Уязвимости форумов Invision Power Board

[Dr.Freddy]

selt, бан по IP помогает при статическом IP нарушителя (когда он выходит в сеть, скажем, через общий шлюз или собственный выделенный канал). Если же IP злоумышленника динамический (меняется при каждом новом подключении к сети), или он использует прокси-сервера — особого смысла в такой защите в данном конкретном случае нет.

 

Тебе надо закрыть все известные уязвимости форума, включая настройку аплоада, и сменить пароли. После этого хакер лишится механизмов воздействия на твой проект. Будет он в дальнейшем ходить на форум, или нет — большой разницы не имеет. Главное, чтобы не мог пакостить.

[Anna]

Anna я поставил в админке префикс на куки (раньше это поле пустым было) - сейчас надо авторизовываться при каждом посещении и все картинки и просмотр тем на главной странице форума в куки не сохраняется. Так и должно быть?

<{POST_SNAPBACK}>

 

Не совсем понимаю о чем ты говоришь. Проверь, что у тебя домен в настройках куков прописан как

.твой_домен.ru

 

с точкой в начале. А насчет сохраняется/несохраняется - при авторизации галочка должна стоять в поле "запомнить меня?"

[nafigator]

NaFigator из темы "уязвимость" все патчи которые были поставил.

А пароли у всех сменил?

 

Больше ничего делать не нужно было.

[selt]

Dr.Freddy а можно поподробнее на счет настроек аплоада? Где их смотреть и какие поставить?

 

Anna раньше у меня в куках вообще все поля пустые были. Сейчас только префикс стоит. Нужно и домен проставить? Тогда все нормально будет?

 

NaFigator а если я префикс сменил? Anna сказала чтобы поменять пароли только модерам и админам. Простым пользователям тоже? НУ ладно у меня форум совсем недавно (около 30 юзеров всего), а если бы было 30000. Всем бы надо было менять?

[Anna]

Нужно и домен проставить? Тогда все нормально будет?

 

Домен должен стоять помоему обязательно.

 

Anna сказала чтобы поменять пароли только модерам и админам.

 

Ну с простыми пользователями сложнее - они же простые пользователи. Тут уже надо из соображений безопасности исходить. Если твои простые пользователи имеют достаточный уровень прав, чтобы испоганить твой форум, то лучше конечно снизить риски и сделать так, чтобы хакер и через их аккаунты тоже не пролез.

Но, я еще не слышала о таких "хакерах", которые бы занимались такой хренотенью, ибо уровень прав обычных пользователей минимален, поэтому обычно сразу ломают аккаунт админа и потом ломают форум, а флудить всякой чушью - это все детский сад и к тому же, все это в логах прописывается - IP ведь для каждого поста прописывается.

Изменено 28 Сентября 2005 пользователем Anna

[WildCat]

прислали сегодня:

 

"INVISION POWER BOARD 1.3-2.X EXPLOIT

 

Сплоит требует наличия модулей LWP::UserAgent...

Для правильного запуска эксплойта, ему необходимо передать ряд

 

параметров: хост сервера(без префикса http://), путь к форуму, версию

 

борды(0-1.3, 1-2.X) и опционально идентификатор пользователя, права

 

которого надо получить. Уже через несколько секунд сплоит выведет хэш

 

нужного пароля.

 

Пока что защиты от бага не существует, но автор сплоита предложил метод

 

спасения от уязвимости. Для этого замени следующие строки в коде

 

скрипта login.php:

 

$mid = intval($std->my_get cookie(member_id));

$pid = $std->my_get cookie(pass_hash);

на

$mid = mysql_escape_string(intval($std->my_get cookie(member_id)));

$pid = mysql_escape_string($std->my_get cookie(pass_hash));

 

Данная модификация может быть произведена на всех версиях форума."

журнал "Хакер" (с)

 

 

ps Если такое уже было тут - сорри

[Dr.Freddy]

selt, читай эту тему — всё написано...

[Еve]

Для этого замени следующие строки в коде

 

скрипта login.php:

 

$mid = intval($std->my_get cookie(member_id));

$pid = $std->my_get cookie(pass_hash);

на

$mid = mysql_escape_string(intval($std->my_get cookie(member_id)));

$pid = mysql_escape_string($std->my_get cookie(pass_hash));

 

Ага. И тогда сплоит точно заработает

[Archon7th]

ну так как расценивать WildCat ?

