eraser_bc Опубликовано 11 Мая 2006 Жалоба Поделиться Опубликовано 11 Мая 2006 в форуме версии 2.1.6 были замечены уязвимостиодин из пользователей както получил доступ к админке может реально както ограничить доступ к админке по IP адресу ? или отдельным паролем ?помогите плиз Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 darkden Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Конечно написали, только если борда написана криво, хоть и с 0, толку не будет достаточно вот сюда посмотреть http://secunia.com/search/?search=+Invision+Power+Board 6 уязвимостей за 5 месяцев, это уже не прсто слова, а факты, не так ли? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 eraser_bc Опубликовано 17 Мая 2006 Автор Жалоба Поделиться Опубликовано 17 Мая 2006 покачто выход из этого - сменить название файла admin.php на другое... и никому не говорить=) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 darkden Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 у меня на него пароль стоит, толку от этого полный, ноль, ибо он туда когда 2.1.5 тоьлко была заходил(после чего и поставил туда пароль, как с бакапа все накатил и запгрейтил), он как то без пароля заходит, видимо в куки хеш ручками подкадывает, ибо нету запросов на авторизацию, акаунты меняет, без релогина, так что закрытие форума пока не разберемся в чем беда, лучший вариант, хотя за такие бабосы, могли бы и код качесвеней сделать, особливо если писали с 0 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Конечно написали, только если борда написана криво, хоть и с 0, толку не будет достаточно вот сюда посмотреть http://secunia.com/search/?search=+Invision+Power+Board 6 уязвимостей за 5 месяцев, это уже не прсто слова, а факты, не так ли?Нет, уважаемый, это не факты, это слова. Если вы используете лицензионную версию форума, регулярно обновляете её, то проблем с безопасностью не возникает. Я думаю, что не стоит позволять себе говорить лукавые высказывания типа: "борда написана криво". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 darkden Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Конечно написали, только если борда написана криво, хоть и с 0, толку не будет достаточно вот сюда посмотреть http://secunia.com/search/?search=+Invision+Power+Board 6 уязвимостей за 5 месяцев, это уже не прсто слова, а факты, не так ли?Нет, уважаемый, это не факты, это слова. Если вы используете лицензионную версию форума, регулярно обновляете её, то проблем с безопасностью не возникает. Я думаю, что не стоит позволять себе говорить лукавые высказывания типа: "борда написана криво". Т.е. вы предлагаете чтобы здесь были опубликованы, логи и доказательна (может это будет фактами? или нужно еще уязвимости приложить (жирно не будет, сообщить о проблеме, да еще и найти ее решение)? ведь логи поделать можно, а уязвимости, да еще и работающие, будут фактами?), вы как человек из службы поддержки обязаны защитить свой продукт, но не стоит говорит о проблемах безопасности, что они не возникают если регулярно обновлять (возникают), а раз они возникают вывод прост, код так написан, поэтому высказывание не лукавое, не стоит так же обвинять модераторов и администраторов форума, ибо пароли были заменены в принудительном порядке и здесь утечки быть не может, форум конечно же лицензионный, правда не русская версия, просто здесь этот вопрос в форуме обсуждают... Плюс два человека пишут, что есть уязвимости в 2.1.6 не ужели этого не достаточно и нужно дождаться, когда уязвимости выложат? Ведь пока не будет реальной защиты, уязвимости будут гулять и продаваться только в узком кругу лиц(а это в свою очередь означает что на вашей интеллектуальной собственности другие будут делать деньги и в итоге хуже будет не вашим клиентам, которые просто выберут другой продукт, а вам), а если нету реальный телодвижений по выявлению проблем безопасности, как смысл покупать такие продукты? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Т.е. вы предлагаете чтобы здесь были опубликованы, логи и доказательна (может это будет фактами? или нужно еще уязвимости приложить (жирно не будет, сообщить о проблеме, да еще и найти ее решение)?Да, публикуйте всё: логи, доказательства. Ибо без этого ваши сообщения не несут никакой информации, кроме пространственных фраз. Если вы действительно обладаете информацией по реальным уязвимостям, то пишите разработчику. Плюс два человека пишут, что есть уязвимости в 2.1.6 не ужели этого не достаточно и нужно дождаться, когда уязвимости выложат?