1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

1.2.4 Слухи о взломах XenForo

Тема в разделе "OFF-топик", создана пользователем aligon7, 08.01.2014.

Загрузка
  1. aligon7

    aligon7 Местный

    Регистрация:
    22.12.12
    Сообщения:
    997
    Симпатии:
    66
    Версия XF:
    1.4.7
    Как то ползая по форумам, столкнулся с такими слухами, а некоторые утверждают, что это правда, что Xenforo можно взломать.
    Информация заключается в том, что ломают через уязвимость swf upload.
    Туда заливают shell.
    Второе, это взлом через ReverseIP
    Уважаемые, кто, что слышал и видел? Расскажите, не очень приятная информация.
    Может это быть правдой?
     
    Последнее редактирование: 08.01.2014
  2. adder

    adder Местный

    Регистрация:
    08.10.10
    Сообщения:
    1 164
    Симпатии:
    846
    Версия XF:
    1.3.4
    Если есть опыт, то можно взломать все. Вон недавно vbulletin.com взломали и бд их слили)

    Отправлено с моего GT-I9100 через Tapatalk
     
  3. aligon7

    aligon7 Местный

    Регистрация:
    22.12.12
    Сообщения:
    997
    Симпатии:
    66
    Версия XF:
    1.4.7
    Так что, это правда, можно залить shell, и пипец, всё сольют и сломают сайт?
    Есть кокя защита от шеллов?
     
  4. adder

    adder Местный

    Регистрация:
    08.10.10
    Сообщения:
    1 164
    Симпатии:
    846
    Версия XF:
    1.3.4
    @aligon7 я ни слова не сказал про XF. Если бы в XF была уязвимость, то закипел бы офф форум, это 100%.
    Я думаю большая вероятность взлома сайта на XF - кривые руки админа.
     
    Kolya groza morey, aligon7, Yoskaldyr и ещё 1-му нравится это.
  5. fly_indiz

    fly_indiz Местный

    Регистрация:
    20.08.11
    Сообщения:
    460
    Симпатии:
    357
    Версия XF:
    1.4.3
    Ну если есть параноя - можно отключить флеш-загрузчик в настройках ксена
     
  6. plutishe

    plutishe Местный

    Регистрация:
    09.01.14
    Сообщения:
    107
    Симпатии:
    14
    Версия XF:
    1.4.2
    Тоже об этом подумал, отключу от греха подальше.
    И кстати, если зальют shell, то могут делать всё что угодно с сервером и сайтами на нём.
     
  7. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Нет. Только то, что разрешил сделать с сервером и сайтами администратор сервера. В большинстве случае сайтам будет хана, а сервер не пострадает. У хороших администраторов заливка шелла практически ничего не даст, кроме доступа к базе данных того сайта, на который залили шелл. У плохих адинистраторов шелл в результате даст доступ рута к консоли сервера со всеми вытекающими.
     
    aligon7 нравится это.
  8. plutishe

    plutishe Местный

    Регистрация:
    09.01.14
    Сообщения:
    107
    Симпатии:
    14
    Версия XF:
    1.4.2
    Это если самому администрировать, но чаще всего бывает - дедик/vps + панель isp, вот и все настройки )
    Так отключать флеш загрузчик???
     
  9. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Без понятия. Хотя флеш, естественно, более опасный вариант, чем без него :) Просто комфорт пользователей пострадает.
     
