| Светлана |
Отправлено: 18 сентября 2009 — 21:30 
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
Выделено в отдельную тему из темы "Отступ"
Извиняюсь, вроде бы и такой темы нет: безопасность.
Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован). Ай-пи каждый раз новый. Через админку разрешено создавать посты только зарегистрированным пользователям. В папке "мемберс" обнаружена вот такая запись в файле __eaa7dcf20180ebff9bee53fd52a1496d:
CODE:<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:9:"Illingert";
s:4:"pass";s:8:"bU8cnaOP";s:4:"mail";s:20:"winny23424@gmail.com";
s:5:"title";s:0:"";s:5:"posts";i:0;s:6:"joined";i:1253214678;
s:2:"ip";s:14:"94.142.130.167";s:9:"showemail";b:0;s:3:"www";
s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:9:"Illingert";s:8:"location";s:0:"";
s:9:"interests";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";
s:4:"skin";s:12:"InvisionExBB";s:7:"timedif";s:3:"-11";s:6:"avatar";s:8:"abra.gif";
s:6:"upload";b:1;s:7:"visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;
s:10:"posts2page";i:10;s:11:"topics2page";i:10;s:10:"last_visit";i:0;}
Что это и с чем едят? Поясните, плз, кто знает. Спасибо. |
| |
|
| mastersound |
Отправлено: 18 сентября 2009 — 23:21
|
Super Member
Покинул форум
Сообщений всего: 604
Дата рег-ции: Март 2009
Откуда: Ё-бург
Репутация: 23
|
Выделено в отдельную тему из темы "Отступ"
Проверьте - правильно ли установлены права на запись (755 или 777) некоторых папок и, соответственно -не установлены ли такие права на папки, которым по условиям безопасности нельзя давать эти права, только 644 или ниже?
вот... поподробней из FAQ
Спойлер (Отобразить)Цитата:Q3: На какие файлы и папки форума необходимо выставить права доступа? Какие именно права доступа необходимо выставить? Как их выставить?
A3: На следующие файлы и папки форума необходимо выставить права доступа на запись:
* для папки data и всех файлов в ней;
* для папок вида forumN и всех файлов в них (N - номер раздела);
* для папки members и всех файлов в ней;
* для папки messages и всех файлов в ней;
* для папки uploads и всех файлов в ней;
* для папки im/avatars/personal и всех файлов в ней;
* для папок вида modules/YYY/data и всех файлов в них (YYY - название модуля).
Права доступа являются сугубо индивидуальной характеристикой для каждого сервера. О том, какие именно права доступа на запись являются корректными на Вашем сервере, Вы должны узнать на сайте хостера, в службе поддержки хостера или у администратора сервера. Помните, что права доступа на файлы и права доступа на папки - это не одно и то же. Неверная расстановка прав доступа может привести к проблемам в функционировании и безопасности форума. Способ расстановки прав доступа уточните у службы поддержки Вашего хостера или администратора сервера.
Для серверов и компьютеров, работающих под управлением ОС Windows, расстановка прав доступа не требуется, при этом важно, чтобы у файлов был снят атрибут "Только для чтения".
Видимо форум хакнули 
Гости при ограничении из Админки и при отсутствии разделов, типа "курилки", где открывают доступ гостям для постинга, другим путем проникнуть на форум не могут. |
| |
|
| Светлана |
Отправлено: 3 октября 2009 — 13:35
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
Выделено в отдельную тему из темы "Отступ"
С правами доступа всё в норме, спасибо. "Злоумышленник" проникает на форум через регистрацию. Обходится сторонкой подтверждение регистрации через почту. На почту админа приходит сообщение, что такого е-мэйл не существует, а пользователь нате, получите, уже в списках. Господа, это уже запор форума. Напрягает. Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ. И с капчёй надо что-то делать. Пробивается на раз. В одной из здешних веток видела утверждение, что форум безопасен на 100% и это подтвердили и наши и забугорные спецы. Как быть с тем, что происходило на моих глазах? Почему так легко пробить эту капчу и зарегиться на форуме без подтверждения по почте не составляет труда? Где слабое звено?(Отредактировано автором: 3 октября 2009 — 13:36) |
| |
|
| Светлана |
Отправлено: 3 октября 2009 — 13:35
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
Перенесено из темы "Отступ"
vipraskrutka пишет:Светлана проверьте в админке в "Форумы - управление" по всем разделам, чтоб там небыло разрешения писать гостям.
