Попытка взлома форума

[VictorKiev]

Сегодня была попытка взлома модераторских и админских аккаунтов на моем форуме. К счастью, удалось все вовремя разрулить, и аккаунты не достались злоумышленнику. Рассказываю о том как это было.

 

Использую лицензионную версию 2.3.3, проводя периодически все апдейты и исправления по безопасности.

 

На моем форуме стоит мод, запрещающий отправлять личные сообщения пользователям с кол-вом постов менее 10. Хакер успешно обошел это ограничение, напостив за 15 минут десяток сообщений. затем он отослал жалобу всем модераторам и админам на одно из сообщений форума. В текст жалобы он вставил ББ код с тегом

[IMG=http://адрес_сайта/smile.gif]

, больше ничего не написав.

 

Несмотря на то что в настройках форума "Безопасность и конфиденциальность" у меня отключены динамические изображения, в результате, каждый модератор и админы увидели при получении сообщения некую форму авторизации, под названием MODERATOR kazanova panel - введите логин и пароль (kazanova - это название моего форума.)

 

 

мне вовремя сообщили о такой попытке взлома, и в phpmyadmin я удалил все личные сообщения содержащие этот зловредный ББкод, найдя их через поиск, попутно забанив пользователя который их отправил.

 

пришлось также отключить теги в админке - опция "Разрешить размещать изображения?" и создать тему - ПАМЯТКА ДЛЯ МОДЕРАТОРОВ, где описал возможные случаи увода пароля и строго настрого всем приказал его нигде не оставлять.

 

также написал абузу админу фрихостинга, на который вела размещенная хакером ссылка.

 

вопрос к спецам - можноли как то сделать чтоб тег все таки можно было использовать, но чтоб такие случаи не повторялись ?

есть ли какой то фикс для этого ?

 

также - можно ли как то запретить размещать ссылки в постах и подписях (а также использовать тот же тег ) пользователям, у которых меньше чем ,к примеру 10 сообщений ?

 

 

также удивила еще вот эта вот темка - http://www.xakep.ru/post/41014/ . неужели такое тоже реально ?

Изменено 24 Ноября 2008 пользователем VictorKiev

[Black_Sun]

Ну начнём с того что это никакая не картинка, а PHP замоскированный под картинку, и там пишется такая форма, и если логин и пасс был введён, то на стороннем(не вашем) сайте где была размещена такая картинка появится файл passwords, там будет указан логин и пасс которые вы ввели в эту форму, вот собсно и всё

 

Про подписи см. тут http://www.ibresource.ru/forums/index.php?showtopic=43978

 

Про статью скажу - запросто, главное штоб руки оттуда росли, защититься от это можно путём генерации и сброса куки и кэш пароля в IPB(разрабам на будущее, если уже это не сделано),а также запрет на HTML в любом виде на форуме и в личных сообщениях и везде. Таким способом можно кучу всего взломать, даже почту, правда не любую, а та которая оставляет куки Печально это всё

[Arhar]

Ну начнём с того что это никакая не картинка, а PHP замоскированный под картинку, и там пишется такая форма, и если логин и пасс был введён, то на стороннем(не вашем) сайте где была размещена такая картинка появится файл passwords, там будет указан логин и пасс которые вы ввели в эту форму, вот собсно и всё

дикая ахинея

 

форма авторизации апача, установленная в htaccess стороннего сайта

установлена она на подключение к картинке

 

Про статью скажу - запросто, главное штоб руки оттуда росли, защититься от это можно путём генерации и сброса куки и кэш пароля в IPB(разрабам на будущее, если уже это не сделано) таким способом можно кучу всего взломать, даже почту, правда не любую, а та которая оставляет куки smile.gif Печально это всё

посмотрите видео, там взламывается ipb 2.0.4

а уязвимость эта - http://www.sysman.ru/index.php?showtopic=3552

была известна еще - http://www.ibresource.ru/forums/index.php?...mp;#entry176243

[LordBone]

Если уязвимость на форумы до 2.1.4, каким образом злоумышленник использовал этот баг на лицензионном 2.3.3? Или дистрибутив по этой уязвимости не обновлялся?

[Sannis]

Если уязвимость на форумы до 2.1.4, каким образом злоумышленник использовал этот баг на лицензионном 2.3.3? Или дистрибутив по этой уязвимости не обновлялся?

Не сейте панику, лучше прочитайте внимательно пост и поймите, что никто эти 2.3 не связывает с этой уязвимостью.

[LordBone]

Ага, действительно не связывает. Просто статья удачно слилась с описанием проблемы и вошла в обсуждение. Извините, моя ошибка.