    aligon7 нравится это.
  10. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Немного информации для размышления.
    Надо понимать как происходит загрузка вложений на форум и как работает флеш.
    POST-запрос на загрузку файла ничем не отличается если его делать через флеш или через js, т.к. флеш это клиентская технология, но по сравнению с обычным js имеющая довольно много прав в клиентской системе.
    Т.е. уязвимый флеш может попытаться загрузить неразрешенный файл по неразрешенному пути или просто быть xss уязвимым (и еще много чего никак не связанного с загрузкой шелла, а связанного с утечкой кук или получения доступа к клиентскому компьютеру).
    И даже в случае ошибки в swf-загрузчике и возможности загрузки неразрешенного файла, надо понимать что бекэнд, т.е. php-часть форума провенряет все заливаемые файлы на соответствие настройкам форума и загрузить неразрешенный настройками файл не получится (список разрешенных рапсширений). Во вторых, ксенфоро при загрузке вложения переименовывает файл (что-то типа 25-e08e4cf40f0fd9004d021526dbdec39f.data) и не важно какое было у него расширение. Т.е. даже с кривыми настройками сервера выполнить такой файл будет очень и очень проблематично. И самое главное не важно куда и как будет загружен шелл, это не поможет злоумышленнику, ведь при правильной настройке разрешенными для выполнения должны быть очень и очень немного файлов, например корень форума и папка install и все., на все остальное или полный запрет (папка library и internal_data) или простое скачивание на все оставшееся, а для записи доступ только в папки data и internal_data. Т.е. если даже каким-то чудом шелл и запишется на сервер, то только в папки для которых не разрешено выполнение и толку от такого шелла для злоумышленника ноль.

    Так что если подытожить все выше сказанное - слухи насчет заливки шелла через swfuploader - просто бред. Если и были вломы, то 100% вина кривой настройки сервера, а не как ксенфоро или флешлоадера
     
    Последнее редактирование: 09.01.2014
    Aksim, martyanov12, asket и 5 другим нравится это.
  11. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5 746
    Симпатии:
    5 311
    Версия XF:
    1.5.18
    Народ, вы уже забыли что ли? :)
    На данный момент, за все время существования XF, патч выходил всего один раз. И то, это не была вина разработчиков. XSS-уязвимость и была в этой сторонней библиотеке для заливки файлов. Вот отсюда и слухи.

    Иными словами, если у вас версия 1.1.3 и выше, то спите спокойно. Если ниже, замените файлик.

    Ну и ставьте поменьше плагинов.
     
    infis, Mirovinger, aligon7 и ещё 1-му нравится это.
  12. aligon7

    aligon7 Местный

    Регистрация:
    22.12.12
    Сообщения:
    997
    Симпатии:
    66
    Версия XF:
    1.4.7
    Не чего не отключать, это просто слухи.
    Я сплю спокойно.
    Да и если сильно захотят, то заплатят денег хостерам и сломют
     
  13. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Прежде всего, ломают те кто работает, ломают тех, кто надеется на дяденьку сделавшего форум.
    Хакеров надо встречать на подлёте, создавать им проблемы с доступам к скриптам форума. В этом 99% гарантии, что сайт будет не по зубам хакерам.
    На моём сайте в сутки блокируется до 12 штук IP-адресов хакеров. Блокировка идёт на этапе сканирования сайта в поиске нужных им файлов.
    Простота ловли хакеров заключается в том, что поиск файлов они ведут с помощью программ, иначе, приходится иметь дело с определённым алгоритмом сканирования, который тупо повторяется от разу к разу, несмотря на постигшую неудачу (блокировку) в прошлый заход.

    Ну, а если, вы допустили хакера к скриптам форума, то взлом вашего форума не вопрос, вопрос только в том, сколько времени потребуется хакеру. Причем не обязательно результат работы хакера проявится внешне. О взломе своего форума вообще можно узнать случайно на другом интернет ресурсе, спустя годы.
     
