Как защитить форум от взлома?

[lossen]

короче. меня хакнули. после хаканья "хакер" залез под моим пользователем (админом) изменил подпись... где ошибка...

[Чёртос-2]

Нет ошибки. SQL Injection. Я так тоже делать умею (для форумов от 2.0.0 до 2.0.3 без соответствующего патча) . Лезь в форум "Уязвимости форумов IPB" (ссылка выше).

 

Обычно это делается так: хакер получает login_key пользователя (именно он используется в куках и сессиях), заменяет в куках свой на полученный, свой ID на ID жертвы, удаляет из куков сессию, заходит на форум, и... идентифицируется как другой пользователь, хотя не знает даже его пароля. Ну вот, весь процесс вам выдал!

Изменено 2 Июня 2005 пользователем Чёртос-2

[OverHerz]

lossen

адрес ресурса назовите

[lossen]

Этим эксплойтом

http://www.securitylab.ru/_Exploits/2005/05/r57ipb2.txt

[Dekker]

Уязвимости форумов Invision Power Board

 

и читать, ВСЕ читать, а не только последнюю страницу

[wolfoo7]

Я сделал проще сделал html фаил с фреймом на admin.php

 

<html>

 <head>
   <title>*****</title>
   <meta name="description" content="***">
   <meta name="keywords" content="lol, lol, lol, lol, lol, lol, lol, lol">
 </head>

 <frameset rows="*,1" framespacing="0" border="0" frameborder="NO">
   <frame src="http://сайт/admin.php" name="фрейм" scrolling="auto" noresize>
 </frameset>

 <noframes>
   <body>
   </body>
 </noframes>

</html>

 

и запаролил програмкой для паролей HTML password Lock

 

перед входом в админку стоит доп пароль

 

Можно наделать таких фреймов хоть кучу чтоб с 1 го html на другой и так далее ставь хоть 10 паролей

 

Админку просто переименовал

[romav]

Господа! Прошу вас помощи. Как-то одним веселым ранним утром, захожу на свой форум, пишу ответ на топик и тут вижу, что все почему-то долго отправляется. Я попробывал еще раз и вижу в строке состояния, что мой броузер обращается к каким-то левым сайтам и баннерам. Я ничего не понял. В чем дело? Заменил файл index.php и оказывается он меньше размера предыдущего. Значит его подменили? Но как это могли сделать? Версия: 1.3.1 Final. Все патчи поставлены...

[Gogy]

Господа! Прошу вас помощи. Как-то одним веселым ранним утром, захожу на свой форум, пишу ответ на топик и тут вижу, что все почему-то долго отправляется. Я попробывал еще раз и вижу в строке состояния, что мой броузер обращается к каким-то левым сайтам и баннерам. Я ничего не понял. В чем дело? Заменил файл index.php и оказывается он меньше размера предыдущего. Значит его подменили? Но как это могли сделать? Версия: 1.3.1 Final. Все патчи поставлены...

<{POST_SNAPBACK}>

Ну подменить могли только хостеры.

[Dr.Freddy]

romav, смотри логи FTP-сеансов (если нету — требуй с хостера) и отслеживай, кто копался в твоих скриптах. Для хостера что-то нагловато, скорее кто-то не столько умный, сколько глупый подобрал пароль к FTP-аккаунту.

 

Ну и пасс смени, естественно.

 

Ну и посмотри, что за «левые» сайты, дополнительный ключик для поиска внешнего врага.

[romav]

Ну, если бы кто-то подобрал пароль от FTP, так наверное последствия были бы не такими. Хостер очень авторитетный и таким онанизмом заниматься не будет. Дело в том, что у меня два разных форума 1.3.1 у одного и того же хостера. Аккаунты разные, на разных серверах с ессесно разными паролями доступа. Сначало на одном форуме такая хрень творилась. Потом и на втором случилась. Именно фай1л index.php стал несколько больше. На первом форуме еще и БД глючила непонятным образом.

Хостинг - Маджордомо. Не думаю, что им так нужен мой форум

[blatata]

Простой вариант:

- в .htacess запретить доступ к admin.php всем IP кроме своего

<{POST_SNAPBACK}>

Как это сделать?

Сам нашел. Лазил по инету, много думал. Родил вот такое содержание файла .htaccess

 

<Files admin.php>
order allow deny
deny from all
allow from мой IP 
</Files>

После загрузки в директорию форума, сам форум становится не виден (белый лист и надпись про ошибку сервера). Где копать?

Хостер нормальный - Мастерхост.

[Diam]

Попробуй такой вариант:

<Files admin.php>
order allow,deny
allow from ТВОЙ IP
</Files>

 

Если не поможет - мучай службу техподдержки.

[sitys]

Вопрос возник, Какой уязвимостью пользуються чтобы изменять подпись. прочитал, вроде никто не сталкивался

[=SPiRiT=]

Ну эт только админка, а как насчет куков!

Если хакер завладеет куками, то может через них зайти на форум под админом и поудалать все темы - что не есть хорошо!

[sitys]

Ну вот я и являюсь админом, смотрю вчера в подписи стоит ссылка на сайт, ктото решил таким способом прорекламировать ресурс. А нельзя никаким sql- инъекцией тако сделать?

ЗЫ да и изменение подписи в логах не документируеться - хотя какие следует принимать инструкции чтобы было меньше краж куков? У кого какой опыт кроме тех которые описывались выше?

[=SPiRiT=]

Точно не говорю, но может методом GET SQL Injection есть для смены подписей пользователей![1123701372:1123702214]Ведь вся инфа хранится в таблицах пользователей ibf_members!

P.S для защиты от инъекций не нужно ставить стнадартные префиксы таблиц!

[sitys]

а теперь уже наверно позно менять префиксы таблиц? об этом наверно стоило заботься заранее.

[nickostyle]

так, у меня вопрос

перечитал все топики, не нашёл, видно не внимательно читал

 

Что значит удалить admin.php??? Как потом попасть в админку?

[pytnik]

Что как ? ...... удаляешь и потом заного его ставишь ( файл )

[nickostyle]

так и думал...муторно конечно

а хакер, если захочет, может улучить момент, когда я на форуме буду

[Еve]

nickostyle, а ты в инвизибл моде заходи

[vio82]

Достаточно просто передавать криптованый пароль от пользователя к клиенту, причем криптование должно происходить на стороне клиента, хотя бы тем же md5

Как это сделать?

[senod]

как защитить 2.1.3?

[Чёртос-2]

Извиняюсь за ответ на "древнее" сообщение...

 

<Files admin.php>
order allow deny
deny from all
allow from мой IP 
</Files>

Во-первых, исправь на это:

<Files admin.php>
Order deny,allow
Deny from All
Allow from ТВОЙIP
</Files>

Если не будет работать, разбирайся с хостингом.

[sanches36]

А не проще защитить админку файлом .htpasswd и закинуть его не всаму директорию с форумом, а выше в каталог?