Вопросы безопасности SMF

Neuzis · 14 декабря 2005, 22:08:14

1. Известны ли случаи взлома SMF?
2. Какие слабые места в системе от хакеров?
3. Ваши рекомендации защиты от спамеров.
4. Какие права и на какие конкретно папки зашить после публикации SMF в интернете?
5. Ну, и неплохо было бы FAQ по этим вопросам.

Mavn · 15 декабря 2005, 18:27:08

1. Да случаи были до версии 1.0.4 на данный момент я пока не слышал о взломе более старших версий, если вдруг ломается форум и вы обращаетесь к разработчикам о том что ваш форум поломали нужно предоставить некоторую информацию им некоторые пункты приведены ниже.
а.) Логи Вашего сервака
б.) Логи форума если таковые остались
в.) Какие моды установлены (бывали случаи когда форум ломали из за дыр в модах)
2. Слабые места есть практически у любого программного обеспечения. Но поскольку я не хакер то и вывод

3. Как минимум поставить запрет на то чтобы гости оставляли сообщения.
4. Для начала поставить разрешение на файл Settings.php chmod 400 это как говорится для параноиков

ну все остальное зависит от того какие цели вы преследуете.
5. Фак пока не можем составить у нас нет часто задаваемых вопросов в области безопасности! Второе если создавать раздел по тому как правильно настроить сервер или типа как защитится от хакера, для нас это не реально мы не потянем еще и эту тематику, у нас со временем туго на данный момент. Да и у нас другая направленость...

rival28 · 10 января 2006, 00:33:15

вот только что отметил - кто-то удалил без моего ведома тему на моём форуме (rc1.1), причём в логах написано что это сделал я, и ай-пи указан мой. Но факт что я в это время спал

. Сначала тема была сделана важной, потом закрыта, потом удалена. Тема нужная, я вот сейчас захотел в неё написать. А ее нет.

Кто-то узнал пароль администратора. Возможна ли подделка из форума логов модерирования, минуя phpmyadmin?

Mavn · 10 января 2006, 00:40:55

Хех а как ты сам представляешь редактирование БД из форума? изначально в форуме такого не заложено

rival28 · 10 января 2006, 01:29:26

читаю логи апача

Код Выделить


85.202.173.131 - - [08/Jan/2006:11:52:10 +0200] "GET /CMS/index.php?option=com_smf&Itemid=53&action=sticky;topic=104.0;sesc=*** HTTP/1.1" 302 5 "-" "IEAutoDiscovery"
85.202.173.131 - - [08/Jan/2006:11:52:11 +0200] "GET /CMS/index.php?option=com_smf&amp;Itemid=53&amp;/topic,104.0.html HTTP/1.1" 200 12600 "-" "IEAutoDiscovery"
85.202.173.131 - - [08/Jan/2006:11:52:11 +0200] "GET /CMS/index.php?option=com_smf&Itemid=53&action=lock;topic=104.0;sesc=***HTTP/1.1" 302 5 "-" "IEAutoDiscovery"
85.202.173.131 - - [08/Jan/2006:11:52:11 +0200] "GET /CMS/index.php?option=com_smf&amp;Itemid=53&amp;/topic,104.0.html HTTP/1.1" 200 12600 "-" "IEAutoDiscovery"
85.202.173.131 - - [08/Jan/2006:11:52:12 +0200] "GET /CMS/index.php?option=com_smf&Itemid=53&action=removetopic2;topic=104.0;sesc=*** HTTP/1.1" 302 5 "-" "IEAutoDiscovery"

судя по всему скрипт грохнул тему.
Вот это IEAutoDiscovery - это могла быть таже читалка RSS. И в какой-то момент без подтверждения тема была убита. Прикольно. Руками вызвать такую ситуацию у меня не получается.

Mavn · 10 января 2006, 18:22:14

а может не заметил как удалил

?

amv · 10 января 2006, 23:48:28

Цитата: Mavn от 10 января 2006, 00:40:55
Хех а как ты сам представляешь редактирование БД из форума? изначально в форуме такого не заложено

Хм, а как ты думаешь, в СМФ нет способов осуществлять инъекцию кода? Я думаю, что пройдет время и найдут $:-\$

Mavn · 11 января 2006, 00:47:44

Иньекции и предусмотреные возможности форума это разные вещи! так что не стоит мешать одно с другим. Иньекция это ошибка в коде. Возможности же форума это изначально заложеный функционал.

rival28 · 12 января 2006, 15:00:20

Цитата: Mavn от 10 января 2006, 18:22:14
а может не заметил как удалил ?

