уязвимости в 2.1.6

[eraser_bc]

в форуме версии 2.1.6 были замечены уязвимости

один из пользователей както получил доступ к админке

 

может реально както ограничить доступ к админке по IP адресу ? или отдельным паролем ?

помогите плиз

[darkden]

Конечно написали, только если борда написана криво, хоть и с 0, толку не будет достаточно вот сюда посмотреть http://secunia.com/search/?search=+Invision+Power+Board 6 уязвимостей за 5 месяцев, это уже не прсто слова, а факты, не так ли?

[eraser_bc]

покачто выход из этого - сменить название файла admin.php на другое... и никому не говорить=)

[darkden]

у меня на него пароль стоит, толку от этого полный, ноль, ибо он туда когда 2.1.5 тоьлко была заходил(после чего и поставил туда пароль, как с бакапа все накатил и запгрейтил), он как то без пароля заходит, видимо в куки хеш ручками подкадывает, ибо нету запросов на авторизацию, акаунты меняет, без релогина, так что закрытие форума пока не разберемся в чем беда, лучший вариант, хотя за такие бабосы, могли бы и код качесвеней сделать, особливо если писали с 0

[vasyast]

Конечно написали, только если борда написана криво, хоть и с 0, толку не будет достаточно вот сюда посмотреть http://secunia.com/search/?search=+Invision+Power+Board 6 уязвимостей за 5 месяцев, это уже не прсто слова, а факты, не так ли?

Нет, уважаемый, это не факты, это слова. Если вы используете лицензионную версию форума, регулярно обновляете её, то проблем с безопасностью не возникает.

 

Я думаю, что не стоит позволять себе говорить лукавые высказывания типа: "борда написана криво".

[darkden]

Конечно написали, только если борда написана криво, хоть и с 0, толку не будет достаточно вот сюда посмотреть http://secunia.com/search/?search=+Invision+Power+Board 6 уязвимостей за 5 месяцев, это уже не прсто слова, а факты, не так ли?

Нет, уважаемый, это не факты, это слова. Если вы используете лицензионную версию форума, регулярно обновляете её, то проблем с безопасностью не возникает.

 

Я думаю, что не стоит позволять себе говорить лукавые высказывания типа: "борда написана криво".

 

Т.е. вы предлагаете чтобы здесь были опубликованы, логи и доказательна (может это будет фактами? или нужно еще уязвимости приложить (жирно не будет, сообщить о проблеме, да еще и найти ее решение)? ведь логи поделать можно, а уязвимости, да еще и работающие, будут фактами?), вы как человек из службы поддержки обязаны защитить свой продукт, но не стоит говорит о проблемах безопасности, что они не возникают если регулярно обновлять (возникают), а раз они возникают вывод прост, код так написан, поэтому высказывание не лукавое, не стоит так же обвинять модераторов и администраторов форума, ибо пароли были заменены в принудительном порядке и здесь утечки быть не может, форум конечно же лицензионный, правда не русская версия, просто здесь этот вопрос в форуме обсуждают... Плюс два человека пишут, что есть уязвимости в 2.1.6 не ужели этого не достаточно и нужно дождаться, когда уязвимости выложат? Ведь пока не будет реальной защиты, уязвимости будут гулять и продаваться только в узком кругу лиц(а это в свою очередь означает что на вашей интеллектуальной собственности другие будут делать деньги и в итоге хуже будет не вашим клиентам, которые просто выберут другой продукт, а вам), а если нету реальный телодвижений по выявлению проблем безопасности, как смысл покупать такие продукты?

[vasyast]

Т.е. вы предлагаете чтобы здесь были опубликованы, логи и доказательна (может это будет фактами? или нужно еще уязвимости приложить (жирно не будет, сообщить о проблеме, да еще и найти ее решение)?

Да, публикуйте всё: логи, доказательства. Ибо без этого ваши сообщения не несут никакой информации, кроме пространственных фраз. Если вы действительно обладаете информацией по реальным уязвимостям, то пишите разработчику.

