КАК сделать? ГДЕ найти?

[GeorG]

Вот это дыра 

В чём она выражается?

Можно же при попытке доступа к странице авторизации в админку проверять, есть ли доступ у юзера в админскую часть или нет

Так вот и проверяет, и пишет в логах результат этой проверки.

кто-нибудь пробовал ставить этом мод на 2.0.9 ? что-то много красноты при установке из админки, боязно...

Видно тема изменена другими модами. На чистый форум, должно ставиться без проблем.

[Серый Лис]

Вот это дыра   

Тоже интересует.  Неужто нет никакой возможности штатными средствами  smf,  закрыть  "дыру" с дописыванием зареганными пользователями action=admin  есть какое-нить еще решение этой проблемы, (исключая смену и генерацию паролей?

[GeorG]

закрыть  "дыру" с дописыванием зареганными пользователями action=admin

Если только руки отрубить, но они могут дописывать и тыкая носом в кнопки, можно ещё поломать клавиатуры и разбить мониторы (чтобы не юзали виртуальную клавиатуру).
А так ничего не помешает дописать, например на админку этого форума - www.simplemachines.ru/index.php?action=admin

[Serifa]

А так ничего не помешает дописать, например на админку этого форума - www.simplemachines.ru/index.php?action=admin

Если пройти по ссылке, пишет «ошибка» и формы входа не видно. Лично у меня, проверила.

[Серый Лис]

Пробыв админом год, только сейчас узнал о такой возможности взлома. Теперь знаю (и лазейку..  action=admin)
Опция "Отключение проверки пароля при входе в админку" не активирована. Но ведь многие новички-админы этого не знают
(а то и вообще для удобства отключают ее).Последствия такого шага, могут обернуться непредсказуемыми последствиями.
Мало того, редко вообще кто своевременно заглядывает в логи просматривает ошибки, не говоря о их своевременном удалении.
Для себя выводы сделал, но муть проблемы и неприятный осадок остался..

[GeorG]

Если пройти по ссылке, пишет «ошибка» и формы входа не видно. Лично у меня, проверила.

Ну да, так как не админ...

Опция "Отключение проверки пароля при входе в админку" не активирована.

По-умолчанию она активирована, если нет, значит отключалась админом.

Пробыв админом год, только сейчас узнал о такой возможности взлома. Теперь знаю (и лазейку..  action=admin)

Например путь к админке любого форума vBulletin 3.8.6 (что не является секретом)  - http://адрес.ru/admincp/index.php. Зная это, можно приступать к взлому

[ALINA]

кто-нибудь пробовал ставить этом мод на 2.0.9 ? что-то много красноты при установке из админки, боязно...

в режиме эмуляции ставится  без проблем .

[Жека]

В чём она выражается?

В том, что окно со вводом пароля вообще НЕ должно показываться юзерам, у которой такой возможности в принципе нет.
В итоге -- это открытые ворота для брута пароля админа.

По-умолчанию она активирована, если нет, значит отключалась админом.

У меня галка "Отключить проверку пароля при входе в админку" НЕ стоит. Т.е. всегда запрашивает пароль при входе админа в админку.

А так ничего не помешает дописать, например на админку этого форума - www.simplemachines.ru/index.php?action=admin
Если пройти по ссылке, пишет «ошибка» и формы входа не видно. Лично у меня, проверила.

Во! Вот так должно быть!
Как это сделать?

[Серый Лис]

У меня галка "Отключить проверку пароля при входе в админку" НЕ стоит.

Та же картина.
Тем не менее, зарегистрированному пользователю при умысле "пролезть в дыру" не составит труда, воспользовавшись action=admin
Решение проблемы наверное "сторожить" критические ошибки" и успевать вовремя ставить взломщику бан? Либо как советует Ярик
постоянная смена и генерация паролей.  (если успел) а не усек, поезд уехал...
Вообще черт поймешь разрешение этой проблемы. Почему так волнует? Да потому что не далее как пару дней назад,
просматривая логи, засек одного зареганного скажем так "ирода" который сделал 1 попытку войти в админку под админом, в надежде
что на ней нет пароля.  Ну да ладно, этого вычислил и отправил в "якутское королевство". Навсегда. Но что делать в остальных случаях, стоять с дубиной при логах?

[GeorG]

Да чё вы все так все разволновались? С чего взяли что это дыра?
Если так рассуждать, то на всех движках, одна и та жа дыра... Всем известны пути входа в админку, у каждого движка.

[Mavn]

если это дыра - приступайте к взлому почему то за 9 лет существования этого форума ей так никто и не воспользовался...