даже при двухмегабитной выделенке нужно время на перерисовку экрана, всё произошло за одну секунду - если посмотреть на представление форума на экране, то станет очевидно, что некая софтина тупо выбирала ("кликала") по всем ссылкам, видимо пытаясь получить какойто отклик. Там были вызовы и переноса тем и слияния и прочего - файл на много мегабайт в том порядке в каком все эти вызовы/ссылки расположены на экране

Если тоже самое сделать вручную то на этапе удаления темы выскочит окошко с кнопками да/нет. Скрипту удалось благополучно грохнуть тему минуя подтверждение удаления. В других случаях (слияние/перенос темы и тд) вызывался переход на другие страницы и скрпит на этом успокаивался.

Повод задуматься разработчикам. пока честный юзер с трудом может пробраться в форум (почему форум не может помнить меня месяц, как его просят

) дурные скрипты валят темы легко и не принуждённо.

ЗЫ а существуют ли форумы в которых реализована функция "корзины": допустим чел случайно удалил тему имея на то права, но через минуту пожалел об этом

Чтобы удалённое складывалось в отдельную доску, доступную только админу, например. Пока я вижу только возможность удалять в такую корзину старые/неактивные темы.

Mavn · 12 января 2006, 15:10:45

ну вообще в стандарте такая функция имеется

настроена она например здесь и все удаленые темы попадают туда и только после удаление из того раздела удалются на совсем! доступ к этой категории можно выставлять как к любому другому разделу.
В админке управление разделами форума и там указываешь раздел куда будут удаленые темы перемещатся
/index.php?action=manageboards;sa=settings

rival28 · 12 января 2006, 15:21:33

сча еще раз вчитаюсь, может перевод кривой

YSV · 13 января 2006, 17:01:42

SMF - проверен мин нет!

Цитировать
Отчет об уязвимостях cервера
is2006.ru
Проверка произведена: 07.01.2006 23:46
Время работы: 01:08:04

Комментарий Positive Technologies
Данные получены при помощи системы мониторинга информационной безопасности XSpider 7. Внимание! Если вы не найдете описания некоторых уязвимостей в открытых источниках, это не означает, что в отчете ошибка. XSpider 7 способен обнаруживать существенно больше уязвимостей, чем их опубликовано на текущий момент.
- критическая уязвимость - уязвимость - незначительная уязвимость
незащищенная передача данных
Описание

Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде.

Список форм:

POST /index.php?action=login2 HTTP/1.1
user=&passwrd=&hash_passwrd=&cookielength=60

POST /index.php?action=login2 HTTP/1.1
user=1&passwrd=&cookielength=60&cookieneverexp=&hash_passwrd=

Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.
Решение

Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер.
список почтовых адресов
Описание

Список почтовых адресов найденных на веб-сервере:

infosys@acmetelecom.ru

Сайт сделан SMF+SimplePortal 1.0 ну и мои ручки

Ямщиков Сергей

Кстати еще один мой сайт

грохнулся

Цитировать
Отчет об уязвимостях cервера
school10.is2006.ru
Проверка произведена: 07.01.2006 18:33
Время работы: 00:33:34

Комментарий Positive Technologies
Данные получены при помощи системы мониторинга информационной безопасности XSpider 7. Внимание! Если вы не найдете описания некоторых уязвимостей в открытых источниках, это не означает, что в отчете ошибка. XSpider 7 способен обнаруживать существенно больше уязвимостей, чем их опубликовано на текущий момент.
- критическая уязвимость - уязвимость - незначительная уязвимость
SQL инъекция
Описание

Возможно выполнение атаки "SQL инъекция". "SQL инъекция" – способ нападения на базу данных в обход межсетевой защиты. В этом методе, параметры, передаваемые к базе данных через Web приложения, изменяются таким образом, чтобы изменить выполняемый SQL запрос. Например, добавляя различные символы к параметру, можно выполнить дополнительный запрос совместно с первым.