[Rostov114]

Не сейте панику, лучше прочитайте внимательно пост и поймите, что никто эти 2.3 не связывает с этой уязвимостью.

хм...если насчет картинки...то динамику можно вставить и в 2.3.6....обойдя принятие параметров скрипту при помощи ЧПУ...самое главное чтобы после расширения ничего небыло....

А влипить ее можно и в аватару и в подпись и в ЛС...короче куда душе заблагорассудиться.

[FatCat]

хм...если насчет картинки...то динамику можно вставить и в 2.3.6...

Угнать пароли пользователей можно и обычной картинкой. Это не дыра в безопасности, это дыра в мозгах среднестатистического пользователя.

Если у взломщика есть свой http-хост с редактированием .htaccess - он может прописать в этом файле:

AuthType Basic
AuthName "ibresource.ru - авторизация"
AuthUserFile /home/путь/.htpasswd
Require valid-user

Собственно, даже сам файл .htpasswd класть не обязательно - 403-я ошибка для картинок не отображается на странице.

Затем положить на хост картинку и ББ-кодами форума вставить картинку в сообщение, или вообще установить себе удаленной аватаркой.

Затем в логах авторизаций неторопясь считывать логины и пароли юзеров ломаемого форума.

 

Лично я на запрос http-авторизации на автопилоте нажимаю "эскейп", кроме тех редких случаев, когда ресурс реально запаролен и я это точно знаю. То есть, мой пароль не угонят...

[VictorKiev]

да, похоже все было именно так как и пишет FatCat.

но есть ли метод от этого защититься, кроме как отключением тегов IMG ?

 

насчет же

это дыра в мозгах среднестатистического пользователя.

- не нужно умничать и так писать.

хорошо что ты такой продвинутый, а ведь когда-то тоже был чайником, верно ?

если форум не айтишный, то там таких среднестатистических пользователей - 90 %. а в соцсетях тех же пользователи еще наивнее.

Изменено 25 Ноября 2008 пользователем VictorKiev

[FatCat]

не нужно умничать и так писать

Я не с целью обидеть пользователя; я о том, что злоумышленник ищет и находит слабые места не в программном обеспеении форума, а в опыте и знаниях посетителей форума.

И писать об этом следует не столько на форуме техподдержке, сколько на своих форумах, хотя бы для своих модераторов, чтобы их же пароли не угнали...

[Sannis]

И писать об этом следует не столько на форуме техподдержке, сколько на своих форумах, хотя бы для своих модераторов, чтобы их же пароли не угнали...

Плюс стопиццот. В том-то и заключается работа администратора, что даже если он не программист, то хоть пример свои пользователям показать должен и должен уметь объяснить им основы безопасности. Остальному можно со временем научиться, но скидывать все проблемы на разработчиков не лучший выход в таких ситуациях. С одной стороны, если захотеть, то можно взломать всё что угодно, с другой стороны мы в способны уберечься от взлома своими силами в 95% случаев.

[VictorKiev]

уже написал подробную инструкцию в первые же минуты после попытки взлома и выложил в важных объявлениях своего форума.

могу даже дать почитать. а здесь написал чтобы другие владельцы ИПБ имели понятие о таких попытках.

и ни на кого не собирался скидывать свои проблемы, если вы так называете мою просьбу о помощи, а решил их самостоятельно, перед тем как выложить здесь. если вы не можете предложить конкретное действенное решение, кроме того что было применено мной, давайте не будем разводить флуд.

 

или лучше вобще по вашему о таких случаях не писать ,пускай никто ничего не знает ?

 

злоумышленник ищет и находит слабые места не в программном обеспеении форума, а в опыте и знаниях посетителей форума.

ну ,и много ли пользователей форумов знают что такое "запрос http-авторизации" ?

 

могу сказать только что при назначении модераторов их надо инструктировать как поступать в подобных случаях. это конечно же целиком на совести админа.

Изменено 26 Ноября 2008 пользователем VictorKiev

[FatCat]

ну ,и много ли пользователей форумов знают что такое "запрос http-авторизации" ?

Совсем уже "чайницкий" взлом - через фейковую страницу.

Злоумышленник делает точную копию страницы авторизации взламываемого форума и размещает на своем домене. В форум кладется ссылка якобы на другую тему взламываемого форума. Пользователь, клацнув мышкой по линку, видит привычный ему запрос авторизации.

Многие ли пользователи смотрят в адресную строку браузера?

[G*g]

Многие ли пользователи смотрят в адресную строку браузера?

на этом можно и опытного пользователя подловить, если уж он совсем параноиком не будет