Уязвимости форумов Invision Power Board

[SiriuS]

Все дыры 2.1.7 описаны в документации

А когда последний раз залатывали дыры в 2.1.7 и обновляли на вашем сайте?

[vint1]

У меня версия форума 2.3.5

Последний раз обновил вот это: http://www.ibresource.ru/forums/index.php?showtopic=54585

[Skiw]

У меня взломали форум.

С утра вчерашнего дня до утра сегодняшнего ожидают активации более 80

пользователей. У меня активация установлена по ссылке пользователем, а затем

администратором. Так вот есть много ожидающих активации администратором, т.е.

якобы прошли регистрации по ссылке через e-mail адрес.

Срочно создайте обновление безопасности для моего форума.

Василий.

 

а активировать администратором не пробовал ?

 

 

У меня версия форума 2.3.5

Последний раз обновил вот это: http://www.ibresource.ru/forums/index.php?showtopic=54585

 

вообще-то есть ещё и это:

http://www.ibresource.ru/forums/index.php?showtopic=54937

самое последнее и актуальное

[idTails]

У меня взломали форум.

С утра вчерашнего дня до утра сегодняшнего ожидают активации более 80

пользователей. У меня активация установлена по ссылке пользователем, а затем

администратором. Так вот есть много ожидающих активации администратором, т.е.

якобы прошли регистрации по ссылке через e-mail адрес.

Срочно создайте обновление безопасности для моего форума.

Василий.

Скорее всего спамботы у вас, а не "взлом"

[vint1]

Возможно. Сейчас обновился как было предложено. Посмотрим что дальше.

Есть также одна проблема: при отправке сообщения конкретному пользователю выдает: Этот пользователь не желает принимать личные сообщения". Сам он говорит, что настройки не изменял. Я заходил к нему в профиль, там все нормально.

Как исправить положение?

[Skiw]

Возможно. Сейчас обновился как было предложено. Посмотрим что дальше.

Есть также одна проблема: при отправке сообщения конкретному пользователю выдает: Этот пользователь не желает принимать личные сообщения". Сам он говорит, что настройки не изменял. Я заходил к нему в профиль, там все нормально.

Как исправить положение?

 

я думаю к этой теме этот вопрос не относится.

[Rostov114]

У меня взломали форум.

С утра вчерашнего дня до утра сегодняшнего ожидают активации более 80

пользователей. У меня активация установлена по ссылке пользователем, а затем

администратором. Так вот есть много ожидающих активации администратором, т.е.

якобы прошли регистрации по ссылке через e-mail адрес.

Срочно создайте обновление безопасности для моего форума.

Василий.

Все так и побежали писать код лично для вашего форума.

А по нормальному...у людей свои форумы есть...и у них свои проблемы...не считайте что вы важнее всех.

[leonid belov]

Скорее всего спамботы у вас, а не "взлом"

vint1

Возможно.

Точно-точно, спамботы. Вчера-сегодня куча форумов была атакована, потому IPS и заплатку сработало

 

А как заплатка работает - ужо проверим.

[leonid belov]

Проверили. Заплатка не работает ни разу, приходится лечиться народными средствами:

1) исправление валидационного письма (спасибо Stas11) и

2) антиспамерский мод от Garret'a и Arhar'a (тоже им респект и уважуха).

 

Также для тех, у кого форум маленький, есть способ подшаманить с группами пользователей, чтобы не сразу появлялось право на спам Старая фича (придумал не я, но мне сильно помогло):

Группа Пользователи дублируется (образуется на ее основе вторая такая же группа). Старая превращается в группу 01 (назовите ее как хотите - Читатели или Прохожие). В нее автоматом попадают свежезареганные юзеры, у которых 0 постов. Юзеры этой группы НЕ МОГУТ создавать темы, пока не отправят хоть одно сообщение. Можно им также запретить ПМ-ом пользоваться.

После первого поста юзер продвигается в группу 02 (1-10 сообщений). У пользователей этой группы есть право на открытие тем и на отправку ПМ (но запрещена массовая рассылка), а также включён флуд-контроль. И только после 10 постов можно пускать юзеров в полноправные Пользователи.

