А как насчёт безопасности?

Автор Paramedic, 04 мая 2006, 10:26:19

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Paramedic

Сломали форум. Версии 1.0.5
В логах нашёл вот такие вещи:
/forum/index.php?action=post;msg=250558%20UNION%20SELECT%20memberName,0,passwd,0,0%20FROM%20smf_members%20WHERE%201/*;topic=23055.0;sesc=8ef3391df4f0e6b7d5d570d6eea05dac HTTP/1.1" 200 10424

Я сейчас не могу на локали воспроизвести подобный запрос. Нужно много чего поставить и настроить. Но если форум отрабатывает запрос -- то это ОЙ!!!

И ещё, не подскажете, что делает подобный запрос: /forum/index.php?action=login2;sa=check;member=14 HTTP/1.1" 302 26

Mavn

вообще то уже давно вышла версия 1.0.7 и во вторых посмотри версии установленых модов
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

abbi

ЦитироватьСломали форум
Надо с самого начало заменить все стандартные пути подхода. Хотя бы путь к админке.
|Search connection|

SAS

а как сломали то, в чем это выразилось ?

Sk

Цитата: abbi от 06 мая 2006, 16:49:00
Надо с самого начало заменить все стандартные пути подхода. Хотя бы путь к админке.

а можно поподробнее?

Mavn

Цитата: abbi от 06 мая 2006, 16:49:00
Хотя бы путь к админке.
Мне интересно как вы измените путь к админке если у smf нет Директории такой и к тому же если у чела есть доступ Админовский то как ты не меняй код то кнопку Администрирование все равно в стандарте присутствует!
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Paramedic

Как взломали -- тайна покрытая мраком. Часть лога я привёл. Само-собой, msg=250558 кануло в лету, и с чем там делали UNION не понятно. Так же, как и непонятно, отрабатывается этот запрос или отображается. По уму должен отображаться.

Возможно были подобраны пароли. Благо в форуме нет ничего, затрудняющего перебор роботами. Например просьбы ввести цифирки с картинки.

Возможно былл использован сниффер. В последнее время замечен вообще повышенный интерес к слому моего ресурса. И был замечен заход по ftp и удаление файлов.

Для того, чтобы обеспечить реальную безопасность, необходимо:

1. Откинуть административную часть в сторону вообще. Чтобы можно было запустить на ssl сервере.
2. Сделать секьюрную авторизацию, как на google.
3. Сделать что либо, затрудняющее перебор роботами.

Злоумышленниками был получен пароль одного из админов, все админи были удалены с форума. Форум был переведён в режим только для просмотра зарегестрированными участниками. Были удалены многие темы.

Mavn

Кинуть логи апача и копию бд можешь? а также если у тебя ставились моды то какие имено?
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Paramedic

Модов никаких не ставилось. Копию БД, увы не могу вытянуть даже себе. База в несжатом виде весит 500 метров. Да и восстановлена она по бекапу, довольно давнишему. Если просто логи интересуют -- могу с админом сервера связаться.

Mavn

#9
Об этой уезвимости написано здесь

Дата публикации данной уезвимости 04 июля, 2005
http://www.securitylab.ru/vulnerability/205886.php
http://www.securitylab.ru/vulnerability/source/211827.php

и задействовать можно на версии 1.0.4 потому как в 1.0.5 эта проблема решена соответственно вы где то пропустили обновление и своевремено просто не выполнили обновление до новой версии.

Вывод если вовремя обновлятся то можно избежать многих неприятностей...
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Neuzis

 В мой форум на днях влезли через админку.  >:(
Нагадили немного в темах ...   Пришлось забанить IP хулигана и сменить пароль админа, но все-же стремно как-то дальше стало жить :-\
У мя  SMF 1.6. 
Надо дырки затыкивать, а как?  ДУМАЕМ!!! ВСЕ ДУМАЕМ! tickedoff 

Mavn

1. Версии 1.6 в природе не существует, так что пишите правильно версию вашего форума!
2. Уже давно появилась версия 1.0.7 и пора бы обновиться до последней версии.
3. Если вы устанавливали моды то в полне возможно что залезли и при помощи уезвимости того или иного мода и судя по всему вы за обновлениями программного обеспечния не следите но зато когда ломают ваш форум кричите " у меня все поломали"
4. Чего думать то обновляться вовремя нужно!
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Neuzis

И чего это придираться? :) Понятно же, что 1.0.6
А если вдруг вскроют 1.0.7 ? ^-^
Может есть смысл остановиться об уязвимостях движка поконкретней?
Это же не цацки-пецки   

Mavn

на данный момент известных уезвимостей в 1.0.7 нет! а в 1.0.6 есть. Я думаю что можно и разобрать эту тему только это будет дублирование информации с багтрэков вот и все
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.