  14. aligon7

    aligon7 Местный

    Регистрация:
    22.12.12
    Сообщения:
    997
    Симпатии:
    66
    Версия XF:
    1.4.7
    А можно подробней про сканирования
     
  15. martyanov12

    martyanov12 Местный

    Регистрация:
    24.11.12
    Сообщения:
    248
    Симпатии:
    58
    Версия XF:
    1.3.2
    Тупой ход по всем встречающимся ссылкам. Teleporter Pro, например.
    Я на ноутбуке сейчас тестирую доступ к админке по клиентским сертификатам... Если удастся довести до адекватного состояния - запилю отчет о дополнительной мере защиты.
     
    aligon7 нравится это.
  16. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    На сайт приходит программа злодея и начинает перебирать адреса файлов, заложенных в памяти программы. Есть злодеи, которые ищут конкретный движок, обратившись по нескольким специфическим адресам принадлежащих движку и не обнаружив их злодей уходит. Если в алгоритм программы заложено установление типа движка, то программа будет перебирать имена и адреса файлов всех известных ей движков, смотреть файл robots.txt.

    Программы злодеев не умеют проходить редирект 301, поэтому обращаются сразу к каталогу и файлу. Например
    /forum/index.php
    Если у вас индексный файл переименован, то index.php можно использовать для ловушки злодеев и банить их по ip адресу.
    Некоторые злодеи пытаются сканировать методом "научного тыка" посылая запросы к базе. Адреса, которые они генерируют отличаются от обычных вставками типа ++, -+, +_. В этом случае легко заблокировать злодея запретив адреса, содержащие такие вставки.
    И так далее.
     
    aligon7 нравится это.
  17. aligon7

    aligon7 Местный

    Регистрация:
    22.12.12
    Сообщения:
    997
    Симпатии:
    66
    Версия XF:
    1.4.7
    Очень полезно
     
  18. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    извиняюсь конечно что подымаю тему, но xenforo тоже уязвим как и остальные двигатели, просто уязвимости менее распространены в сети ( их описания и указания на юз) чем на другие двигатели, но всё же они есть, например то что известно производителям и уже залатано, это был description, в первом посте отсутствие порядочной фильтрации, давало открытую xss, а где xss , там и sql и остальные дырки, в опытных и умелых руках это прямой доступ к руту сервера.
    Что бы получить xss нужно было в первом посте разместить вот такой типа код
    [code] '><''>"><script>alert(/hooligan/)</script> \"> [/code]
    Разумеется есть и другие уязвимости, пусть их не так много как у punbb,phpbb или других распространённых двигателях, но есть.
    В принципе озадачившись именно защитой своего форума, в связи с последним взломом, набрёл на эту тему.
    Плагинов у меня на данный момент всего один и тот по подсветке синтаксиса кодов, уязвимость не в нём и дело не в плагинах, хотя и они дают о себе знать в плане безопасности.
    Вообщем думаю как нибудь прикрутить что нибудь типа:
    PHP:
    public function antiDdos()
        {
            
    touchDir(ROOT '/sys/logs/anti_ddos/');
            
    $date date("Y-m-d");

            if (isset(
    $_SERVER['HTTP_X_FORWARDED_FOR'])) {
                
    $ip $_SERVER['HTTP_X_FORWARDED_FOR'];
            } else {
                
    $ip = (!empty($_SERVER['REMOTE_ADDR'])) ? $_SERVER['REMOTE_ADDR'] : '';
            }
            if (
    mb_strlen($ip) > 15
                
    || !preg_match('#^\d+\.\d+\.\d+\.\d+$#'$ip)
                || empty(
    $ip))
                return;


            if (!empty(
    $ip)) {
                
    /* if current IP is hacked */
                
    if (file_exists(ROOT '/sys/logs/anti_ddos/hack_' $ip '.dat')) {
                    
    redirect('/error.php?ac=hack');
                }

                
    //clean old files
                
    $tmp_files glob(ROOT '/sys/logs/anti_ddos/[0-9]*.dat'); //get all except HACK
                
    if (!empty($tmp_files) && count($tmp_files) > 0) {
                    foreach (
    $tmp_files as $file) {
                        if (
    substr(basename($file), 010) != $date) {
                            
    unlink($file);
                        }
                    }
                }

                
    /* if not hacked */
                
    $file ROOT '/sys/logs/anti_ddos/' $date '_' $ip '.dat';
                if (
    file_exists($file)) {
                    
    $data file_get_contents($file);
                    
