Уязвимости форумов Invision Power Board

[filunok]

А как ставить через phpmyadmin

можно пошаговую инструкцию, спасибо

[freeman85]

2rivok

>> А как я могу их востановить если меня удалили и теперь пароль не подходит?

 

у тебя хостинг надеюсь не отобрали?

 

 

2filunok

выполни такой не хитрый запрос

 

UPDATE `ibf_members` SET `mgroup` = '4' WHERE `id` = {id_юзера}

 

(это сделает админом выбранного юзера)

Изменено 9 Декабря 2006 пользователем freeman85

[Zeratull]

Спасибо , я это уже понял.А что сейчас делать?

через phpmyadmin восстанавливай права.

а тех уродов удаляй.

 

заодно логи почитай. если не потёрли их то узнаешь кто сделал

[aromashka]

Залили рекомендуемые файлы ... search, func_taskmanager, class_upload - при входе на главную страницу теперь форум не грузится ... внизу состояния експолрер пиет "готово" - т.е. как буд-то форума и нет ... что делать? Файлы блин не сохранил резервные, т.е. те с которыми форум работал ... обидно, настроил кучу приложений ... и такой косяк ... форум версии 2.1.3 ... у кого-то есть полезный совет в данном случае? Что делать?

[Fox Mulder]

залить снова файлы из дистрибутива вместо этих

[tonio]

Форум www.in-trance.info

 

Постоянно хакают, хотя стоит последняя лицензионная версия 2.1.7 и минимальное кол-во модов (D2-Shoutbox и защита от спамеров). Сейчас столкнулся с тем, что подменили index.php, написав в нем всякую лабуду + стерли половину аккаунта на сервере. Спасибо компании Invision за такие прекрасные форумы. Знал бы - ни за что не купил. Благодарю за внимание.

Изменено 14 Января 2007 пользователем tonio

[Dr.Freddy]

Видите ли, абсолютно защищённых скриптов не существует. Поэтому, если вашему форуму угрожают или вы не чувствуете в себе достаточных навыков для поддержания должного уровня безопастности, нужно нанимать специалистов.

[tonio]

Спасибо за правдивый ответ.. Но форум поставлен на обычный аккаунт виртуального хостинга (не сервак и не VDS, чтобы у меня были возможности поддерживать необходимый уровень безопасности), хостер далеко не "самопальный": arbatek.ru.

[Dr.Freddy]

Это всё понятно.

 

В любом случае вам имеет смысл провести аудит безопастности скриптов — в том числе и тех модов, что стоят: их малое количество не означает, что они не имеют уязвимостей.

 

Я бы рекомендовал вам перезалить все файлы форума, удалить все файлы, в форуму не относящиеся (или хотя бы проверить их содержимое), а также изучить логи веб-сервера на предмет поиска дыры, через которую взломщики пробрались к вам.

[Arhar]

Сейчас столкнулся с тем, что подменили index.php, написав в нем всякую лабуду + стерли половину аккаунта на сервере.

Это значит, что взломали не форум, а ФТП, так что не надо гнать!

Если у врага есть пароль к ФТП или способ его получить, то НИКАКАЯ защита ВНУТРИ СКРИПТА не спасет.

[Milse]

Arhar - совершенно согласен с Вами. Или ломанули сервак хостера, получив root права, или остались лазейки с предыдущего взлома.

tonio - поставьте хостера в известность. Смените на всякий случай пароль на FTP. Поверьте опыту - пока 2.1.7 не сломали (хотя и очень можно :-)) ). Т.е. массовых случаев взлома нет. И наверно Ваш ресурс не имеет такой популярности, стобы направить на него все силы лучших хакеров.... Это факт. Ищите троянов на своём компе, видимо, если дело не в хостере и других сайтах, слабо защищённых от взлома и заливки шелла - то остаётся один путь - НА ВАШЕМ КОМПЕ ТРОЯН.

Ищите внимательнее. Любой АРБАТЕК не всемогущий Его тарифы не говорят о его надёжности...... И к тому же недавно была информация о уязвимости С-панели управления... В общем делайте выводы сами. Я бы всё же погрешил на хостера, а не скрипт IPB.

[Destruction]

Сейчас столкнулся с тем, что подменили index.php, написав в нем всякую лабуду + стерли половину аккаунта на сервере.