[Dekker]

решение об этой уязвимости расписано несколько страниц назад, см. посты Vic'er

[charmed_knight]

может всетаки так ?

sources/login.php

найти

$mid = intval($std->my_getcookie('member_id'));
$pid = $std->my_getcookie('pass_hash');

на

$mid = mysql_escape_string(intval($std->my_getcookie('member_id')));
$pid = mysql_escape_string($std->my_getcookie('pass_hash'));

и вообще, какой вариант лу4ше...

этот,

 

или ентот:

 

найти

$pid = $std->my_getcookie('pass_hash');

 

на

$pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):"";

 

кстати, фикс с Highlight... здесь

[nafigator]

может всетаки так ?

sources/login.php

найти

$mid = intval($std->my_getcookie('member_id'));
$pid = $std->my_getcookie('pass_hash');

на

$mid = mysql_escape_string(intval($std->my_getcookie('member_id')));
$pid = mysql_escape_string($std->my_getcookie('pass_hash'));

и вообще, какой вариант лу4ше...

этот,

 

или ентот:

 

найти

$pid = $std->my_getcookie('pass_hash');

 

на

$pid = (preg_match('/^([0-9A-Za-z]){32}$/', $std->my_getcookie('pass_hash')))?$std->my_getcookie('pass_hash'):"";

 

кстати, фикс с Highlight... здесь

<{POST_SNAPBACK}>

 

Не надо гадать.

Вот: Исправление уязвимостей форумов

[charmed_knight]

при4ем тут гадание,

дано два варианта,

выбор самого оптимального - в ентом логика присутствует

[*SHADOW*]

/sources/lib/post_parser.php

Я у себя такого файла не нашел в 1.3, вернее папки sources

[SHiSH]

открой глаза ...

[Super Gonzo]

Знатоки!

А что это чел пытался сделать у меня на форуме, а?

lt;agt;

[SAT]

Super Gonzo

 

очень похоже что он хотел запостить <a>, но поскольку у него html отключен у него ничего не выходит...

[Super Gonzo]

спасибо[1129067770:1129068541]не, <a> так и отображается...

я просто че спрашиваю, тут чел решил на интерес мне в форуме дырки понаходить, вот пробует вариянты всякие:-) пока бэзуспэшно

[arigoda]

тут чел решил на интерес мне в форуме дырки понаходить, вот пробует вариянты всякие:-) пока бэзуспэшно

<{POST_SNAPBACK}>

думаю, лучше его предупредительно забанить - так оно надежнее, да и ему наверное будет интереснее дырки искать

[Song]

Да наоборот это круто.

Пусть понаходит.

Бесплатный хакер-тестер

[arigoda]

Song, если смотреть - с чего он начал попытки взлома - скорее это ламер-тестер

[Anna]

Исправлена ли эта уязвимость:

http://www.ibresource.ru/index.php?act=ST&f=90&t=1857

 

(взято отсюда: Новая уязвимость? )

 

???

[Archon7th]

Исправлена ли эта уязвимость:

http://www.ibresource.ru/index.php?act=ST&f=90&t=1857

 

(взято отсюда: Новая уязвимость? )

 

???

<{POST_SNAPBACK}>

 

проверено ... зашито ... и некакая это не новая уязвимость ...

[Exalseer]

История. Установил IB 1.3 заказчику буквально пару дней назад. Ну и спокойно всё настроил. Локализовал, тем понаделал. Всё красиво, пафосно, всё довольны... И вот - сегодня приезжаю к заказчику и хотел было показать как работает форум. Забиваю адрес, форум открывается... И вот ОНО!... Сверху написано... Добро пожаловать Администратор!!!! И это на чужом случайном компьютере без ввода логина и пароля! ) Дело в случайном попадании Cookies на тот комп на сколько я понимаю... Но как это лечится??? Просто дайте ссылку на нужный пост... Спасибо большое!

[Mitos]

форум размещали на бесплатной агаве ?[1130524088:1130524141]или на другом серваке с принудительным кешированием php ?