 

Плюс два человека пишут, что есть уязвимости в 2.1.6 не ужели этого не достаточно и нужно дождаться, когда уязвимости выложат?

Не достаточно. Если вы уверены, что эти уязвимости есть - сообщите об этом и подкрепите это фактами.

 

а это в свою очередь означает что на вашей интеллектуальной собственности другие будут делать деньги и в итоге хуже будет не вашим клиентам, которые просто выберут другой продукт, а вам...а если нету реальный телодвижений по выявлению проблем безопасности, как смысл покупать такие продукты?

Так могут рассуждать только люди, никогда не покупающие лицензионные версии программного обеспечения. Кричать об уязвимости в ворованной версии форума, это, простите меня, полная чушь.

 

Я не хочу устраивать с вами полемику, оставайтесь при своём мнении.

[.silent]

darkden, скажем проще, не нравится - не ешь.

[Arhar]

эито если знать какой ИП подделать, а из хт.ассеса ты не вытянешь ИП разрешенный никак

Всё просто, находишь админа, отправляешь ему ссылку на заранее подготовленную страницу, в которой прячешь код снифера, он её открывает и ип твой

[darkden]

Т.е. вы предлагаете чтобы здесь были опубликованы, логи и доказательна (может это будет фактами? или нужно еще уязвимости приложить (жирно не будет, сообщить о проблеме, да еще и найти ее решение)?

 

Да, публикуйте всё: логи, доказательства. Ибо без этого ваши сообщения не несут никакой информации, кроме пространственных фраз. Если вы действительно обладаете информацией по реальным уязвимостям, то пишите разработчику.

 

Ясно, клиентам совсем не довереют и считают сильно глупее себя... Еще раз повторю что письмо в IPS отправленно

 

Плюс два человека пишут, что есть уязвимости в 2.1.6 не ужели этого не достаточно и нужно дождаться, когда уязвимости выложат?Не достаточно. Если вы уверены, что эти уязвимости есть - сообщите об этом и подкрепите это фактами.

 

Ищим ибо форум не работает...

 

Опять же звучит как "Все тупые кроме Я"

а это в свою очередь означает что на вашей интеллектуальной собственности другие будут делать деньги и в итоге хуже будет не вашим клиентам, которые просто выберут другой продукт, а вам...а если нету реальный телодвижений по выявлению проблем безопасности, как смысл покупать такие продукты?

 

Так могут рассуждать только люди, никогда не покупающие лицензионные версии программного обеспечения. Кричать об уязвимости в ворованной версии форума, это, простите меня, полная чушь.

 

Вам лицензию показать? Опяти же не доверие, Я конечно понимаю, что много тех кто пользуется пиратской версией, но сразу всех кто не ходит в ваш Клиентцентр.

Я не хочу устраивать с вами полемику, оставайтесь при своём мнении.

Напоследок хочу сказать, что нисколько не жалею что не купил Русскую версию, хоть цена была в 3 раза ниже в итоге с ежегодными продлениями и таким суппортом вышло бы значительно дороже...

 

 

darkden, скажем проще, не нравится - не ешь.

 

Еще одно подтверждение, что с вами работать нельзя, а ведь просто подтвердил что есть проблемы с безопасностью в 2.1.6, меня тут же назначили лгуном...

Ну что ж, удачи вам господа в вашем не легком деле... Не обанкротится в ближайшее время...

[vasyast]

Еще одно подтверждение, что с вами работать нельзя, а ведь просто подтвердил что есть проблемы с безопасностью в 2.1.6, меня тут же назначили лгуном...

Ну что ж, удачи вам господа в вашем не легком деле... Не обанкротится в ближайшее время...

Прекратите хамить.

 

Если вы являетесь клиентом IPS, то за информацией по исправлению и обнаружению уязвимостей обращайтесь сюда: https://www.invisionpower.com/customer/index.php Туда же направляйте свои недовольства, мнения и догадки о несостоятельности форума.

