Проблема взлома входа на закрытый форум через захват почтового ящика.

mik_stv · 21 января 2011, 19:46:13

Проблема в следующем:
У нас закрытый служебный форум только для своих. Регистрация запрещена, вход посторонним запрещен.
Сегодня произошла успешная атака (хотя и краткосрочная, быстро заметили, заблокировали оптом) следующим образом:
1. Взломали ящик нашего сотрудника на МаилРу, прописаный на форуме в учетке
2. На входе в форум нажали опцию "Забыли пароль?"
3. Форум стандартно предложил "Ваше имя или емаил" и вуаля - на взломанный ящик немедленно пришла ссылка на сервис смены пароля.
4. Просто ввели новый и побежали извлекать коммерческую информацию из разделов и тем.
5. Обломались

Мы сейчас перенесли форум на другой не афишируемый адрес, ужесточаем политику, однако столкнулись с тем, что не можем отменить опцию восстановления пароля самим пользователем через его почтовый ящик. Применение "секретного вопроса" ни чего не дает, так как пользователь в этом случае сам выбирает - отвечать ему на вопрос или, как раньше, на ящик ссылку скинуть.

Как убрать восстановление пароля самим пользователем через ящик?

BIOHAZARD · 21 января 2011, 20:26:13

могу соврать, но вроде при входе через OpenID нет никаких регистрационных данных, соответственно, ломать нечего, если только не узнаешь, каким провайдером OpenID пользуется участник форума

а можно регистрировать всех вручную через админку и вписать всем несуществующие почтовые ящики на домене самого форума

mik_stv · 22 января 2011, 10:14:48

Цитата: BIOHAZARD от 21 января 2011, 20:26:13
могу соврать, но вроде при входе через OpenID нет никаких регистрационных данных, соответственно, ломать нечего, если только не узнаешь, каким провайдером OpenID пользуется участник форума

а можно регистрировать всех вручную через админку и вписать всем несуществующие почтовые ящики на домене самого форума

Спасибо, OpenID не применяли для регистрации, всё ручками.
В качестве мер несуществующие ящики вчера уже начали прописывать, но это не удобное решение, так как этим лишаемся механизма оперативных уведомлений. Действующий ящик нужен, чтобы не просматривать всё и вся на форуме в поисках новенького, быстро реагировать на новую информацию в заданных темах (уведомление об ответе) и разделах (уведомление об открытии новой темы).
В качестве общей меры попробуем применить сервис от нашего хостера "пароль на папку" и наложить на папку размещения форума. Тогда сценарий взлома, подобный произошедшему, не пройдет.
Но в целом, глядя на SMF, пока в нашем хозяйстве не логично и не правильно, что в отсутствие свободной регистрации возможно свободное изменение пароля только лишь по идентификации ящиком.

Можно ли заблокировать сервис "Забыли пароль" или хотя бы исключить "через ящик", оставив "секретный вопрос"? Админ выдаст, как это и так делается при той же "ручной" первоначальной регистрации пользователя, а уж сам пользователь поменяет при правильном входе, а не кликом из ящика, как сейчас проявилось.

Serifa · 22 июня 2011, 10:27:24

Кстати, решение-то найдено или нет? Заблокировали "забыл пароль"?

karavan · 24 июня 2011, 09:53:58

Тоже знаю случай такого взлома, правда, спам-ботом (вроде).

Mavn · 25 июня 2011, 02:23:27

index.php

Код Выделить


	'reminder' => array('Reminder.php', 'RemindMe'),

ну и убрать из шаблона упоминание о функции
проверяйте по идее должно помочь

но это уберет вообще функцию восстановления пароля нельзя будет ей воспользоваться

mik_stv · 28 июня 2011, 17:14:37

Цитата: Mavn от 25 июня 2011, 02:23:27
index.php
Код Выделить Развернуть
'reminder' => array('Reminder.php', 'RemindMe'),
ну и убрать из шаблона упоминание о функции
проверяйте по идее должно помочь

но это уберет вообще функцию восстановления пароля нельзя будет ей воспользоваться

Спасибо всем за участие, тема всё еще актуальна и, наверное, интересная всем, кто в интернете решит вести коммерчески значимую информацию на базе SMF-форума при наличии нечистоплотных конкурентов.
Итак, что есть:
1. Есть нехороший заказчик-конкурент, который настолько безнравственный, что не брезгует ворованным, соответственно продолжает нанимать ребят-хацкеров, чтобы добраться. Для него дело стоит овчинки, знает как затем монетизировать.
2. Есть хацкеры, которые довольно лениво долбятся. Мы это видим по логам (место малопосещаемое, чужие IP как на ладони), а также по продолжающимся попыткам взлома ящиков ("письма счастья" в основном, рассчитанные на ввод пароля самом владельцем ящика через страничку-обманку).
3. Есть форум, обновил до 2.0 финальной