Не достаточно. Если вы уверены, что эти уязвимости есть - сообщите об этом и подкрепите это фактами. а это в свою очередь означает что на вашей интеллектуальной собственности другие будут делать деньги и в итоге хуже будет не вашим клиентам, которые просто выберут другой продукт, а вам...а если нету реальный телодвижений по выявлению проблем безопасности, как смысл покупать такие продукты?Так могут рассуждать только люди, никогда не покупающие лицензионные версии программного обеспечения. Кричать об уязвимости в ворованной версии форума, это, простите меня, полная чушь. Я не хочу устраивать с вами полемику, оставайтесь при своём мнении. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 .silent Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 darkden, скажем проще, не нравится - не ешь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 эито если знать какой ИП подделать, а из хт.ассеса ты не вытянешь ИП разрешенный никакВсё просто, находишь админа, отправляешь ему ссылку на заранее подготовленную страницу, в которой прячешь код снифера, он её открывает и ип твой Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 darkden Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Т.е. вы предлагаете чтобы здесь были опубликованы, логи и доказательна (может это будет фактами? или нужно еще уязвимости приложить (жирно не будет, сообщить о проблеме, да еще и найти ее решение)? Да, публикуйте всё: логи, доказательства. Ибо без этого ваши сообщения не несут никакой информации, кроме пространственных фраз. Если вы действительно обладаете информацией по реальным уязвимостям, то пишите разработчику. Ясно, клиентам совсем не довереют и считают сильно глупее себя... Еще раз повторю что письмо в IPS отправленно Плюс два человека пишут, что есть уязвимости в 2.1.6 не ужели этого не достаточно и нужно дождаться, когда уязвимости выложат?Не достаточно. Если вы уверены, что эти уязвимости есть - сообщите об этом и подкрепите это фактами. Ищим ибо форум не работает... Опять же звучит как "Все тупые кроме Я"а это в свою очередь означает что на вашей интеллектуальной собственности другие будут делать деньги и в итоге хуже будет не вашим клиентам, которые просто выберут другой продукт, а вам...а если нету реальный телодвижений по выявлению проблем безопасности, как смысл покупать такие продукты? Так могут рассуждать только люди, никогда не покупающие лицензионные версии программного обеспечения. Кричать об уязвимости в ворованной версии форума, это, простите меня, полная чушь. Вам лицензию показать? Опяти же не доверие, Я конечно понимаю, что много тех кто пользуется пиратской версией, но сразу всех кто не ходит в ваш Клиентцентр.Я не хочу устраивать с вами полемику, оставайтесь при своём мнении.Напоследок хочу сказать, что нисколько не жалею что не купил Русскую версию, хоть цена была в 3 раза ниже в итоге с ежегодными продлениями и таким суппортом вышло бы значительно дороже... darkden, скажем проще, не нравится - не ешь. Еще одно подтверждение, что с вами работать нельзя, а ведь просто подтвердил что есть проблемы с безопасностью в 2.1.6, меня тут же назначили лгуном... Ну что ж, удачи вам господа в вашем не легком деле... Не обанкротится в ближайшее время... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Еще одно подтверждение, что с вами работать нельзя, а ведь просто подтвердил что есть проблемы с безопасностью в 2.1.6, меня тут же назначили лгуном... Ну что ж, удачи вам господа в вашем не легком деле... Не обанкротится в ближайшее время...Прекратите хамить. Если вы являетесь клиентом IPS, то за информацией по исправлению и обнаружению уязвимостей обращайтесь сюда: https://www.invisionpower.com/customer/index.php Туда же направляйте свои недовольства, мнения и догадки о несостоятельности форума. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 товарищи, не надо оффтопить, давайте про ипы и снифферы Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 .silent Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Во будет круто если это тоже Деккер Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Fox Mulder Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 эито если знать какой ИП подделать, а из хт.