[Arhar]

товарищи, не надо оффтопить, давайте про ипы и снифферы

[.silent]

Во будет круто если это тоже Деккер

[Fox Mulder]

эито если знать какой ИП подделать, а из хт.ассеса ты не вытянешь ИП разрешенный никак

Всё просто, находишь админа, отправляешь ему ссылку на заранее подготовленную страницу, в которой прячешь код снифера, он её открывает и ип твой

Ну я пока что разрешенный айпи прописал как 2.22.22.33 (пример), пусть ищут, когда я захочу зайти в админку я поменяю его...

 

2 support

 

Баг есть. Как могли заломиться в админку свежепоставленного 2.1.6, если:

а) админ один и он сделал логаут

б) форум был отключен (off)

в) ник с которого был прорведен взлом был зареген еще 2 недели назад (заблаговременно)

 

Получается что это не уязвимость 25.04 т.к. она входит в русскую версию 2.1.6.

Или вы думаете чтоя просто решил кинуть тенб на инвижн.... ничего подобного...

[Arhar]

Во будет круто если это тоже Деккер

Кто, я?

Вы ошибаетесь.

 

Вообще я юзаю два браузера, один с непрозрачным прокси чтоб ходить по непонятным ссылкам, другой тот, с которого я вхожу только в админку.

Тоже решение

[vasyast]

Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527

[Valera]

darkden, к твоему сведению, ibresource.ru не занимается разработкой скрипта форума, поэтому все свои замечания, направляй напрямую производителю данного программного продукта.

Не фиг тут флеймить, особенно с учетом того что vasyast, не является сотрудником IPS, поэтому обвинять его в чем-то не корректно.

 

Баг есть. Как могли заломиться в админку свежепоставленного 2.1.6, если:

Предоставь логи апача, по ним видно будет как взломали форум.

 

На самом деле админов идиотов хватает, то поставят пароль 123 или qwerty или совпадающий с ником, а потом кричат - меня взломали!

[vasyast]

Вот еще один вариант, как закрыть Админцентр через .htaccess. Разрешим доступ к admin.php только с определённого IP. Так же поставим защиту в виде логина и пароля через .htpasswd.

 

В корень с форумом загрузить .htaccess (если уже был, то добавить в него) с кодом, который нужно доработать:

<Files admin.php> 
 order deny,allow 
 deny from all 
 allow from 127.0.0.1
 AuthType Basic   
 AuthName "Для доступа необходимо авторизироваться!" 
 AuthUserFile  /home/mysite.ru/.htpasswd   
 require valid-user 
</Files>

Где "127.0.0.1" - IP адрес админа. Где "/home/mysite.ru/.htpasswd" - путь до файла с паролем и логином. Эти данные нужно изменить на свои.

 

Важно так же, в директории, где лежит файл .htpasswd завести .htaccess с запретом доступа к файлу с паролем. Код:

<Files .htpasswd> 
 deny from all 
</Files>

Как сделать файл .htpasswd читайте тут: http://www.softtime.ru/info/articlephp.php?id_article=27

 

Может кому поможет, у меня работает исправно.

[Fox Mulder]

Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527

интересно, это то что мы ищем или нет...

 

Предоставь логи апача, по ним видно будет как взломали форум.

 

На самом деле админов идиотов хватает, то поставят пароль 123 или qwerty или совпадающий с ником, а потом кричат - меня взломали!

послал запрос хостеру на логи, как даст выложу тут - будем разбираться... да не пароль у мну сложный был - comm225641

 

Все пипец, логов не будет:

 

Здравствуйте, уважаемые пользователи!

 

Сообщаем Вам, что статистика и логи сервера S4.X-HOST.NET.UA были отключены, потому как обработка большого количества информации очень нагружала сервер и в ночное время были, заметны зависания службы apache из-за чего сайты не отзывались длительное время.

 

Для получения статистики посещений вашего сайта можно воспользоваться бесплатными сервисами типа http://mytop-in.net/, http://www.bigmir.net

 

Это ограничение не касается пользователей других наших серверов!

 

Спасибо, что остаетесь с нами!

 

 

--

C Уважением, Администрация X-HOST.com.ua

 

 

 

Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527

ктото может качнуть? у меня чота не получается...

[Arhar]

http://forums.invisionpower.com/index.php?...e=post&id=10026

 

это то?