Из шаблона, как советует уважаемый Mavn, не удалял, так как рассуждаю, что просто изменение интерфейса не поможет, так как хацкер, предполагая наличие известной функции в ядре движка форума, вызовет её напрямую и получит желаемый ему посыл на ящик. Соответственно, надо её, функцию, целиком удалять. Да, естественно нельзя будет воспользоваться, но в закрытом служебном форуме это не требуется - всех админ ручками как заводит, так пусть и восстанавливает.
Подскажите пожалуйста, что-где корректно удалить в 2.0 финальной, сам не решаюсь ковыряться. Или там уже всё стало лучше?

На данный момент от всего безобразия успешно работают следующие меры:
1. Зарегистрированные на форуме ящики у форумчан изменены на нереальные, соответственно извне не воспользуются лазейкой. Это вообще-то не хорошо нам, так как все лишились уведомлений и извещений. Хотелось бы вернуть.
2. Место расположения форума банально скрывается, хацкерам проблема просто докопаться до его следа (но им (точнее заказчику) это периодически удается, добывает через людей, паразит). Контролим, переносим на другой адрес.
3. На хостинге на папку форума нами установлены пароли, таким образом еще до обращения к интерфейсу форума визитера встречает внешний логин/пароль и, пока его не взломают, то к движку не могут обратиться (и, соответственно, к каким-либо известным дырам в безопасности).

Помимо помощи с хирургическим вмешательством на ликвидацию дырки (вообще удалить коды), был бы признателен рекомендациям по терапии - например, как наиболее толково организовать внутри форума информационные барьеры, например, организацией групп, категорий и разделов ограниченного доступа.

Также подскажите, можно ли в SMF-форуме найти или добавить новую такую админскую штуку, как историю действий и шагов конкретного пользователя за период с... по...? Тогда, в январе, мы по внешним логам отследили все перемещения при той успешной атаке и этим выявили всё украденное, затем легко в реале вычислили злоумышленников, "вдруг" объявившихся на этой серии объектов-клиентов. Но как-то неудобно и делалось фильтрами по ИП-шнику, брались следы лишь открытия страничек.

Mavn · 28 июня 2011, 18:37:05

интересно как вы вызовите функцию которой просто не будет существовать
я посмотрю как вы восстановите пароль если такой функции просто не будет

Макар · 28 июня 2011, 19:06:47

Мавн , новый пароль можно задать через профиль юзера

даже если потеряется пароль админа, то сделать любого админом тоже не проблема. Главное ковыряя восстановление пароля не сломать его замену админом через профиль.

по поводу внутреннего усиления защиты , к сожалению мало модов
разграничение доступа к категориям или пользователь ее видит или нет
к разделам аналогично, только недавно появился мод позволяющий ставить пароль на разделы ( и вроде на отдельные темы

я еще с ним толком не знакомился)
так же мне не известны моды или решения тотального логирования действий пользователей

recived · 28 июня 2011, 19:33:37

Смысл то смф пилить, надо будет все равно сломают. Делайте защиту на уровне сервера, банально просто зарубить доступ для всех кроме списка апиников или диапазона. Делается через htaccess или если на то пошло уже настраивайте iptables так как вам нужно если у вас серв пингвинячий

mik_stv · 29 июня 2011, 08:53:34

Цитата: recived от 28 июня 2011, 19:33:37
Смысл то смф пилить, надо будет все равно сломают. Делайте защиту на уровне сервера, банально просто зарубить доступ для всех кроме списка апиников или диапазона. Делается через htaccess или если на то пошло уже настраивайте iptables так как вам нужно если у вас серв пингвинячий

с пропиской ИП-диапазонов непросто, так как регулярно идут доступы из разных регионов с ноутбуков через Билайн и МТС-модемы. Офисы так сможем прописать, а, например, командировочных, кому бывает особенно горячо оперативку получить, так не получится.
Что такое "апиник"?

Mavn · 29 июня 2011, 15:20:39

не проще ли тогда vpn организовать и разрешить заход только через vpn ?

recived · 29 июня 2011, 15:56:14

Вот точно, вход через vpn + апач скинуть с дефолтного порта чтобы боты не шерстили.

mik_stv · 29 июня 2011, 19:40:49

Цитата: Mavn от 29 июня 2011, 15:20:39
не проще ли тогда vpn организовать и разрешить заход только через vpn ?

Цитата: recived от 29 июня 2011, 15:56:14
Вот точно, вход через vpn + апач скинуть с дефолтного порта чтобы боты не шерстили.