[Sannis]

Все дыры 2.1.7 описаны в документации

А когда последний раз залатывали дыры в 2.1.7 и обновляли на вашем сайте?

Думаю давно, а 2.1.7 не латают, а что? Хотите заняться наполнением ВИКИ, напишите GiV'у в ПМ лучше

 

Точно-точно, спамботы. Вчера-сегодня куча форумов была атакована, потому IPS и заплатку сработало

Тогда давайте в теме про уязвимости прекратим обсуждение спама. И так тем хватает

[toha]

delete plz

[Arhar]

нет под рукой 2.0.х, но эмпирически в sources/topics.php или где-то похоже, должен быть код

$this->first = $ibforums->input['st'];

или похожий, возможно с intval

так надо сделать

$this->first = abs(intval($ibforums->input['st']));

все это эмпирически, правильное здесь только решение, названия допридумывал

[daykkin]

У меня в 2.1.7 показывает следующее, я так понимаю это не страшно?

 

mySQL query error: SELECT pid,topic_id FROM ibf_posts WHERE topic_id=430 ORDER BY pid asc LIMIT -10,20

SQL error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-10,20' at line 1
SQL error code: 
Date: Tuesday 28th 2008f October 2008 09:23:21 PM

[Arhar]

та же байда

 

у себя на 2.1.6 сделал

./sources/action_public/topics.php

	function auto_run()
{
	$this->ipsclass->input['st']=abs(intval($this->ipsclass->input['st']));

а дальше уже пофик где что и как

надеюсь объяснять что сделал не надо?

[daykkin]

Не надо думаю Сделал так же, профиксилось, спасибо!)

P.S. Архар не могли бы заглянуть в тему про image resize, что в mJournal?

[dallas]

Интересно, а вот к этой "дыре" заплатка есть?

[Sannis]

Интересно, а вот к этой "дыре" заплатка есть?

Даже в статье написано, что это есть только в

Invision Power Board <= 2.3.5

Сравните xmlout.php в 2.3.4 и 2.3.5 и всё должно встать на свои места

 

Мне больше интересно, как они узнают все необходимые для использования дыры данные, такие как

если мы знаем заведомо\получили через SQL-inj имя текущего SQL-юзера к БД, например, sqladmin@localhost

[dallas]

У меня 2.3.5 стоит, а насколько я понимаю в знаках, <= означает меньше либо равно 2.3.5, поэтому и спрашиваю. Или я ошибаюсь?

[Sannis]

У меня 2.3.5 стоит, а насколько я понимаю в знаках, <= означает меньше либо равно 2.3.5, поэтому и спрашиваю. Или я ошибаюсь?

http://www.ibresource.ru/forums/index.php?showtopic=54585

[WildRAID]

Помню, сам лично пытался заюзать эту хрень на свои форумы. Безуспешно. Стал копать.

 

По всей видимости, на русских форумах всегда вызывается convert_and_make_safe из-за нестандартной кодировки. Он же конвертирует кириллицу, чтобы русские ники искались.

 

Чего все так переполошились?

[dallas]

Sanis: Спасибо, поставил заплатку

[HanCock]

Народ, а вы не могли бы создать отдельную тему насчет уязвимостей и способов защиты версии 2.3.5. А то не удобно так искать

[DerSpinner]

способ защиты 2.3.5 - обновление на 2.3.6

[HanCock]

Все равно и в 2.3.6 тоже дыры есть. Вы лучше напишите какие в 2.3.5 существует и как их закрывать

[ЯрИРО]

Доброй ночи, коллеги!

 

Не нашёл (в т.ч. через поиск) темы, посвящённой вирусной угрозе, потому пишу тут. Проблема следующая. Форум оказался заражён трояном. Причём сам форум Касперский считает здоровым, но как только захожу в админку и начинаю раотать с формами (профили участников и проч.), он тут же мне начинает выявлять вирусную активность.

 

Сегодня попытался обновить версию с 2.3.6 на 3.1.2, захожу в .../upgrade/ и вот оно! Зловещее окно Касперского, извещающее, мол Обнаружена угроза! Объект заражен HEUR:Trojan.Script.Iframer

 

Возник вопрос: как вообще можно лечить форум в случае его заражения?