Кажется, форум взломан...

[Kat]

Такое повторялось несколько раз: просто добавляли кусок кода, из-за которого постоянно выскакивали поп-апы... Я подчищала код, изменяла пароли как админского доступа, так и на фтп, но все повторялось снова.. Через некоторое время неизвестный деятель опять прописывал команду загрузки угодной ему странички.. А ему иной раз угодны были и prostitutki.ru, к примеру

Вот, сегодня опять повторилось...

 

Может быть, кто-нибудь подскажет, каким способом мог произойти взлом и как дырку устранить?

[GiV]

Kat версия форума, адрес форума, ставились ли заплатки последние?

[Kat]

1.1.1

не ставились..

адрес -- http://forum.real4x.info

Поможет ли изменение прав для conf_global.php?

[IBResource]

Kat, можно взгялнуть на это сообщение, которое добавлял пользователем с кодом. Я так понял кусок кода добавляли в сообщение. Проверь, что не разрешено нигде публиковать сообщения с HTML.

А модификации какие-нибудь установлены?

[theIggs]

upgrade4.php из корня форума надо удалять

Далее: читать http://securitylab.ru/?ID=1671&Search_String=invision . Читать его раз в полмесяца хотя бы.

Написать 333 раза: "Я не буду больше халатно относиться к безопасности".

 

Должно помочь.

[GiV]

Oska там в тэг FONT и COLOR можно запихнуть жава скрипт =))) не знал что ли?

[Kat]

нет, не в сообщение в сам код вписывалась ссылка , открывающая окно на сайт, где, видимо, автор зарегистривался как референт...

ну удалила upgrade4.php

это не поможет

я понимаю, что всегда легко издеваться... а помочь на самом деле гораздо сложнее

Думается, дело в хостинге. Доступ получается устанавливать только 666, не иначе

[Dekker]

ломанули акаунт участника имеющего права СА т.е. модерирования везде. причем сменили ник. такое возможно только с админки (логов в админке нет по поводу этого безобразия) или через доступ к sql. как все таки поимели ? (последствий не было, мгновенно был придавлен)

версия 1.1.1 http://www.crimea-board.net вроде залатанный.

[Dekker]

ок. вдогонку, сейчас взломанная группа очень сильно урезана в правах, но она просто мозолит мне глаза, проблема не решена.

доп. вопрос - как удалить эту группу из базы ? в админке напротив этой группы "удалить" нет.

[GiV]

А перейти на 1.2 религия не позволяет?

 

Ладно попробуем такой метод профилактики взломов. 100% безопасности не дает, однако в некоторой степени можно определить как ломают. Через админку или как то по другому, например через дыру у хостера...

 

Идея заключается в убирании admin.php из корня форума в какую либо директорию и защита этой диретории .htaccess

Итак приступим:

К примеру созадим еще одну директорию на сервере, пусть она будет называться acp (желательно что бы вы придумали что-то свое)

Переносим (не копируем, а именно переносим) файл admin.php из корневой директории в acp. Закрываем директорию, от посторонних. Для этого в директоию acp поместим файл .htaccess со следующим содержанием:

AuthName "Restricted Forum Administrator Area"
AuthType Basic
AuthUserFile "/pub/home/login/htdocs/clousearea/.htpasswd"
<Files *.*>
require valid-user
</Files>

Внимание: в директиве AuthUserFile "/pub/home/login/htdocs/clousearea/.htpasswd" нужно поставить свой путь для файла паролей. Важно что бы файл паролей не был виден извне, т.е. не должен находится в public_html

 

Теперь начинаем осуществлять изменения в файлах:

Файл ../acp/admin.php:

Ищем:

define( 'ROOT_PATH', './' );

меняем на

define( 'ROOT_PATH', '../' );

ниже будет строчка

$ADMIN->html .= "<tr><td id='tdrow1'><meta http-equiv='refresh' content='2; url=".$INFO['board_url']."/admin.".$INFO['php_ext']."?adsess=".$IN['AD_SESS']."'><a href='".$INFO['board_url']."/admin.".$INFO['php_ext']."?adsess=".$IN['AD_SESS']."'>( Click here if you do not wish to wait )</a></td></tr>";

заменим ее на

$ADMIN->html .= "<tr><td id='tdrow1'><meta http-equiv='refresh' content='2; url=".$INFO['board_url']."/acp/admin.".$INFO['php_ext']."?adsess=".$IN['AD_SESS']."'><a href='".$INFO['board_url']."/acp/admin.".$INFO['php_ext']."?adsess=".$IN['AD_SESS']."'>( Click here if you do not wish to wait )</a></td></tr>";

 

Файл ../sources/Admin/admin_functions.php

Ищем:

$this->base_url = $INFO['board_url']."/admin.".$INFO['php_ext']."?adsess=".$IN['AD_SESS'];

меняем на

$this->base_url = $INFO['board_url']."/acp/admin.".$INFO['php_ext']."?adsess=".$IN['AD_SESS'];

 

Аналогичные действия осуществляем в файле ../sources/Admin/admin_skin.php

 

Теперь доступ к вашей админке будет по адресу http://www.yoursite.com/forum/acp/admin.php при этом система еще будет запрашивать авторизацию.

 

Тут еще подумал что вместо admin.php в корне можно положить логгер какой нибудь. Будет выглядить как обычная форма доступа к админке, но вместо того что бы авторизировать пользователя и пускать его в админку, будет записывать кто, когда и как пытался залогинится.

[Dekker]

Vanish

громадное спасибо за это, я думаю это пригодиться не только мне.

