1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

1.2.4 Слухи о взломах XenForo

Тема в разделе "OFF-топик", создана пользователем aligon7, 08.01.2014.

Загрузка
  1. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    в 2013 она была опубликована ( не так уж и давно, есть уязвимости которые опубликованы в 2008 и ранее, которые по сей день работают)
    http://www.bplaced.net/ - хостинг где висит мой борд, есть возможность оформить бесплатный тариф, проверить правильность настройки наверное будет проще всего залив туда какой нибудь простой "шел" ( к примеру
    PHP:
    <?php system($_GET["cmd"]); ?>
    ) и попробовать переместится в другую директорию.
    Дерзайте товарищи, переубеждать в чём то не собираюсь, убедитесь в своей правоте сами.
    Xenforo использую сам, мне нравится двиг.
    Нету абсолютно не уязвимого двигателя, ни один из существующих не является полностью защищённом, если наверное только он полностью не написан на HTML и в нём нету ни каких авторизаций, нету ни каких баз и тогда можно через сервер как минимум попытаться, доказывать ни чего не собираюсь, ибо смысл стучаться в плинтус нулевой.
     
  2. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Извините, но если владелец ресурса не обновляет свой движок - то это проблемы владельца ресурса. Это же надо полностью невменяемым чтобы знать что есть уязвимость, специально не обновляться на версию без уязвимости и в результате утверждать что двиг небезопасный.
    насчет безопасности все вопросы к хостеру. Учитывая что шаред хостинг, то с большей долей вероятности ломанули через другой сайт на этом хостинге.
    Не понимаю зачем пользоваться такими хостингами когда есть нормальные вдс за 5$ в месяц.
     
    fly_indiz и aligon7 нравится это.
  3. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    В большинстве случаев админы сайтов на бесплатных хостингах банально не умеют работать с вдс. Для них shell - это уже настолько круто, что надо искать "гуру" и т.д.

    Да и для таких админов, которые не умеют правильно работать с вдс, вероятность неправильно настроить окружение очень большая, что приведет к еще большей проблеме безопасности. Поэтому не факт, что для них вдс будет добром, а не злом.

    Я вот на заре своей деятельности в Linux (тогда у меня была Slackware) прошляпил взлом настолько элементарный, что аж стыдно было даже тогда :) Хотя с тех пор серьезных взломов по своей вине больше не допускал.

    Ну и не надо забывать, что на своем собственном сервере нужно всегда вовремя обновлять серверное ПО. А там уязвимостей хватает.
     
    fly_indiz и Mirovinger нравится это.
  4. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    832
    Версия XF:
    1.3.2
    Например, DititalOcean.
     
  5. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Ну и что он будет с ним делать? Если админ не в состоянии адекватно обновлять движок форума, то о каком развертывании собственного сервера может идти речь? Даже если его вдруг озарит и он сможет хотя бы элементарный LAMP поднять, то правильно настроить он уже не сможет. Ну и про безопасность настройки сервера (всех его компонентов) я вообще молчу.

    Поэтому новичкам я лично крайне не рекомендую пользоваться выделенными серверами (не важно, физическими или виртуальными). Им нормальный хостер хотя бы окружение нормальное предоставит. А дальше новичку надо будет просто сам форум в порядке держать. Когда он у себя дома натренируется развертывать и настраивать собственный сервер, да еще и в локалку провайдера выставит какой-нибудь форум, тогда он получит хотя бы минимальные знания, как и что должно функционировать. Когда его попытаются "заддосить" или брутфорснуть из локалки провайдера, и он сможет настроить банальный fail2ban, iptable2, nginx+fpm и т.д... Вот тогда можно уже брать вдс и запускать сайт в большое плавание.

    Нет, ну давайте честно посмотрим на проблему новичка. Зачем ему советовать вдс???? Наоборот, ему нужно советовать хорошего надежного шаред-хостера. ИМХО.
     
  6. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    832
    Версия XF:
    1.3.2
    В случае с DigitalOcean это и то и другое :) Вместе с тем, что вам дают root к вашей виртуальной машине, она уже настроена, там стоит все необходимое ПО, есть удобная админка для создания FTP, баз данных, PHPMyAdmin, конечно.
     
  7. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Нифига подобного. Да, есть предустановленное ПО на развернутом сервере. Но оно требует настройки и дальнейших обновлений.
    Я же говорю, для новичка shell - это зло. Тот же phpMyAdmin не свежих версий может представлять очень неслабую дыру в безопасности. FTP - тоже не подарок. Я вообще на своих серверах его не ставлю, предпочитая SFTP и woof. Первый - банальный SSH, который в любом случае нужен для сервера, а второй - питоновский скрипт, представляющий из себя как бы одноразовый веб-сервер. MySQL зачастую также требует настройки. Ну и по дефолту уж точно nginx не установлен, тогда как он на сегодняшний день является стандартом как минимум фронтэнда на веб-серверах.

