У меня 2.1.5. Попытка взлом... Или, собственно, взлом!

[Can]

Короче, история такая...

Захожу в нэт. Тут мне мои посетители мне кричат: "Чувак, тебя ломанули!"

Короче, в одном разделе появляется тема, типа "your forum was hacked", тема содержит сообщение типа "ваш админ долб**б, форум хакнут". Самое интересное - что сообщение написано от ника админа! И это-же сообщеиние и тема были удалены - значит, они могут управлять форумом?!

Захожу в админку -> Последние 5 действий модераторов. И вижу, следующее:

Модератор Действие Форум Тема Дата Время IP-адрес

Admin Deleted topics (IDs: 931) Название раздела Jul 29 2006, 23:04 24.22.15.237

Admin Deleted posts (=7494) =7494 Jul 29 2006, 22:08 128.220.247.29

Я офигел! Поискал через Яндекс этот ip-адрес. А он на варезных сайтах в списке каких-то долбанных "прокси"!

Народ, чё мне делать?! Пароль они 100 пудово не могли узнать. Здесь чё-то другое...

[LE_TALLEC]

удалить лишних админов,поменять пароли,поставить заплатки.защитить через хтацесс

[Can]

Пароль сменю. Админ один - Я! Даже модераторов нет! Заплатки ставил. Что там насчет .htacess?

[LE_TALLEC]

<Files admin.php>

Order deny,allow

Deny from All

Allow from твой ип

</Files>

 

Или

 

Создаем файл .htaccess :

 

Цитата

<Files ~ "admin.php">

AuthName "Administration Zone"

AuthType Basic

AuthUserFile /pub/home/htdocs/files/.htpasswd

require valid-user

</Files>

 

 

и кидаем его в корень сайта.

 

В строке с AuthUserFile указан путь (полный путь от корня сервера!) до файла .htpasswd. Его можно размещать в любом месте Вашего сервера, желательно если он будет размещен вне директории для публичных файлов.

 

Теперь нужно создать файл .htpasswd, в котором будут хранится логин и пароль для входа в админ-панель.

 

 

 

еще мод http://mods.invisionize.com/db/index.php/f/5374 прячет файл админ.пхп

[Can]

<Files admin.php>

Order deny,allow

Deny from All

Allow from твой ип

</Files>

Это куда вписывать?!!! Объясни, пожалуйста, подробнее...

... Я так понял эта фигня сделает, чтобы только с моего ip в админку можно было заходить?

 

... А за мод спасибо, поставил!

[Jax]

<Files admin.php>

Order deny,allow

Deny from All

Allow from твой ип

</Files>

Это куда вписывать?!!! Объясни, пожалуйста, подробнее...

... Я так понял эта фигня сделает, чтобы только с моего ip в админку можно было заходить?

 

... А за мод спасибо, поставил!

в .htacess это вписывать нужно

[Can]

Дело в том, что у меня уже есть файл .htaccess, там содержимое для мода php -> html...

[AVol]

просто допиши тудаже

[Can]

Хорошо, напишу, допустим, так:

<Files admin.php>
Order deny,allow
Deny from All
Allow from 87.228.85.200
</Files>

Но, бывает, что последние числа ip-адреса меняются?!

[LE_TALLEC]

тогда вариант с .htpasswd

[Can]

Теперь нужно создать файл .htpasswd, в котором будут хранится логин и пароль для входа в админ-панель.

1)Я же не пропишу прсото admin 777, как именно это записать?!

2)Кстати, если я установил мод, с помощью которого "спрятал" админку, может мне вообще это всё делать не нужно?!

В любом случае, ответьте на 1) пожалуйста. Спасибо.