"Общие настройки - безопасность" ставим ДА в "Активировать защиту от регистрации ботов?", и ставим НЕТ в "Разрешить пользователям задавать себе пароль?".
Все, при таких настройках 100% гарантия что автоматически никакая спамилка не пробьет, и никакие гости писать не будут.
Также проверьте чтоб у вас версия форума была последняя, и чтоб не стояло никаких левых модов (о которых на данном форуме не известно), чтоб исключить возможность взлома форума через левые кривые моды и дополнения.
Поменяйте пароль админов. Поменяйте фтп пароль, а также изучите скрипты на сайте на наличие посторонних скриптов, т.к. взлом фтп - самая распространенная проблема и виной этому криворукие админы сайтов, которые юзают фтп через тотал командер, сохраняя в нем пароли и имея на компе кучу вирусов.
Больше причин вашей проблемы я не вижу...
Ну, может и криворукость моя мешает... В том числе и та же проблема на других сайтах у других криворуких... Однако вроде бы не дурней паровоза и все настройки в админке те, что вы привели. Пароли доступа в фтп-менеджере, естественно, не сохраняются. Вирусов в компьютере нет. Я здесь что, антирекламу затеяла? Есть заинтересованность в этом движке, иначе не поднимала бы волну. Логично?
Вы всерьёз считаете этот движок "непробиваемым"? Есть серьёзная проблема и надо как-то решать, а обвинить админов сайтов конечно проще. Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах. |
| |
|
| yura3d |
Отправлено: 3 октября 2009 — 16:59
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
Светлана пишет:С правами доступа всё в норме, спасибо. "Злоумышленник" проникает на форум через регистрацию. Обходится сторонкой подтверждение регистрации через почту. На почту админа приходит сообщение, что такого е-мэйл не существует, а пользователь нате, получите, уже в списках. Господа, это уже запор форума. Напрягает.
Приведите пример такого сообщения о том что пользователь не найден, которое приходит на почту админку. Авторизоваться с неактивированной учётной записью невозможно в принципе (механизм авторизации вообще никак не взаимодействует с неактивирированными пользователями). Это же касается и подтверждения регистрации по e-mail, в алгоритме подтверждения имеются все необходимые проверки правильности ввода данных для активации. На этом форуме за полгода работы подобных проблем обнаружено не было, собственно, как и на форумах большинства пользователей. Проверяйте ещё раз правильность расстановки прав доступа. Возможно, на Вашем сервере установлены какие-либо другие скрипты (например, скрипты от WR), имеющие дыры в безопасности, через которые и осуществляется несанкционированный доступ к форуму
Светлана пишет:Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ.
Откуда такая информация? Администратор этого сайта зарегистрирован на нашем форуме, не помню чтобы с его стороны поступали сообщения о подобных ошибках
Светлана пишет:И с капчёй надо что-то делать. Пробивается на раз.
Системами автоматического распознавания образов текущий вариант каптчи не распознаётся, это проверено. Однако существует так называемый метод леммингов, при котором распознаванием текста с каптчи занимаются люди. Пусть этот метод и не очень эффективен для спамеров в финансовом плане, многие спамеры уже успели им воспользоваться. Для эффективного противодействия данному методу каптча (в любом её исполнении) не годится, Вам нужно использовать другие методы защиты с оригинальными вопросами, предполагающими определённые знания для ответов на них. Соответствующий мод для реализации собственных вопросов у нас есть
Светлана пишет:Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.