ассеса ты не вытянешь ИП разрешенный никакВсё просто, находишь админа, отправляешь ему ссылку на заранее подготовленную страницу, в которой прячешь код снифера, он её открывает и ип твойНу я пока что разрешенный айпи прописал как 2.22.22.33 (пример), пусть ищут, когда я захочу зайти в админку я поменяю его... 2 support Баг есть. Как могли заломиться в админку свежепоставленного 2.1.6, если:а) админ один и он сделал логаутб) форум был отключен (off)в) ник с которого был прорведен взлом был зареген еще 2 недели назад (заблаговременно) Получается что это не уязвимость 25.04 т.к. она входит в русскую версию 2.1.6. Или вы думаете чтоя просто решил кинуть тенб на инвижн.... ничего подобного... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Во будет круто если это тоже ДеккерКто, я?Вы ошибаетесь. Вообще я юзаю два браузера, один с непрозрачным прокси чтоб ходить по непонятным ссылкам, другой тот, с которого я вхожу только в админку.Тоже решение Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Valera Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 darkden, к твоему сведению, ibresource.ru не занимается разработкой скрипта форума, поэтому все свои замечания, направляй напрямую производителю данного программного продукта. Не фиг тут флеймить, особенно с учетом того что vasyast, не является сотрудником IPS, поэтому обвинять его в чем-то не корректно. Баг есть. Как могли заломиться в админку свежепоставленного 2.1.6, если:Предоставь логи апача, по ним видно будет как взломали форум. На самом деле админов идиотов хватает, то поставят пароль 123 или qwerty или совпадающий с ником, а потом кричат - меня взломали! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 vasyast Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Вот еще один вариант, как закрыть Админцентр через .htaccess. Разрешим доступ к admin.php только с определённого IP. Так же поставим защиту в виде логина и пароля через .htpasswd. В корень с форумом загрузить .htaccess (если уже был, то добавить в него) с кодом, который нужно доработать:<Files admin.php> order deny,allow deny from all allow from 127.0.0.1 AuthType Basic AuthName "Для доступа необходимо авторизироваться!" AuthUserFile /home/mysite.ru/.htpasswd require valid-user </Files>Где "127.0.0.1" - IP адрес админа. Где "/home/mysite.ru/.htpasswd" - путь до файла с паролем и логином. Эти данные нужно изменить на свои. Важно так же, в директории, где лежит файл .htpasswd завести .htaccess с запретом доступа к файлу с паролем. Код:<Files .htpasswd> deny from all </Files>Как сделать файл .htpasswd читайте тут: http://www.softtime.ru/info/articlephp.php?id_article=27 Может кому поможет, у меня работает исправно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Fox Mulder Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527интересно, это то что мы ищем или нет... Предоставь логи апача, по ним видно будет как взломали форум. На самом деле админов идиотов хватает, то поставят пароль 123 или qwerty или совпадающий с ником, а потом кричат - меня взломали! послал запрос хостеру на логи, как даст выложу тут - будем разбираться... да не пароль у мну сложный был - comm225641 Все пипец, логов не будет: Здравствуйте, уважаемые пользователи! Сообщаем Вам, что статистика и логи сервера S4.X-HOST.NET.UA были отключены, потому как обработка большого количества информации очень нагружала сервер и в ночное время были, заметны зависания службы apache из-за чего сайты не отзывались длительное время. Для получения статистики посещений вашего сайта можно воспользоваться бесплатными сервисами типа http://mytop-in.net/, http://www.bigmir.net Это ограничение не касается пользователей других наших серверов! Спасибо, что остаетесь с нами! --C Уважением, Администрация X-HOST.com.ua Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527ктото может качнуть? у меня чота не получается... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 http://forums.invisionpower.com/index.php?...e=post&id=10026 это то? <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "[url="http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"]http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd[/url]"> <html xmlns="[url="http://www.w3.org/1999/xhtml"]http://www.w3.org/1999/xhtml[/url]" xml:lang="en" lang="en"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <title>IPB 2.1.6.60516 Manual Patch Instructions</title> <style type='text/css'> body { font-family: "Lucida Grande", Tahoma, Arial; font-size: 11px; background-color: #EEE; } .box { border:1px solid #000; background-color: #FFF; padding: 6px; margin: 20px 10px 10px 10px; overflow: auto; } .file { font-weight:bold; font-size: 14px; padding-bottom: 2px; border-bottom:1px dotted #333; } .code { white-space: pre; font-family: "Courier New", "Courier", "Monaco", fixed-width; } .change { font-weight: bold; font-size: 12px; color: orange; } .add { font-weight: bold; font-size: 12px; color: green; } .remove { font-weight: bold; font-size: 12px; color: red; } </style> </head> <body> <h1>IPB 2.1.6.60516 Manual Patch Instructions</h1> <div class='box'> <div class='file'>sources/ipsclass.php [ Line: 95 ]</div> <div class='code'> /** * LONG version number (Eg: 21000) * * @var string */ var $acpversion = '<span class='change'>21012.060516.s</span>'; </div> </div> <div class='box'> <div class='file'>sources/classes/post/class_post.php [ Line: 1085 ]</div> <div class='code'> function html_post_icons($post_icon="") { if ($this->ipsclass->input['iconid']) { $post_icon = $this->ipsclass->input['iconid']; } $this->ipsclass->lang['the_max_length'] = $this->ipsclass->vars['max_post_length'] * 1024; $html = $this->ipsclass->compiled_templates['skin_post']->PostIcons(); if ( $post_icon ) { $html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']<span class='add'>".intval(</span>$post_icon<span class='add'>)."</span>\s?[\"']/", "name='iconid' value='$post_icon' checked", $html ); $html = preg_replace( "/name=[\"']iconid[\"']\s*value=[\"']0[\"']\s*checked=['\"]checked['\"]/i" , "name='iconid' value='0'", $html ); } return $html; } </div> </div> <div class='box'> <div class='file'>sources/action_public/moderate.php [ Line: 1980 ]</div> <div class='code'> if ( $this->ipsclass->input['df'] ) { $html_forums = preg_replace( "/<option value=\"<span class='add'>".intval(</span>$this->ipsclass->input['df']<span class='add'>)."</span>\"/", "<option value=\"".$this->ipsclass->input['df']."\" selected", $html_forums ); } </div> </div> <br /> <div style='text-align:center'> <span class='change'>DENOTES CHANGED CODE</span> · <span class='add'>DENOTES ADDED CODE</span> · <span class='remove'>DENOTES REMOVED CODE</span> </body> </html> создайте в блокноте newupd.html с этим кодом, если по прежнему не можете скачать Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Fox Mulder Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 благодарю... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 sudmed Опубликовано 17 Мая 2006 Жалоба Поделиться Опубликовано 17 Мая 2006 Во, IPB 2.x.x Security Update (06-05-16): http://forums.invisionpower.com/index.php?showtopic=215527А в IBR новостях будет этот патч? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 18 Мая 2006 Жалоба Поделиться Опубликовано 18 Мая 2006 смотри мой предыдущий пост Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 kate Опубликовано 19 Мая 2006 Жалоба Поделиться Опубликовано 19 Мая 2006 Как в .htaccess сделать ограничение на вход не с одного айпи, а, скажем, с двух? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 eraser_bc Опубликовано 19 Мая 2006 Автор Жалоба Поделиться Опубликовано 19 Мая 2006 а можно ли както переименовать конфиг ? или сменить место его расположения нехитрыми методами, чтобы не возиться полчаса ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 mist-org-ru Опубликовано 19 Мая 2006 Жалоба Поделиться Опубликовано 19 Мая 2006 У меня стоит 2.1.6.Патч установил. Всё равно ломают, логинятся от моего имени, гадят, трут. Смотрел логи, единственное что подозрительное нашёл:/index.php?s=&act=xmlout&do=dst-autocorrection&md5check=718bf588fa353a1ca24bef5b9800a097&xml=1&__=1148021294131 к чему это?как и что патчить? могли ли залезть через какую-нить дырку в куки? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
eraser_bc
в форуме версии 2.1.6 были замечены уязвимости
один из пользователей както получил доступ к админке
может реально както ограничить доступ к админке по IP адресу ? или отдельным паролем ?
помогите плиз
Ссылка на комментарий
Поделиться на других сайтах
Лучшие авторы в этом вопросе
10
7
6
6
Дни популярности
17 мая
24
12 мая
14
19 мая
6
13 мая
6
Лучшие авторы в этом вопросе
vasyast 10 публикаций
Arhar 7 публикаций
eraser_bc 6 публикаций
Denis_home 6 публикаций
Дни популярности
17 мая 2006
24 публикации
12 мая 2006
14 публикаций
19 мая 2006
6 публикаций
13 мая 2006
6 публикаций
53 ответа на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.