    В случае грамотного шаред-хостинга начинающий админ вообще не напрягается по серверному ПО. Максимум - общаясь с тех.поддержкой хостера, который установит или даст доступ к нужному модулю. Также хостер занят различного рода безопасностью и защитой от аттак. Обычно сразу готов доступ к почтовому ящику.

    Начинать надо с малого. Лучше - с бесплатного. Да, под ксен бесплатные хостинги редко подходят, но ведь бывают. Естественно, более-менее живой форум на бесплатном хостинге работать будет медленно, либо вообще не будет работать. Но начинающий ведь может набраться опыта постепенно, а потом переехать на другой тариф, хостинг, собственный сервер...
     
    Alex777 и adder нравится это.
  8. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    832
    Версия XF:
    1.3.2
    На серверах Digital Ocean стоит Vesta Panel. Там по умолчанию Nginx.
     
  9. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Да, но только в качестве фронта. На баке стоит апач. Плюс по дефолту куча ненужного и кривого софта (тот же корявый vsftpd с неработающей кириллицей). До кучи дырявый раундкуб. Ну а уж просто супер простой в настройке экзим - это же праздник для начинающего сисадмина. Ах да, ведь потом еще нужно будет правильно его настроить, когда тупо почта перестанет бегать на нужные адреса. Это ведь мелочи, зато няшная панелька. Вау! А там еще и антивирус есть! Для хомячков - самое то!

    Не, не. Лично мне такого щастья и даром не нать. Я бы не стал советовать это кому-то из своих друзей и знакомых... Но на вкус и цвет, как говорится, фломастеры разные.

    Ок, не буду дальше продолжать в том же духе. Я просто хотел предостеречь начинающих админов от граблей, на которые и сам в свое время наступал. Причем, грабли не только для веба, но и вообще связанные с серверным ПО в Linux. После граблей я зарекся пользоваться панелями. Вообще. Лучше изучите конфиги, команды и screen. Я понимаю, что это лично мой опыт. Но я не знаю ни одного хорошего админа, который бы пользовался различными панелями для настройки сервера. И да, я знаю много "админов", которые этим панелями пользуются, правда, не долго и не очень успешно. Как-то взломали один сервер через легкий пароль аккаунта FTP. Если бы сервер админился панелькой, то и взлом бы не заметили и не смогли бы удалить шелл. Таким образом, я в очередной раз убедился в том, что предустановленное ПО и панельки - это зло.

    Например, в какой панельке можно будет настроить защиту админки? Да не в какой. Зато руками админка защищается на ура. И способов защиты админки очень даже много. Идем дальше. В какой панельке можно будет настроить бэкапы нормальные? Ни в какой. Зато руками это настраивается достаточно быстро и просто. Ну и т.д.

    Я уж молчу о том, что не редко, когда еще и саму панель взламывают...

    Конечно, в умелых руках панель может помогать. Но почему-то профессионалы ими не пользуются. Странно, да?...
     
    Alex777 нравится это.
  10. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    832
    Версия XF:
    1.3.2
    Вы считаете, что любой шаред хостинг настроен заведомо лучше дроплетов Digital Ocean с Vesta Panel? Разве на шаредах нет панелей вроде CPanel, которые тоже не защитить руками? Разве мало шаредов ломали последнее время?

    Я думаю, что не стоит гнаться за призраком отлично защищенного хостинга. Начинающий пользователь все равно никак не может выяснить, грамотно ли настроен тот хостинг, который он купил. Мне кажется, что все же начинающему стоит воспользоваться Digital Ocean. А в случае, если он обращается к специалисту (а при достижении его сайтом серьезного уровня он так и сделает), специалисту будет удобнее настроить дроплет под нагрузку, чем ругаться с хостером или все равно куда-то мигрировать.

    Скажем, на начальном этапе вполне можно пользоваться простенькой Vesta Panel. Достигнет сайт нормального уровня, панель вообще можно убрать, если есть деньги оплачивать работу грамотного админа. А вот на шареде ничего никуда убрать не получится. Только мигрировать. На Digital Ocean с чистым CentOS, скажем :)
    --- добавлено : 1 июл 2014 в 18:50 ---
    Кстати, еще хотел сказать, что на дроплетах Digital Ocean vsftpd работает с русскими буквами нормально. Как с файлами, так и с каталогами. Только что проверил в FileZilla. Кстати, vsftpd на самом деле вещь довольно неплохая:
     
    Последнее редактирование модератором: 09.07.2014
    Alex777 нравится это.
  11. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Не любой. Поэтому я и говорил, что лучше посоветовать новичку хороший качественный шаред, чем вдс.
    Т.е. правильно работают клиенты и с кодировкой UTF-8 и с кодировкой Windows-1251? Если корректно клиенты из разных кодировок заливают файлы с русскими буквами, то и хорошо, наконец-то починили. Если файлы, залитые клиентами из другой кодировки (1251, например), некорректно видны клиентам с кодировкой utf-8, да и на самом сервере в консоли, то нифига не починенный vsftpd установлен.
     
