А как насчёт безопасности?

[Paramedic]

Сломали форум. Версии 1.0.5
В логах нашёл вот такие вещи:
/forum/index.php?action=post;msg=250558%20UNION%20SELECT%20memberName,0,passwd,0,0%20FROM%20smf_members%20WHERE%201/*;topic=23055.0;sesc=8ef3391df4f0e6b7d5d570d6eea05dac HTTP/1.1" 200 10424

Я сейчас не могу на локали воспроизвести подобный запрос. Нужно много чего поставить и настроить. Но если форум отрабатывает запрос -- то это ОЙ!!!

И ещё, не подскажете, что делает подобный запрос: /forum/index.php?action=login2;sa=check;member=14 HTTP/1.1" 302 26

[Mavn]

вообще то уже давно вышла версия 1.0.7 и во вторых посмотри версии установленых модов

[abbi]

Сломали форум

Надо с самого начало заменить все стандартные пути подхода. Хотя бы путь к админке.

[SAS]

а как сломали то, в чем это выразилось ?

[Sk]

Надо с самого начало заменить все стандартные пути подхода. Хотя бы путь к админке.

а можно поподробнее?

[Mavn]

Хотя бы путь к админке.

Мне интересно как вы измените путь к админке если у smf нет Директории такой и к тому же если у чела есть доступ Админовский то как ты не меняй код то кнопку Администрирование все равно в стандарте присутствует!

[Paramedic]

Как взломали -- тайна покрытая мраком. Часть лога я привёл. Само-собой, msg=250558 кануло в лету, и с чем там делали UNION не понятно. Так же, как и непонятно, отрабатывается этот запрос или отображается. По уму должен отображаться.

Возможно были подобраны пароли. Благо в форуме нет ничего, затрудняющего перебор роботами. Например просьбы ввести цифирки с картинки.

Возможно былл использован сниффер. В последнее время замечен вообще повышенный интерес к слому моего ресурса. И был замечен заход по ftp и удаление файлов.

Для того, чтобы обеспечить реальную безопасность, необходимо:

1. Откинуть административную часть в сторону вообще. Чтобы можно было запустить на ssl сервере.
2. Сделать секьюрную авторизацию, как на google.
3. Сделать что либо, затрудняющее перебор роботами.

Злоумышленниками был получен пароль одного из админов, все админи были удалены с форума. Форум был переведён в режим только для просмотра зарегестрированными участниками. Были удалены многие темы.

[Mavn]

Кинуть логи апача и копию бд можешь? а также если у тебя ставились моды то какие имено?

[Paramedic]

Модов никаких не ставилось. Копию БД, увы не могу вытянуть даже себе. База в несжатом виде весит 500 метров. Да и восстановлена она по бекапу, довольно давнишему. Если просто логи интересуют -- могу с админом сервера связаться.

[Mavn]

Об этой уезвимости написано здесь

Дата публикации данной уезвимости 04 июля, 2005
http://www.securitylab.ru/vulnerability/205886.php
http://www.securitylab.ru/vulnerability/source/211827.php

и задействовать можно на версии 1.0.4 потому как в 1.0.5 эта проблема решена соответственно вы где то пропустили обновление и своевремено просто не выполнили обновление до новой версии.

Вывод если вовремя обновлятся то можно избежать многих неприятностей...

[Neuzis]

 В мой форум на днях влезли через админку. 
Нагадили немного в темах ...   Пришлось забанить IP хулигана и сменить пароль админа, но все-же стремно как-то дальше стало жить
У мя  SMF 1.6. 
Надо дырки затыкивать, а как?  ДУМАЕМ!!! ВСЕ ДУМАЕМ!  

[Mavn]

1. Версии 1.6 в природе не существует, так что пишите правильно версию вашего форума!
2. Уже давно появилась версия 1.0.7 и пора бы обновиться до последней версии.
3. Если вы устанавливали моды то в полне возможно что залезли и при помощи уезвимости того или иного мода и судя по всему вы за обновлениями программного обеспечния не следите но зато когда ломают ваш форум кричите " у меня все поломали"
4. Чего думать то обновляться вовремя нужно!

[Neuzis]

И чего это придираться? Понятно же, что 1.0.6
А если вдруг вскроют 1.0.7 ?
Может есть смысл остановиться об уязвимостях движка поконкретней?
Это же не цацки-пецки   

[Mavn]

на данный момент известных уезвимостей в 1.0.7 нет! а в 1.0.6 есть. Я думаю что можно и разобрать эту тему только это будет дублирование информации с багтрэков вот и все