Это значит, что взломали не форум, а ФТП, так что не надо гнать!

Если у врага есть пароль к ФТП или способ его получить, то НИКАКАЯ защита ВНУТРИ СКРИПТА не спасет.

Да не нужен никакой фтп, что вы говорите ?

 

Хватит даже доступа к скинам, чтобы дефейснуть, просто руки должны быть откуда нужно.

 

Между прочим - взломать форум можно многими способами - совершенно необязательно, чтобы у форума была уявзимость или у взломищка пароль к фтп, можно взломать форум (да и не только, чего-й-то, я зациклился.. почти любой вэб-сайт находящийся на стандартном хостинге) даже незная его адреса..

Изменено 15 Января 2007 пользователем Destruction

[Arhar]

ну это понятно, что можно заменить содержимое глобал боард хедер и футер..

а в инвижне пока новых дыр не нашлось, так что поставить htaccess на админку будет одной из мега защит

[Lio-Pol]

Привет ! А уменя 2.1.7 www.moonactive.ru

 

был на днях хакк, сказали обратись к хостерам, обратился, они восстановили, ща на форуме дохрена гостей с айпишником 38.98.19.***

 

штук 15-20 боюсь что очередной хакк,

подскажите что делать, ссылочку форума дал выше, какие скрипты !!! ХЭЛП !!!

[Fox Mulder]

Вот млин...

когда уже выйдут обновления безопасности для 217...

[Arhar]

всмысле как это когда?

вы Новости читаете?

[Master]

Здесь все исправления: Исправление уязвимостей форумов

[Fox Mulder]

эту тему я читаю, но атм последнее обновление ноябрьское, а где же против xss и act=online&st=1?

[Song]

А что за уязвимость:

act=online&st=1 ?

 

Это не уязвимость, это называется список онлайн действий =)

[zeny773]

Это не уязвимость, это называется список онлайн действий =)

 

А я слышал что это SQL уязвимость, типо можно сделать так:

 

 

index.php?act=Online&st=-1[ТУТ ЗАПРОС К БД]

 

 

На вашем сайте это не работает, на других выдаёт ошибку БД.

[Lord Maverick]

Здесь все исправления: Исправление уязвимостей форумов

 

А как же Passive XSS ? Я все обыскал не нашел нигде. Между прочим это и на данном форуме работает.

[Arhar]

по поводу онлайна, так в файле online.php самой первой строчкой действия идет

$this->ipsclass->input['st'] = intval($this->ipsclass->input['st']);

ну поставьте вы

$this->ipsclass->input['st'] = abs(intval($this->ipsclass->input['st']));

если уж совсем плохо...

 

что есть Passive XSS ?

 

нашел что есть passive xss, это не уязвимость, но если вам будет легче, в файле sources/lib/func_msg.php после

	function send_form($preview=0, $errors="")
 {
	$this->form_mid	 = intval($this->ipsclass->input['MID']);
	 $this->form_orig_id = intval($this->ipsclass->input['MSID']);

добавьте

$_POST['msg_title'] = preg_replace( "/^\">/", "", $_POST['msg_title']);

[Song]

Это не уязвимость, это называется список онлайн действий =)

 

А я слышал что это SQL уязвимость, типо можно сделать так:

 

 

index.php?act=Online&st=-1[ТУТ ЗАПРОС К БД]

 

 

На вашем сайте это не работает, на других выдаёт ошибку БД.

НИКАКОГО ЗАПРОСА там сделать нельзя. Пошлите далеко и надолго того кто Вам это сказал.

Псевдоуязвимость (все версии IPB), от 20 апреля 2006 года

[DRoVa.TM]

что есть Passive XSS ?

нашел что есть passive xss, это не уязвимость

Вобщем выяснилось, что вполне реальная уязвимость и мое решение таково:

в файле sources/lib/func_msg.php после

	function send_form($preview=0, $errors="")
 {
	$this->form_mid	= intval($this->ipsclass->input['MID']);
	$this->form_orig_id	= intval($this->ipsclass->input['MSID']);

добавьте

$_POST['msg_title'] = ereg_replace( "\"", "''", substr($_POST['msg_title'], 0, 40));

 

Не панацея, но вполне надежно, с минимум вмешательства... ИМХО.

[Garret]

что есть Passive XSS ?

Если я не ошибаюсь то это XSS уязвимость которую можно провести только на себя.