[GeorG]

Вот админки форумных движков официальных сайтов, все их знают, никто не взломал:

Код Выделить Развернуть

http://www.vbulletin.com/forum/admincp/index.php
https://wordpress.com/wp-login.php
http://www.1c-bitrix.ru/bitrix/admin
https://xenforo.com/admin.php

А у вас прям дыра образовалась...

Если адрес вашего IP статический, можете через .htaccess настроить доступ к URL админки.

[Mavn]

Вот админки форумных движков официальных сайтов, все их знают, никто не взломал:

Код Выделить Развернуть

http://www.vbulletin.com/forum/admincp/index.php
https://wordpress.com/wp-login.php
http://www.1c-bitrix.ru/bitrix/admin
https://xenforo.com/admin.php


А у вас прям дыра образовалась...

Если адрес вашего IP статический, можете через .htaccess настроить доступ к URL админки.

через htaccess не настроишь

[GeorG]

Хотя это же не папка...

[Mavn]

Хотя это же не папка...

там в теории можно задавать доступ как файлу но учитывая что action в адресе то проблема. я этим вопросом занимался несколько лет назад

[karavan]

У меня галка "Отключить проверку пароля при входе в админку" НЕ стоит. Т.е. всегда запрашивает пароль при входе админа в админку.

Это пароль для админов, который нужно вводить админу чтоб ввойти в админку с других разделов. Рассчитано на то, что-бы никто не вошел в админку с включенного компьютера админа когда тот отошел и не разлогинился с форума (например ребёнок или коллега по роботе).

А этот action=admin никакой опасности не представляет, тк оно спрашивает не пароль админа, а пароль этого юзера, даже если его ввести правильно, в админку его не пустит, тк он не имеет туда прав доступа, а если он даже каким-то образом введёт правильный реальный пароль АДМИНА то получит сообщение Incorrect Password, только-что проверил.

[Некто]

в режиме эмуляции ставится  без проблем .

это как?

[karavan]

При установке мода снизу появляется окошечко "Эмуляция версий" или что-то в этом роде, туда нужно вписать версию для которой этот мод, например 2.0.3  или просто 2.0 можно разные варианты попробовать. Если при этом станет написано "успешно" без ошибок так и ставьте этот мод. При удалении тоже нужно будет включить этот же режим.

[ALINA]

В режиме эмуляции 2.0.4

[Серый Лис]

Ладно уж...
Гуру растолковали.

[Жека]

А этот action=admin никакой опасности не представляет, тк оно спрашивает не пароль админа, а пароль этого юзера, даже если его ввести правильно, в админку его не пустит, тк он не имеет туда прав доступа, а если он даже каким-то образом введёт правильный реальный пароль АДМИНА то получит сообщение Incorrect Password, только-что проверил.

Понятно. Успокоили.

Непонятно только зачем тогда в логе сделали:
Тип ошибки: Критические
Попытка войти под администратором!

Если фактически на эту ошибку можно смело забить, т.к. не-админ в админку никак не попадет.

Реально в логах нужно отслеживать ошибки типа:
Тип ошибки: Пользователь
Неверный пароль - <Имя_Админа>

[karavan]

Ну это сигнализирует вам о том, что кто-то сильно умный у вас на форуме есть и пробует вас ломануть, не зная о том, что так ломануть не получится (как и многие в этой теме не знали). Имхо это действительно нужно квалифицировать как попытку взлома (хоть и заведомо неудачную) и такого пользователя банить навсегда или лучше удалять!

Как говорится, наши люди в булочную на такси не ездят вручную в строке браузера строки action=admin не пишут и кнопок таких нет у них чтоб случайно нажать, так что если поймался кто - давай досвидание 

[Серый Лис]

Ну это сигнализирует

gut

[Некто]

При установке мода снизу появляется окошечко "Эмуляция версий" или что-то в этом роде, туда нужно вписать версию для которой этот мод, например 2.0.3  или просто 2.0 можно разные варианты попробовать. Если при этом станет написано "успешно" без ошибок так и ставьте этот мод. При удалении тоже нужно будет включить этот же режим.

ставил и 2.0.4  , и 2.0.3 , и 2.0.2 - не желает устанавливаться. пишет типа файл поврежден или не подходит к вашей версии. даже если предположить что файл поврежден - скачивание нового архива не помогает решить проблемы. ну и черт с ним, с этим модом......

[karavan]

Вы что-то неправильно делаете. Нажмите "Обзор пакетов" (я так понял архив с модом уже загружен на сервер) там внизу "Эмуляция версий" там введите SMF 2.0.4 , потом кнопку "Применить", тогда активируется ссылка "установить мод" в списке модов. Нет ни одной ошибки!