[LE_TALLEC]

http://www.softtime.ru/info/articlephp.php?id_article=27

[stepasha]

Мой вопрос подходит под заголовок данной темы, версия форума у меня тоже 2.1.5. Заплатки, информация о которых есть на этом форуме, все установлены. Т.е. по безопасности мой форум должен быть по идее защищен не меньше чем 2.1.7. На днях произошло следующее, привожу кусок лога (убрал запросы картинок, айпишник злоумышленника, адрес самого форума):

IP - - [05/Aug/2006:03:56:07 +0400] "GET / HTTP/1.0" 200 9568 "-" "Mozilla/5.0"
IP - - [05/Aug/2006:03:56:47 +0400] "POST /ipb.html?act=Login&CODE=01&CookieDate=1 HTTP/1.0" 200 4107 "http://my.forum/" "Mozilla/5.0"
IP - - [05/Aug/2006:03:57:18 +0400] "POST /ipb.html?act=Login&CODE=01 HTTP/1.0" 200 4110 "http://my.forum/ipb.html?act=Login&CODE=01&CookieDate=1" "Mozilla/5.0"
IP - - [05/Aug/2006:03:57:42 +0400] "POST /ipb.html?act=Login&CODE=01 HTTP/1.0" 200 4091 "http://my.forum/ipb.html?act=Login&CODE=01" "Mozilla/5.0"
IP - - [05/Aug/2006:03:58:46 +0400] "GET /ipb.html?act=Members HTTP/1.0" 200 5626 "http://my.forum/ipb.html?act=Login&CODE=01" "Mozilla/5.0"
IP - - [05/Aug/2006:03:59:03 +0400] "POST /ipb.html?act=members HTTP/1.0" 200 5634 "http://my.forum/ipb.html?act=Members" "Mozilla/5.0"
IP - - [05/Aug/2006:03:59:15 +0400] "POST /ipb.html?act=members HTTP/1.0" 200 5815 "http://my.forum/ipb.html?act=members" "Mozilla/5.0"
IP - - [05/Aug/2006:03:59:51 +0400] "GET /index.php?act=Reg&CODE=10 HTTP/1.0" 200 3786 "-" "Mozilla/5.0"
IP - - [05/Aug/2006:03:59:56 +0400] "GET /ipb.html?act=Reg&CODE=image&rc=edccb288b505a23c054929cf12410460 HTTP/1.0" 200 8825 "http://my.forum/index.php?act=Reg&CODE=10" "Mozilla/5.0"
IP - - [05/Aug/2006:04:00:19 +0400] "POST /index.html HTTP/1.0" 200 3226 "http://my.forum/index.php?act=Reg&CODE=10" "Mozilla/5.0"
IP - - [05/Aug/2006:04:00:24 +0400] "GET /ipb.html?act=task HTTP/1.0" 200 43 "http://my.forum/index.html?" "Mozilla/5.0"
IP - - [05/Aug/2006:04:00:32 +0400] "GET /index.php?act=Reg&CODE=lostpassform HTTP/1.0" 200 3867 "-" "Mozilla/5.0"
IP - - [05/Aug/2006:04:01:52 +0400] "POST /index.html HTTP/1.0" 302 0 "http://my.forum/index.php?act=Reg&CODE=lostpassform" "Mozilla/5.0"
IP - - [05/Aug/2006:04:01:53 +0400] "GET /ipb.html?&act=Login&CODE=autologin&frompass=1 HTTP/1.0" 302 0 "http://my.forum/index.php?act=Reg&CODE=lostpassform" "Mozilla/5.0"
IP - - [05/Aug/2006:04:01:54 +0400] "GET /ipb.html?act=Login&CODE=00 HTTP/1.0" 200 4027 "http://my.forum/index.php?act=Reg&CODE=lostpassform" "Mozilla/5.0"
IP - - [05/Aug/2006:04:02:18 +0400] "POST /ipb.html?act=Login&CODE=01 HTTP/1.0" 302 0 "http://my.forum/ipb.html?act=Login&CODE=00" "Mozilla/5.0"
IP - - [05/Aug/2006:04:02:28 +0400] "GET /admin.php HTTP/1.0" 401 463 "http://my.forum/ipb.html?http://my.forum/ipb.html?&CODE=lostpassform" "Mozilla/5.0"
IP - - [05/Aug/2006:04:02:18 +0400] "GET /ipb.html?http://my.forum/ipb.html?&CODE=lostpassform HTTP/1.0" 200 9987 "http://my.forum/ipb.html?act=Login&CODE=00" "Mozilla/5.0"
IP - Admin [05/Aug/2006:04:02:51 +0400] "GET /admin.php HTTP/1.0" 401 463 "http://my.forum/ipb.html?http://my.forum/ipb.html?&CODE=lostpassform" "Mozilla/5.0"
IP - Admin [05/Aug/2006:04:02:38 +0400] "GET /admin.php HTTP/1.0" 401 463 "http://my.forum/ipb.html?http://my.forum/ipb.html?&CODE=lostpassform" "Mozilla/5.0"
IP - - [05/Aug/2006:04:03:12 +0400] "GET /admin.php HTTP/1.0" 401 463 "-" "Mozilla/5.0"
IP - Admin [05/Aug/2006:04:03:07 +0400] "GET /admin.php HTTP/1.0" 401 463 "http://my.forum/ipb.html?http://my.forum/ipb.html?&CODE=lostpassform" "Mozilla/5.0"

