на почту админку. Авторизоваться с неактивированной учётной записью невозможно в принципе (механизм авторизации вообще никак не взаимодействует с неактивирированными пользователями). Это же касается и подтверждения регистрации по e-mail, в алгоритме подтверждения имеются все необходимые проверки правильности ввода данных для активации. На этом форуме за полгода работы подобных проблем обнаружено не было, собственно, как и на форумах большинства пользователей. Проверяйте ещё раз правильность расстановки прав доступа. Возможно, на Вашем сервере установлены какие-либо другие скрипты (например, скрипты от WR), имеющие дыры в безопасности, через которые и осуществляется несанкционированный доступ к форуму

Светлана пишет:
Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ.

Откуда такая информация? Администратор этого сайта зарегистрирован на нашем форуме, не помню чтобы с его стороны поступали сообщения о подобных ошибках

Светлана пишет:
И с капчёй надо что-то делать. Пробивается на раз.

Системами автоматического распознавания образов текущий вариант каптчи не распознаётся, это проверено. Однако существует так называемый метод леммингов, при котором распознаванием текста с каптчи занимаются люди. Пусть этот метод и не очень эффективен для спамеров в финансовом плане, многие спамеры уже успели им воспользоваться. Для эффективного противодействия данному методу каптча (в любом её исполнении) не годится, Вам нужно использовать другие методы защиты с оригинальными вопросами, предполагающими определённые знания для ответов на них. Соответствующий мод для реализации собственных вопросов у нас есть

Светлана пишет:
Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.

На этот форум ежедневно пытаются пробиться несколько десятков ботов. Ни один не пробивается, будь у нас какие-либо проблемы в регистрации и авторизации, этот форум уже давно был бы забит спамом. Ну и как и было сказано выше, каптча не панацея от всех проблем

Сообщение с мэйл.ру не сохранила. Да это обычное сообщение мэйл-службы о том, что "... к сожалению, на ваш запрос... так как такой адрес не обнаружен... ай-пи..."" и т.д. Ещё сообщение от джи-мэйл, но такое же по сути: "Hi. This is the qmail-send program at ххххххх.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<winny23424@gmail.com>:
209.85.219.15 does not like recipient.
Remote host said: 550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 http://mail.google.com/support/b...r.py?answer=6596 19si758573ewy.94
Giving up on 209.85.219.15......."
Так что получается, что зарегистрироваться без подтверждения по мылу как раз можно... в принципе... Так как пользователь с почтовым адресом winny23424@gmail.com появлялся в списках пользователей под разными именами несколько раз. Может обходят как-то, не знаю... И каждый раз служба джи-мэйл присылала админу сообщение, приведённое выше. Причём, бардак прекращается после того, как я, очередной раз удалив нежелательного пользователя, снова запрещаю регистрацию новых пользователей. Но... как только разрешаю, регистрируется ещё какой-нибудь балбес под другим именем и с другим ай-пи и всё продолжается. Перегружала форум, меняла пароли фтп.
На форуме php.su в нескольких постах админа уже просили сменить движок и жаловались на появление рекламы порносайтов и другого хлама (у меня то же самое). Не знаю, почему админ сайта не поставил вас в известность.

(Отредактировано автором: 3 октября 2009 — 17:58)

 
 
yura3d
Отправлено: 3 октября 2009 — 17:51
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Светлана
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом неавторизованный пользователь получает доступ к созданию сообщений на Вашем форуме
 
 
Светлана
Отправлено: 3 октября 2009 — 17:59
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


yura3d пишет:
Светлана
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом неавторизованный пользователь получает доступ к созданию сообщений на Вашем форуме

Да, попросила об этом хостера. Посмотрю, что сообщат. Да и в том-то и дело, что пользователь как раз авторизуется!

(Отредактировано автором: 3 октября 2009 — 18:01)

 
 
yura3d
Отправлено: 3 октября 2009 — 18:27
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Хм, так авторизацию спамер проходит или нет? Из сообщений выше не понятно, ибо имеют место 2 противоположных утверждения:
Светлана пишет:
Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован).

Светлана пишет:
Да и в том-то и дело, что пользователь как раз авторизуется!
 