На этот форум ежедневно пытаются пробиться несколько десятков ботов. Ни один не пробивается, будь у нас какие-либо проблемы в регистрации и авторизации, этот форум уже давно был бы забит спамом. Ну и как и было сказано выше, каптча не панацея от всех проблем |
| |
|
| Светлана |
Отправлено: 3 октября 2009 — 17:34
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
vipraskrutka пишет:Светлана пишет:Вы всерьёз считаете этот движок "непробиваемым"?
да, в стандартной его комплектации. Т.к. сам лично заказывал аудит движка у серьезных людей.
Кстати, по соседству с движком стоят еще какие-нибудь скрипты? На одном хостинг аккаунте (другие скрипты, другие сайты). Если да - в них также могут быть дырки.
Светлана пишет:И капча - не фонтан.
стандартная капча не пробивается автоматически, единственная программа которая самая пробивучая - xrumer, с ней я тоже "на ты", она не пробивает капчу, и к ExBB FM не обучена.
Потому спамят вас вручную.
Светлана пишет:Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.
можо узнать что это был за чудо бот?
Комплектация стандартная, июльская, этого года. Менялись только файлы .тпл и вносились изменения по рекомендации Юры. По "соседству" ничего нет. Бот создан, видимо, не менее "серьёзными людьми", чем те, к кому вы обращались. Обозвали его луером (Lauer).
(Добавление)
yura3d пишет:Приведите пример такого сообщения о том что пользователь не найден, которое приходит на почту админку. Авторизоваться с неактивированной учётной записью невозможно в принципе (механизм авторизации вообще никак не взаимодействует с неактивирированными пользователями). Это же касается и подтверждения регистрации по e-mail, в алгоритме подтверждения имеются все необходимые проверки правильности ввода данных для активации. На этом форуме за полгода работы подобных проблем обнаружено не было, собственно, как и на форумах большинства пользователей. Проверяйте ещё раз правильность расстановки прав доступа. Возможно, на Вашем сервере установлены какие-либо другие скрипты (например, скрипты от WR), имеющие дыры в безопасности, через которые и осуществляется несанкционированный доступ к форуму
Светлана пишет:Такая же проблема есть, например, на php.su, где установлен тоже ЕхВВ.
Откуда такая информация? Администратор этого сайта зарегистрирован на нашем форуме, не помню чтобы с его стороны поступали сообщения о подобных ошибках
Светлана пишет:И с капчёй надо что-то делать. Пробивается на раз.
Системами автоматического распознавания образов текущий вариант каптчи не распознаётся, это проверено. Однако существует так называемый метод леммингов, при котором распознаванием текста с каптчи занимаются люди. Пусть этот метод и не очень эффективен для спамеров в финансовом плане, многие спамеры уже успели им воспользоваться. Для эффективного противодействия данному методу каптча (в любом её исполнении) не годится, Вам нужно использовать другие методы защиты с оригинальными вопросами, предполагающими определённые знания для ответов на них. Соответствующий мод для реализации собственных вопросов у нас есть
Светлана пишет:Повторюсь: где-то в регистрации непорядок, на мой дилетантский взгляд. И капча - не фонтан. Готовятся новые версии форума и там эту капчу использовать явно не стоит. Её пробили обыкновенным ботом, по моей просьбе и на моих глазах.
На этот форум ежедневно пытаются пробиться несколько десятков ботов. Ни один не пробивается, будь у нас какие-либо проблемы в регистрации и авторизации, этот форум уже давно был бы забит спамом. Ну и как и было сказано выше, каптча не панацея от всех проблем
Сообщение с мэйл.ру не сохранила. Да это обычное сообщение мэйл-службы о том, что "... к сожалению, на ваш запрос... так как такой адрес не обнаружен... ай-пи..."" и т.д. Ещё сообщение от джи-мэйл, но такое же по сути: "Hi. This is the qmail-send program at ххххххх.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<winny23424@gmail.com>:
209.85.219.15 does not like recipient.