 

 

 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"[url="http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"]http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd[/url]">

<html xmlns="[url="http://www.w3.org/1999/xhtml"]http://www.w3.org/1999/xhtml[/url]" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>

<title>IPB 2.1.6.60516 Manual Patch Instructions</title>
<style type='text/css'>
body
{
 font-family: "Lucida Grande", Tahoma, Arial;
 font-size: 11px;
 background-color: #EEE;
}

.box
{
 border:1px solid #000;
 background-color: #FFF;
 padding: 6px;
 margin: 20px 10px 10px 10px;
 overflow: auto;
}

.file
{
 font-weight:bold;
 font-size: 14px;
 padding-bottom: 2px;
 border-bottom:1px dotted #333;
}

.code
{
 white-space: pre;
 font-family: "Courier New", "Courier", "Monaco", fixed-width;
}
.change
{
 font-weight: bold;
 font-size: 12px;
 color: orange;
}
.add
{
 font-weight: bold;
 font-size: 12px;
 color: green;
}
.remove
{
 font-weight: bold;
 font-size: 12px;
 color: red;
}
</style>
</head>

<body>
<h1>IPB 2.1.6.60516 Manual Patch Instructions</h1>

<div class='box'>
<div class='file'>sources/ipsclass.php [ Line: 95 ]</div>
<div class='code'>
/**
* LONG version number (Eg: 21000)
*
* @var string
*/
var $acpversion   = '<span class='change'>21012.060516.s</span>';
</div>
</div>

<div class='box'>
<div class='file'>sources/classes/post/class_post.php [ Line: 1085 ]</div>
<div class='code'>
function html_post_icons($post_icon="")
{
 if ($this->ipsclass->input['iconid'])
 {
  $post_icon = $this->ipsclass->input['iconid'];
 }

 $this->ipsclass->lang['the_max_length'] = $this->ipsclass->vars['max_post_length'] * 1024;

 $html = $this->ipsclass->compiled_templates['skin_post']->PostIcons();

 if ( $post_icon )
 {
  $html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']<span class='add'>".intval(</span>$post_icon<span class='add'>)."</span>\s?[\"']/", "name='iconid' value='$post_icon' checked", $html );
  $html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']0[\"']\s*checked=['\"]checked['\"]/i"  , "name='iconid' value='0'", $html );
 }

 return $html;
}
</div>
</div>

<div class='box'>
<div class='file'>sources/action_public/moderate.php [ Line: 1980 ]</div>
<div class='code'>
if ( $this->ipsclass->input['df'] )
{
 $html_forums = preg_replace( "/<option value=\"<span class='add'>".intval(</span>$this->ipsclass->input['df']<span class='add'>)."</span>\"/", "<option value=\"".$this->ipsclass->input['df']."\" selected", $html_forums );
}
</div>
</div>

<br />
<div style='text-align:center'>
<span class='change'>DENOTES CHANGED CODE</span> · <span class='add'>DENOTES ADDED CODE</span> · <span class='remove'>DENOTES REMOVED CODE</span>


</body>
</html>

 

создайте в блокноте newupd.html с этим кодом, если по прежнему не можете скачать

[Fox Mulder]

благодарю...

[sudmed]

Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527

А в IBR новостях будет этот патч?

[Arhar]

смотри мой предыдущий пост

[kate]

Как в .htaccess сделать ограничение на вход не с одного айпи, а, скажем, с двух?

[eraser_bc]

а можно ли както переименовать конфиг ? или сменить место его расположения нехитрыми методами, чтобы не возиться полчаса ?

[mist-org-ru]

У меня стоит 2.1.6.

Патч установил.

 

Всё равно ломают, логинятся от моего имени, гадят, трут.

 

Смотрел логи, единственное что подозрительное нашёл:

/index.php?s=&act=xmlout&do=dst-autocorrection&md5check=718bf588fa353a1ca24bef5b9800a097&xml=1&__=1148021294131

 

 

к чему это?

как и что патчить?

 

могли ли залезть через какую-нить дырку в куки?