1.   Изменение файла   ./Sources/Subs-BoardIndex.php   Успешно
*   2.   Изменение файла   ./Sources/BoardIndex.php   Успешно
*   3.   Изменение файла   ./Sources/MessageIndex.php   Успешно
*   4.   Изменение файла   ./Sources/ManageSettings.php   Успешно
*   5.   Изменение файла   ./Themes/default/BoardIndex.template.php   Успешно
*   6.   Изменение файла   ./Themes/default/MessageIndex.template.php   Успешно
*   7.   Изменение файла   ./Themes/core/BoardIndex.template.php   Успешно
*   8.   Изменение файла   ./Themes/core/MessageIndex.template.php   Успешно
*   9.   Изменение файла   ./Themes/default/languages/Modifications.english.php   Успешно
10.   Изменение файла   ./Themes/default/languages/Modifications.english-utf8.php   Пропустить файл
11.   Изменение файла   ./Themes/default/languages/Modifications.english_british.php   Пропустить файл
12.   Изменение файла   ./Themes/default/languages/Modifications.english_british-utf8.php   Пропустить файл
13.   Изменение файла   ./Themes/default/languages/Modifications.german.php   Пропустить файл
14.   Изменение файла   ./Themes/default/languages/Modifications.german-utf8.php   Пропустить файл
15.   Извлечение файла   ./Themes/default/css/tidyboards.css   
16.   Выполнение кода   install.php   

[Серый Лис]

не желает устанавливаться

Напиши 2.0

[philosopher]

Поставил reCaptcha и ввел ключи но пишет Input error: Invalid referer, в чем проблема?

[Yarik]

кто-нибудь пробовал ставить этом мод на 2.0.9 ? что-то много красноты при установке из админки, боязно...

Откуда краснота?Только что себе на тестовый себе поставил в режиме эмуляции 2.0.4 - всё отлично.Тема core не удалено случайно?
Сейчас буду на основной ставить

Ну это сигнализирует вам о том, что кто-то сильно умный у вас на форуме есть и пробует вас ломануть, не зная о том, что так ломануть не получится (как и многие в этой теме не знали). Имхо это действительно нужно квалифицировать как попытку взлома (хоть и заведомо неудачную) и такого пользователя банить навсегда или лучше удалять!

Как говорится, наши люди в булочную на такси не ездят вручную в строке браузера строки action=admin не пишут и кнопок таких нет у них чтоб случайно нажать, так что если поймался кто - давай досвидание 

Совершенно верно,+

[Некто]

Тема core не удалено случайно?

да, ее удалил второй админ.

сейчас попробовал с эмуляцией 2.0.4 поставить опять, вроде поставилось. странно... а где прячутся настройки мода? что-то не найду никак...

[ALINA]

а где прячутся настройки мода? что-то не найду никак...

У меня они прячутся в свойствах и параметрах в вкладке «отображение »Расположение вложенных разделов в определенном порядке и т.д.

[Некто]

запихали фик найдешь)) спасибо)

[Yarik]

да, ее удалил второй админ.

Оттого что удалена и ошибки.На них можно забить.

[Некто]

ну да, на этот раз было две ошибки , связанные с отсутствующей шкурой. пропустил и поставил. мод работает.

просто теоретический вопрос...... если вдруг надо будет удалить этот мод - опять надо будет включать эмуляцию?

[GeorG]

если вдруг надо будет удалить этот мод - опять надо будет включать эмуляцию?

Да.

[Yarik]

Интересная какая-то фишка получается,не выходит с телефона восстановить пароль.Захожу с телефона,Опера Мобайл,выбираю восстановить пароль,в окне введите имя юзера или эмейл ввожу имя тестового ника.Письмо отослано на эмейл указанный при регистрации.Открываю почту-письмо есть.Нажимаю на ссылку в письме и....Попадаю опять на окно с предложением ввести имя юзера или эмейл.Ввожу ещё раз-письмо отосланно.Захожу на почту - есть ещё одно письмо.Опять нажимаю на ссылку и....Всё верно,опять попадаю на всё тоже уже знакомое окно.И так можно до бесконечности по замкнутому кругу Думаю всё,опция восстановления пароля залягла.Беру ноут,проверя логи ошибок чисто.Проверяю и пробую восстановить пароль-с ноута всё работает.Беру телефон,и опять всё теже грабли.Не даёт видать через прокси-сервер восстановить пароль.А я  то думаю что мне жаловались что восстановление пароля не работает-я с ноута проверял и все работало...Оно вон что,видать тоже с телефона пробовали.Интересное кино выходит.