 

на самом деле не бейте ногами !!! очень прошу. когда мне понадобилось группа пользователей с правами СА я не долго думая переименовываю группу "Ожидающие" (т.е. те которые ожидают подтверждения регистрации), вообще то регистрация у меня вольная, но приходит один баран его банят он заходит под др. IP и ... ну понятно, тогда я подтверждаю регистрацию сам ручками.

вот ... не надо кидать тухлыми помидорами ...

группе "Ожидающие" кроме переименования даються еще и права СА ... отложите тухлые яйца в корзину ...

ситуэйшн, форум на военном режиме, регистрации я подтверждаю сам, приходит юзверь, заполняет форму и попадает в эту группу ... с правами СА. хорошо хоть он не понимает что это ему дает ...

 

Тут еще подумал что вместо admin.php в корне можно положить логгер какой нибудь. Будет выглядить как обычная форма доступа к админке, но вместо того что бы авторизировать пользователя и пускать его в админку, будет записывать кто, когда и как пытался залогинится.

было бы просто замечательно

 

ребят, еще раз сорри

[Kat]

Дело в хостингере.

Система безопасности у них страдает. Тут ничего не поможет..

[krapan]

Vanish спасибо за отличный пост! Очень помогло!

[Hugo]

Внимание: в директиве AuthUserFile "/pub/home/login/htdocs/clousearea/.htpasswd" нужно поставить свой путь для файла паролей. Важно что бы файл паролей не был виден извне, т.е. не должен находится в public_html

Я этого не понял. Я в прямо в файле htaccess это пишу или где?

[Fastserg]

Надо два файла .htpasswd и .htaccess

В файле .htpasswd надо еще создать пароль типа

user:pass Только pass чем-то еще шифруется.

[Hugo]

Значит я создлаю новую папку, туду переношу admin.php, .htpasswd и .htaccess?

[krapan]

Админка кстати после перноса начинает неверно работать

 

Стили отредактировать я не смог, плюс опции некоторые недоступны

Но если например только управлять форумами или юзверями то все в порядке

[bobsfm]

krapan

я не понял, уточни, плиз, про некорректность. У меня все корректно работает повле переноса...

[krapan]

при нажатии manage skin set - edit дефолтовый стиль

 

Warning: opendir(./style_images): failed to open dir: No such file or directory in /home/mysite/public_html/forum/sources/Admin/ad_stylesets.php on line 629

 

Warning: readdir(): supplied argument is not a valid Directory resource in /home/mysite/public_html/forum/sources/Admin/ad_stylesets.php on line 630

 

Warning: closedir(): supplied argument is not a valid Directory resource in /home/mysite/public_html/forum/sources/Admin/ad_stylesets.php on line 640

[Hugo]

Обьясните мне, я создал папку перенес туда адимку и создал htpasswd и .htaccess. А что дальше делать понять не могу.

[bobsfm]

krapan

Vanish

 

при попытке подтверждения регистрации нового пользователя (у нас включен режим подтверждения админом регистрации) возникает вот такая ошибка после установки повышенной безопастности (пароля) и перепрятывания admin.php

 

Warning: get_template(./lang/2/email_content.php): failed to open stream: No such file or directory in /is/htdocs/.../.../board/sources/lib/emailer.php on line 264

 

Далее при попытке создания нового скина из админки по схеме ShaD+Остап вылезают ошибки в строках...

 

Vanish, что ж теперь надо пути менять вручную?

[GiV]

bobsfm

попробуй в /sources/lib/emailer.php заменить

 

function get_template($name="", $language="") {
global $ibforums, $IB, $DB;

на

function get_template($name="", $language="") {
global $ibforums, $IB, $DB, $root_path;

 

и

 

if (! file_exists("./lang/$language/email_content.php") )
{
require "./lang/".$ibforums->vars['default_language']."/email_content.php";
}
else
{
require "./lang/$language/email_content.php";
}

на

$root_path=($root_path)?$root_path:ROOT_PATH; 

if (! file_exists($root_path."/lang/$language/email_content.php") )
{
require $root_path."/lang/".$ibforums->vars['default_language']."/email_content.php";
}
else
{
require $root_path."/lang/$language/email_content.php";
}

[bobsfm]

Vanish

спасибо попробуем.

 

А как быть с ошибками, возникающими при попытке создать новый скин? (Ошибка изначально в том, что даже в режиме "Безопасных скинов" при переносе адимн-файла админка перестает видеть наличие файлов папки style_images, что и дет возможностьсоздать новый стиль...)

[GiV]

Про создание стиля не очень понял. Решаетеся скорее всего так же.

[qweqwe]

увидел название темы и вспомнил:

захожу однажды на форум и вижу что на форуме был "admin"... примерно 5-10 минт до моего прихода...

в админке ничего не изменилось....

пароли от админа и ссх конечно же были разными, поэтому ничего не пострадало...

но сам факт...

 

ок, поменял пароль админу... жду.

 

примерно через неделю повторяется...

сначала я брешил на мозилу.. но в этот раз я был у друга ! (не имею привычки использовать административный доступ из каких-либо мест, кроме домашней машины)

и опять.. админ тут.. смотрит главную страницу...

 

опять поменял пароль... пока тихо вроде.....

закрыл доступ к админке и сижу =)

 

форум - 1.2 финал, без заплаток... только хаки стоят. (за которое, отдельное спасибо IBR Team)

 

но факт остается фактом...

 

--

упс, не заметил в каком разделе эта тема

[bobsfm]

Vanish

чтоб не мучится пока Боб вернул админкин файл на место и сохранил пароль на раздел - встал и скин в дню Св. Валентина от SHaD'a и вернулись опции подтверждения регистрации.