 
Светлана
Отправлено: 3 октября 2009 — 19:05
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


yura3d пишет:
Хм, так авторизацию спамер проходит или нет? Из сообщений выше не понятно, ибо имеют место 2 противоположных утверждения:
Светлана пишет:
Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован).

Светлана пишет:
Да и в том-то и дело, что пользователь как раз авторизуется!

Повторюсь: первый случай - сообщения оставляет "гость", хотя права оставлять сообщения "гостем" не выставлены, второй - спаммер авторизуется, обходя подтверждение авторизации по е-мэйл.
 
 
yura3d
Отправлено: 3 октября 2009 — 19:21
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Светлана пишет:
Повторюсь: первый случай - сообщения оставляет "гость", хотя права оставлять сообщения "гостем" не выставлены, второй - спаммер авторизуется, обходя подтверждение авторизации по е-мэйл.

Ясно, план наших действий от этого не изменяется:
yura3d пишет:
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом...
 
 
Светлана
Отправлено: 4 октября 2009 — 12:56
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


vipraskrutka пишет:
Светлана может всетаки покажите свой форум?

Разве об этом стоял вопрос? Там смотреть в общем, не на что. Всё поудаляли. Проект с мёртвой точки никак не сдвинем Огорчение совместными усилиями. Разве что посмотреть, как Helen, прикованная к больничной койке, торгует даже теми средствами, что разрешают. Есть на что Улыбка . Мне так ещё долго учиться. http://helenclubfinance.com/forum/
 
 
Victor
Отправлено: 4 октября 2009 — 13:44
Post Id


Пользователь
Full Member


Покинул форум
Сообщений всего: 237
Дата рег-ции: Март 2009  
Репутация: 14




Светлана лично у меня были боты и разные гости оставляющие рекламу, решилось все отключением возможности гостям отвечать и создавать темы... попытки ботов зарегится обычно проваливаются...

Я бы посоветовал проверить целостность всех файлов загруженных на сервер, плюс поставь оригинальную тему без измененных файлов и потом включив защиту понаблюдать...
возможно часть файлов побилась или повредилась..
 
 
Светлана
Отправлено: 4 октября 2009 — 14:00
Post Id



Забанен


Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009  
Репутация: 8

[+]


Цитата:
Я бы посоветовал проверить целостность всех файлов загруженных на сервер, плюс поставь оригинальную тему без измененных файлов и потом включив защиту понаблюдать...
возможно часть файлов побилась или повредилась..

Уже делалось, увы.

(Отредактировано автором: 4 октября 2009 — 15:00)

 
 
Borman
Отправлено: 4 октября 2009 — 16:48
Post Id


Пользователь
Full Member


Покинул форум
Сообщений всего: 182
Дата рег-ции: Февр. 2009  
Откуда: Украина, Донецк
Репутация: 3




Предлагаю поставить мод "текстовое подтверждение", сменить хостера ибо я больше склоняюсь к нечистоплотности его, тем более если хостер завел сервера под спам вам от них не отбиться ибо как не крути, а они при желании имеют доступ к вашим файлам.

От себя, второй год юзаю этот форум скажу что он единственный из всех существующих в инете бесплатных форумов которого еще не "пробили"!!!
 
 
Страниц (6): [1] 2 3 4 5 6 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Общие вопросы безопасности
Темы Форум Информация о теме Обновление
VPS и с чем его едят?
Все вопросы касательно VPS и с чем его едят.
Хостинг Ответов: 4
Автор темы: ercopav
3 марта 2013 — 13:14
Автор: BON
Индексация форума поисковыми системами
вопросы улучшения
Раскрутка Ответов: 61
Автор темы: mastersound
13 марта 2013 — 12:13
Автор: roma1
Sape...вопросы
Раскрутка Ответов: 4
Автор темы: Defenderyk
4 августа 2010 — 20:46
Автор: yura3d
Встраиваем Google map...есть вопросы
PHP/Perl Ответов: 1
Автор темы: Defenderyk
20 июля 2010 — 20:36
Автор: Defenderyk
вопрос по безопасности и оптимизации
Обсуждаем Ответов: 8
Автор темы: foozzi
19 февраля 2011 — 11:10
Автор: mastersound
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0761]     [ ]