Как пойму что это такое, что вы предложили, то обязательно попробуем сделать

Вообще наше хозяйство размещено на публичном хостинге, не российском, с числом сайтов там более миллиона (что вселяет надежду, что их сисадмины не ленятся с дырками и лишнего не позволяют хацкерам). Но и нам, мелкому пользователю, позволят применять по доступу на форум только какие-то стандартные возможности.

В любом случае очень благодарен за оказываемую поддержку

Mavn · 29 июня 2011, 21:21:45

теоретически если сами не можете поднять vpn то можно просто купить а на хосте сделать разрешение на доступ только для ip vpn

Cebador · 24 сентября 2011, 03:12:29

Цитата: mik_stv от 28 июня 2011, 17:14:37
1. Есть нехороший заказчик-конкурент, который настолько безнравственный, что не брезгует ворованным, соответственно продолжает нанимать ребят-хацкеров, чтобы добраться. Для него дело стоит овчинки, знает как затем монетизировать.
2. Есть хацкеры, которые довольно лениво долбятся. Мы это видим по логам (место малопосещаемое, чужие IP как на ладони), а также по продолжающимся попыткам взлома ящиков ("письма счастья" в основном, рассчитанные на ввод пароля самом владельцем ящика через страничку-обманку).
3. Есть форум, обновил до 2.0 финальной

Ситуация похожая, с той лишь разницей, что движок 1.1.15 и ресурс общественный с закрытым разделом, т.е. нереальные ящики вписать не представляется возможным + рассылка нужна.
На днях пытались ломать учётки пользователей, обе атаки прошли успешно именно в профилях, где был задан секретный вопрос.
Вариант с подбором ответа секретного вопроса абсолютно исключён, поскольку после первого случая - ответ на секретный вопрос в другой потенциально уязвимой учётке был изменён на логически не подбираемый, кроме того был заменён пароль на 10 символов (буквы-цифры) и тем не менее взломщик успешно зашёл под учёткой, после чего был благополучно отстрелян.
Собственно интересует механизм и проблемы (уязвимости) восстановления пароля по секретному вопросу - думаю эта тема не только мне интересна будет.

PS: Также интересует мод позволяющий логировать в хронологии все действия определённых пользователей, включая вход/выход и промотр определённых тем.

mik_stv · 12 октября 2011, 10:22:19

Цитата: Cebador от 24 сентября 2011, 03:12:29
PS: Также интересует мод позволяющий логировать в хронологии все действия определённых пользователей, включая вход/выход и просмотр определённых тем.

Готов заплатить за написание такой штуки. Как видится: запрос по имени пользователя, за какой период выбирать и, в ответ, журнал его действий - с какого ИП операция, вход, похождения, создание, добавление, удаление, редактирование чего-либо....
Огласите бюджет для размышления и разумного торга

BIOHAZARD · 12 октября 2011, 10:42:09

Цитата: mik_stv от 12 октября 2011, 10:22:19
Готов заплатить за написание такой штуки. Как видится: запрос по имени пользователя, за какой период выбирать и, в ответ, журнал его действий - с какого ИП операция, вход, похождения, создание, добавление, удаление, редактирование чего-либо....
Огласите бюджет для размышления и разумного торга

http://www.simplemachines.ru/index.php?board=41.0

Idrassil · 26 ноября 2011, 22:31:13

У меня сегодня было около 600 попыток восстановления пароля к разным аккаунтам.
Решил (временно) вопрос так. Открыл файл Sources/Reminder.php и прописал такие строки вначале
echo "Временно не работает, пишите на почту администрации.";
exit;

Это не панацея, и я буду заказывать полноценный мод для защиты, но для экстренных случаев может и подойдет.

digger® · 26 ноября 2011, 23:11:13

Цитата: Idrassil от 26 ноября 2011, 22:31:13
У меня сегодня было около 600 попыток восстановления пароля к разным аккаунтам.
Решил (временно) вопрос так. Открыл файл Sources/Reminder.php и прописал такие строки вначале
echo "Временно не работает, пишите на почту администрации.";
exit;

Это не панацея, и я буду заказывать полноценный мод для защиты, но для экстренных случаев может и подойдет.

Может форум для начала обновить до текущей версии?

Idrassil · 27 ноября 2011, 00:51:31

digger, а что есть в текущей версии? Защита от такой ерунды?
Обновить давно пора, если честно, но некоторые моды не будут работать на новой.

digger® · 27 ноября 2011, 01:49:25

Цитата: Idrassil от 27 ноября 2011, 00:51:31
digger, а что есть в текущей версии? Защита от такой ерунды?

Как минимум, несколько имеющихся уязвимостей устранено.

Serifa · 29 ноября 2011, 15:45:01

Смотрю в подписи уважаемого камрада digger:
Версия SMF: 2.0 RC2
Это что значит, тоже не обновил версию?) Пора уже клуб открывать "Не обновившиеся")