Явное дело орудовал взломщик. Я узнал об этом инцеденте, когда мне на ящик пришло письмо о восстановлении якобы забытого мною пароля, хотя запрос я не отправлял. Потом мне не удалось зайти на форум, пришлось самому пароль восстанавливать. Пожалуйста напишите что это за уязвимость и как ее устранить. Хоть админка у меня и защищена еще одним паролем, что видно по последним строчкам лога, но все равно крайне неприятно, что кто-то имеет возможность залогиниться от моего имени... Заранее благодарен, если кто поможет.

[Roman Borisovich]

Это что теперь выходит нужно боятся ?

[asdasd]

Кук както твои свиснул походу, у тебя включина загрузка аваторов с других УРЛ ???

[stepasha]

Кук както твои свиснул походу, у тебя включина загрузка аваторов с других УРЛ ???

Я сразу же после происшедшего сменил пароль через админку, где указал опции "обновить хеш пароля" и "создать новый куки". Загрузка аватаров с других мест включена... А что, имеет смысл отключить ее? Мне все-таки кажется, что проблема где-то глубже, ведь имея только лишь куки, пароль сменить на другой не удасться. Подозрение на баг в системе восстановления пароля.

[Can]

В моём случае писем с восстановлением пароля не приходило...

[stepasha]

Какие еще могут быть способы для получения cookies? Хочется обезопаситься.

[daitepiva]

ведь имея только лишь куки, пароль сменить на другой не удасться

 

Ещё как можно. Получив из куков хеш пароля какого-либо ника, можно зайти под этим ником и поменять любые настройки профиля в т.ч. и пароль.

[Destruction]

Хорошо, напишу, допустим, так:

<Files admin.php>
Order deny,allow
Deny from All
Allow from 87.228.85.200
</Files>

Но, бывает, что последние числа ip-адреса меняются?!

Тогда надо писать, либо несколько строк Allow from, либо писать маску IP-адреса, например вот так:

87.228.85 - будет пускать всех у кого IP начинается с 87.228.85.

 

тогда вариант с .htpasswd

Омг :-)

Нельзя всё копипастить, иногда следует вчитываться.

 

Какие еще могут быть способы для получения cookies? Хочется обезопаситься.

Только XSS ворует куки, самый популярный вариант - аватары, если их совсем отключить или оставить возможность использовать только загруженные аватары, то уровень безопасности форума резко возрастёт.

 

2stepasha, нет, 2.1.5 с заплатками меньше защищён чем 2.1.7, почитайте инструкцию ручного обновления с 2.1.5 на 2.1.7 - обнаружите ещё пару уязвимостей.

Изменено 11 Сентября 2006 пользователем Destruction

[[xMcsx]_Lazy_]

Дико извиняюсь за некропост. Вот допустим у меня динамический ип

 

вписываю

Allow from 94.28.*.*

В админку не пускает. Как можно реализовать?

вписать 65 тысяч комбинаций - не предлогать

[Sannis]

Читать документацию предлагаю. Как-то так, маска может быть и другая, не уверен.

Allow from 94.28.0.1/16

[yuppi]

Защита с .htpasswd хорошо пашет!

Спасибо!