Нападение может использоваться для следующих целей:
1. Получить доступ к данным, которые обычно недоступны, или получить данные конфигурации системы, которые могут использоваться для дальнейших нападений. Например, измененный запрос может возвратить хешированные пароли пользователей, которые в последствии могут быть расшифрованы методом перебора.
2. Получить доступ к компьютерам организации, через компьютер, на котором находится база данных. Это можно реализовать, используя процедуры базы данных и расширения 3GL языка, которые позволяют доступ к операционной системе.

Запрос для выполнения SQL инъекции:

POST /2006/01/05/post2.html HTTP/1.1
Host: school10.is2006.ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 7.0) PTsecurity
Cookie: PHPSESSID=cd2dff8cd46fb56dacb9aac28bfb0b2a; skin_name=Default;
Content-Type: application/x-www-form-urlencoded
Content-Length: 179

name=1&mail=1&B=%20B%20&I=%20I%20&U=%20U%20&S=%20S%20&CENTER=По%20центру&url=Ссылка&HIDE=HIDE&email=E%2DMail&QUOTE=%20Цитата%20&CODE=Разрыв&submit=1&subaction='&post_id=1136460954

Результат работы

<...>
yle: normal;
color: #000000;
}
-->
</style>
</head>
<body>
MySQL Error!
 ------------------------ 
 

The Error returned was:
 
Query was empty

 
Error Number:
 
1065
 
 

<textarea name="
<...>

Решение

Запретить использование этого скрипта или программно исправить ошибку.
Ссылки

http://www.securitylab.ru/31623.html
http://www.securitylab.ru/42826.html
http://www.securitylab.ru/43048.html
http://www.securitylab.ru/44526.html
http://www.securitylab.ru/40318.html
http://www.securitylab.ru/40714.html
http://www.securitylab.ru/35554.html
http://www.securitylab.ru/38037.html
http://www.securityfocus.com/infocus/1768

Ну и вывесили на www.school10.is2006.ru :

Цитировать

Информация для посетителей сайта:
Виртуальный сервер www.school10.is2006.ru не существует или временно не функционирует.
Информация для владельцев сайта:
Пожалуйста, свяжитесь со службой технической поддержки:
(095) 772-97-20, support@masterhost.ru

Кстати я предлагаю:

Тестирую CMS на юзабельность и безопасность!

Прошу сильно не банить!

SMF проверку прошел - юзабельность 4+ безопасность 5.

Удачи!

Mavn · 13 января 2006, 17:13:32

Хех а тестирование проводилось какой версией комерческой или так демкой??

YSV · 13 января 2006, 17:17:37

Цитата: Mavn от 13 января 2006, 17:13:32
Хех а тестирование проводилось какой версией комерческой или так демкой??

Тестируется :

Цитировать
Доставляем вам отчет по результатам проверки вашего сайта системой мониторинга
информационной безопасности XSpider, разработанной компанией Positive Technologies и
действующей в рамках партнерских соглашений между Positive Technologies и компанией
.masterhost.

Во как!!!

Удачи!

Mavn · 13 января 2006, 17:20:07

понятно!

belex · 26 декабря 2006, 00:47:43

Заметил, что один и тот же номер IP постоянно в списке он-лайн имеет статус "Отправляет рапорт модератору"
Рапортов нет.
Сам IP - стремный, явно прокти ...из Африки.

Скажите, может ли быть что с этого номера пытаются взломать форум с формы отправки рапорта модеру?

savirmir · 26 декабря 2006, 08:07:04

Это боты шалят...
После того, как я запретил незарегистрированным пользоателям создавать новые темы, такая фигня наблюдалась пачками...
И рапорты некоторые доходили в том смысле, что мол у вас неверно настроена база данных, мы не можем оставить важное сообщение!

Сделайте как я, поместите подобный спам в чёрный список, где ему и место, (если, конечно, будет доходить эта лабуда на Ваше мыло...) и не парьтесь...
Как я убедился, никаких неудобств или проблем у нормальных пользователей не возникает...

А IP-шник забаньте, да и вся недолга!!!
Да, и не к чему гостям форума вообще предоставлять возможность рапорта модератору!
Вот зарегся и жалуйся/рапортуй сколько душе будет угодно...

Mavn · 26 декабря 2006, 08:09:09

хочешь узнать возможно или нет посмотри код и поймешь
вообще то заблокируй ip адреса на эту тему уже были сообщения