Remote host said: 550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 http://mail.google.com/support/b...r.py?answer=6596 19si758573ewy.94
Giving up on 209.85.219.15......."
Так что получается, что зарегистрироваться без подтверждения по мылу как раз можно... в принципе... Так как пользователь с почтовым адресом winny23424@gmail.com появлялся в списках пользователей под разными именами несколько раз. Может обходят как-то, не знаю... И каждый раз служба джи-мэйл присылала админу сообщение, приведённое выше. Причём, бардак прекращается после того, как я, очередной раз удалив нежелательного пользователя, снова запрещаю регистрацию новых пользователей. Но... как только разрешаю, регистрируется ещё какой-нибудь балбес под другим именем и с другим ай-пи и всё продолжается. Перегружала форум, меняла пароли фтп.
На форуме php.su в нескольких постах админа уже просили сменить движок и жаловались на появление рекламы порносайтов и другого хлама (у меня то же самое). Не знаю, почему админ сайта не поставил вас в известность.(Отредактировано автором: 3 октября 2009 — 17:58) |
| |
|
| Светлана |
Отправлено: 3 октября 2009 — 17:59
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
yura3d пишет:Светлана
Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом неавторизованный пользователь получает доступ к созданию сообщений на Вашем форуме
Да, попросила об этом хостера. Посмотрю, что сообщат. Да и в том-то и дело, что пользователь как раз авторизуется!(Отредактировано автором: 3 октября 2009 — 18:01) |
| |
|
| yura3d |
Отправлено: 3 октября 2009 — 18:27
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
Хм, так авторизацию спамер проходит или нет? Из сообщений выше не понятно, ибо имеют место 2 противоположных утверждения:
Светлана пишет:Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован).
Светлана пишет:Да и в том-то и дело, что пользователь как раз авторизуется! |
| |
|
| Светлана |
Отправлено: 3 октября 2009 — 19:05
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
yura3d пишет:Хм, так авторизацию спамер проходит или нет? Из сообщений выше не понятно, ибо имеют место 2 противоположных утверждения:
Светлана пишет:Наш форум забивает рекламой некто что-то под названием Гость (не зарегистрирован).
Светлана пишет:Да и в том-то и дело, что пользователь как раз авторизуется!
Повторюсь: первый случай - сообщения оставляет "гость", хотя права оставлять сообщения "гостем" не выставлены, второй - спаммер авторизуется, обходя подтверждение авторизации по е-мэйл. |
| |
|
| yura3d |
Отправлено: 3 октября 2009 — 19:21
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
Светлана пишет:Повторюсь: первый случай - сообщения оставляет "гость", хотя права оставлять сообщения "гостем" не выставлены, второй - спаммер авторизуется, обходя подтверждение авторизации по е-мэйл.
Ясно, план наших действий от этого не изменяется:
yura3d пишет:Вам нужно проанализировать логи доступа Вашего сервера за тот момент, когда добавляется новая порция спама. Только таким образом можно будет разобраться и увидеть, каким образом... |
| |
|
| Светлана |
Отправлено: 4 октября 2009 — 14:00
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
Цитата:Я бы посоветовал проверить целостность всех файлов загруженных на сервер, плюс поставь оригинальную тему без измененных файлов и потом включив защиту понаблюдать...
возможно часть файлов побилась или повредилась..
Уже делалось, увы.(Отредактировано автором: 4 октября 2009 — 15:00) |
| |
|
|
Сайт проекта ExBB
Чат на форуме
Помощь
Поиск
BanList
Без описания
совместными усилиями. Разве что посмотреть, как Helen, прикованная к больничной койке, торгует даже теми средствами, что разрешают. Есть на что 
. Мне так ещё долго учиться. 