UPD:С планшета всё прошло успешно,с телефона неполучается.Операционки и браузеры на планшете и телефоне одинаковые.Оба устройства подключены к домашнему инету.В чем разница не пойму.

[Serifa]

UPD:С планшета всё прошло успешно,с телефона неполучается.Операционки и браузеры на планшете и телефоне одинаковые.Оба устройства подключены к домашнему инету.В чем разница не пойму.

Это как в моей ситуации с LastPass (дополнением к браузеру). У всех всё работает, и только у меня «ошибка связи с сервером»

[Mакс-23]

Ребят, доброго времени! Помогите реализовать...

вообщем есть Код:

<!-- Первая часть (вставляется там, где должен отображаться рекламный блок) -->
<script type="text/javascript">
document.write('<div id="avaholder_55441"></div>');
</script>

<!-- Вторая часть (вставляется после основных элементов сайта, но до тега </body>) -->
<script type="text/javascript">
// получение части названия
var ava_search = document.title;
var ava_regexp = / - /;
ava_search = ava_search.split( ava_regexp );
ava_search = ava_search[0];
// вывод информера
var js = document.createElement('script');
var ava_nocache = Math.round( Math.random() * 100000 );
js.src = 'http://a.ava.com.ua/a/showA.js?partner=1381&block=3298&search=' + encodeURIComponent(ava_search) + '&encoding=&limit=&holdertype=div&holder=avaholder_55441&nocache='+ava_nocache;
var head = document.getElementsByTagName('head')[0];head.appendChild(js);
</script>

Хочу чтоб Рек. Блок отображался как Сообщением/Ответом в теме.... Не пойму куда(в каком файле, месте) конкретно вставить Вторую часть кода, чтоб при добавлении Первой части всё работало/отображалось...

[GeorG]

Например файл index.template.php, сразу после <body>, или пред </body>.

[Сергей Д.]

Всем привет!
Не могу нигде найти мод, который будет отображать внизу форума сколько лет и дней форуму.....
Видел на одном из форумов SMF такую фишку, не могу вспомнить у кого.

[Mакс-23]

Например файл index.template.php, сразу после <body>, или пред </body>.

не работает! пробовал разные варианты... Или же нужно что-то ещё проделать с шаблоном - чтоб блок отображался, или же я делаю что-то не так... Наверное забросить нужно это

[Yarik]

Мод Ad Management не подойдёт?Отображает после последнего сообщения в теме.

[Mакс-23]

Мод Ad Management не подойдёт?

Мод стоит, мне нужно вставить не последним сообщением/ответом... а где нибудь по середине...

[Серый Лис]

Ручная чистка оставшихся "хвостов" однажды неправильно  удаленного мода.
Где их отыскивать в HTTP логах, на сервере или еще в каком то месте?  Как вообще  правильно выполняется чистка  "хвостов", как выглядит строка (оставшийся хвост) неправильно удаленного мода, если не затруднит (пример)?
Пожалуйста обьясните.

[GeorG]

Если ошибки не возникает, то никак не выглядит, если прут ошибки, то их видно в логах форума например сразу.

[Серый Лис]

Ясно, лучше бы их не было, но все таки.. если им приспичит появиться (в результате кривизны  рук)
где они могут показаться    "Все ошибки"  "Общие" или  "Неопределенные" ? 

[Yworld_garry]

где они могут показаться    "Все ошибки"  "Общие" или  "Неопределенные" ? 

Везде. Проще идти таким путем. Если есть подозрение на криво удалившийся мод или удаление мода после или во время празднования Нового Года))), открываем архив с модом и смотрим что и в каких файлах он менял или дополнял. Чистим руками и наслаждаемся прекрасной работой)))

[Серый Лис]

Если есть подозрение на криво удалившийся мод или удаление мода после или во время празднования Нового Года)))

Нового Года???
Я вас понял. Бутылка виски.. 5 бокалов, после этого буду чистить "хвосты" ))
Спасибо! Немного прояснилось.  Вам с GeorG по + (GeorG + чуть позже.. цигель, цигель Михаил Светлов.....)

[kak2z]

кто знает почему при мобильном интренете такой эффект часто вылазит.

[ALINA]

кто знает почему при мобильном интренете такой эффект часто вылазит.

У меня мобильный .Ни разу такого у тебя не наблюдала . А почему ? Причин может быть несколько . Чем то чистила и еще незакешировались странички .А может скорости не хватило подгрузить все сразу .Пару тройку раз обновить страничку  и все .

[valek0972]

Никто не встречал модификации, при удалении сообщения, пользователю приходит извещение что сообщение удалено и по какой причине можно было прописать.