    $data explode('***'$data);
                    if (
    $data[1] == time()) {
                        if (
    $data[0] > Config::read('request_per_second''secure')) {
                            
    unlink($file);
                            
    $f fopen(ROOT '/sys/logs/anti_ddos/hack_' $ip '.hgfd''w');
                            
    fwrite($fdate("Y-m-d H:i"));
                            
    fclose($f);
                            
    redirect('/error.php?ac=hack');
                        }
                        
    $attempt $data[0] + 1;
                        
    $f fopen($file'w');
                        
    fwrite($f$attempt '***' time());
                        
    fclose($f);
                    } else {
                        
    unlink($file);
                    }
                } else {
                    
    $f fopen(ROOT '/sys/logs/anti_ddos/' $date '_' $ip '.dat''w');
                    
    fwrite($f'1***' time());
                    
    fclose($f);
                }
            }
        }



        public function 
    antiSQL()
        {
            if(!
    preg_match('#^[\#/\?&_\-=\:.а-яa-z0-9]*$#ui'urldecode($_SERVER['REQUEST_URI']))) {

                
    $remote_addr = (!empty($_SERVER['REMOTE_ADDR'])) ? $_SERVER['REMOTE_ADDR'] : 'Unknown';
                
    $http_x_for = (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) ? $_SERVER['HTTP_X_FORWARDED_FOR'] : 'Unknown';
                
    $http_client_ip = (!empty($_SERVER['HTTP_CLIENT_IP'])) ? $_SERVER['HTTP_CLIENT_IP'] : 'Unknown';

                
    $remote_addr substr($remote_addr0150);
                
    $http_x_for substr($http_x_for0150);
                
    $http_client_ip substr($http_client_ip0150);
                
    $_SERVER['REQUEST_URI'] = substr($_SERVER['REQUEST_URI'], 0500);

                
    $logfile fopen(ROOT '/sys/logs/antisql.dat''a');
                
    $warning "Попытка SQL-иньекции. ['REMOTE_ADDR'] -> " $remote_addr " Дата: " date("Y-m-d H:i") . "
                    ['HTTP_X_FORWARDED_FOR'] -> " 
    $http_x_for "
                    ['HTTP_CLIENT_IP'] -> " 
    $http_client_ip "
                    Запрос: " 
    urldecode($_SERVER['REQUEST_URI']) . "\n";
                
    fputs($logfile$warning);
                
    fclose($logfile);

                
    redirect('/');
            }
        }
    }
    Выдрал из движка atomx, но как прикрутить к xenforo не знаю, ибо ни опыта ни знаний в серверных языках нету, xenforo вообще кажется что то страшное когда смотришь в код.
    Понятно что это особо ни чем не поможет, но если не много подкорректировать сам код, плюс добавить базу sql и xss, то может что нибудь и получится.
    Может быть кто нибудь знает как прикрутить свой php файл, вернее как в xenforo построить все запросы через свой php файл?
    Не важно будет этот запрос GET или POST, будет он адресован в coockie или в какой нибудь другой параметр или просто воткнут в адресную строку.
    Вообщем как настроить фильтрацию всех обращений к форуму?
     
    Последнее редактирование: 29.06.2014
  19. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    Может.
    Код:
    /js/swfupload/Flash/swfupload.swf?movieName=aaa" [^]])}catch(e){alert("SWFUploadXSS")}//
    Способов на самом деле больше.
    Мой форум взломали через какую то CRLF, защита на админке( двойная авторизация ) не помогла, так как был получен доступ к хостингу, но дальше форума не ушли.
     
  20. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    уязвимость в uploader-е да была, но довольно таки давно и точно также давно пофикшена (да и код это не самого форума, а сторонний флеш модуль).
    99% что взломали из-за того что неправильно настроен сервер (cgi.fix_pathinfo), а это бред (и все что в том посте):
     
    Mirovinger и Romchik® нравится это.

Поделиться этой страницей