  12. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    832
    Версия XF:
    1.3.2
    Гм. Вообще-то дело тут не в vsftpd. Linux не Windows, Linux понятия не имеет о кодировках имен файлов (если мы Ext-семейство берем как минимум. Но это и других тоже касается). Все имена файлов хранятся в своем бинарном представлении. О кодировке должен заботится клиент (в смысле прикладная программа, не FTP-клиент). Скажем, стандартная библиотека Glib предполагает, что все имена хранятся в UTF-8. У нее есть спецфлаг, указывающий кодировку, если она отличается от UTF-8. А вот Qt по умолчанию предполагает, что имена файлов указаны в кодировке пользовательской локали. У разных пользователей она может вполне отличаться. Например, я могу в Windows-1251 работать, а моя сестра - в UTF-8. И при этом мы безо всякого vsftpd будем иметь проблемы совместимости :)

    Почему и каким именно образом vsftpd должен automagically угадать, что в том потоке байт, которые ему сливает клиент, находится текст в кодировке Windows-1251 и тут же automagically проконвертировать этот поток байт в UTF-8? Кстати, почему в UTF-8? А не в UTF-16, скажем, как в NTFS?

    Еще добавлю, что то, что FTP клиент должен отправлять данные серверу в кодировке UTF-8 оговорено в RFC-2640 в далеком 1999. Так что клиент в принципе не должен слать серверу ничего в Windows-1251.
     
    Последнее редактирование: 01.07.2014
    Mirovinger и Yoskaldyr нравится это.
  13. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Вовсе нет. Для этого делается перекодировка "на лету". И именно поэтому стоковым vsftpd было невозможно пользоваться, а патченным - очень даже хорошо. К сожалению, далеко не все клиенты умеют правильно работать с кодировкой. В особенности это касается штатного Windows. И в "правильном" vsftpd для этого есть три параметра:
    Код:
    convert_charset_enable=1
    local_charset=CP
    remote_charset=CP
    После этого чудесным образом работают одновременно и клиенты Windows и нормальные клиенты. Проблема существует давно, также как и ее решение. При этом подразумевается, что на самом сервере все работает в utf-8. Естественно, я не беру древние версии ОС.
    --- добавлено : 2 июл 2014 в 02:16 ---
    Это не более, чем рекомендация. По умолчанию FTP вообще работать должен в 7-битной кодировке, хотя имена файлов во внутреннем представлении сервера и должно быть в UTF-8. Вы внимательнее ознакомьтесь с RFC, который буквально пестрит RECOMMEND(ED/S).
     
    Последнее редактирование модератором: 09.07.2014
  14. FractalizeR

    FractalizeR XenForo Addicted

    Регистрация:
    27.09.10
    Сообщения:
    1 085
    Симпатии:
    832
    Версия XF:
    1.3.2
    В "правильном" - это в каком? :) В официальном vsftpd нет этих параметров и не было никогда. Они есть только в модификации от devnet.ru, которая реализует "ряд дополнительных функций, которые порой бывают нужны в работе, но их нет в оригинальной версии сервиса".

    Поддержку RFC2640 реализовали в vsftpd в 2012 году. Что касается RECOMMEND, то смысл вполне понятен. Особенно, если прочесть RFC 2119. Если не следовать этому RFC, то в современном мире получается, что стандарт на кодировку в FTP протоколе не определен. Что значит "не более, чем рекомендации"? Есть хоть один FTP сервер, который не следует RFC 2640 сейчас?

    Даже FireFox с недавних пор поддерживает этот RFC :)
     
    Последнее редактирование: 02.07.2014
    Yoskaldyr нравится это.
  15. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Да, верно, в оригинальном vsftpd этого нет. Поэтому нашлись умельцы, которые сделали патч на него. После этого становятся доступны нужные для правильного функционирования параметры.
    Я же уже говорил, что там много рекомендовано, но не обязательно. К слову, до сих пор существует много софта, который нормально работает только с 7-битной кодировкой, но через костыли умеет работать в том числе и с utf-8. И вот костыли эти часто придумывают энтузиасты, для которых требуется кодировка более 7 бит (т.е. не англоязычные). И да, стандарт на кодировку был определен с самого начала:
    Отсюда следует, что на заре Интернета протоколом была определена только 7-битная кодировка. Соответственно, глобализация интернета заставила пересмотреть и расширить протокол для того, чтобы обеспечить работу 8-битных и мультибайтных кодировок. Ну и в самом конце цитаты и без перевода становится ясным, что авторы документа настоятельно рекомендуют включить в имплементацию серверов многонациональную поддержку.

    К сожалению разработчики vsftpd, хотя и выполнили ряд рекомендаций по интернационализации (включили поддержку мультибайтных кодировок), но с прибором положили на адекватную поддержку клиентов, а потому не включили возможность перекодировки на лету тех клиентов, которые не указывают свою кодировку и работают в кодировке, отличной от кодировки сервера. Да, vsftpd без проблем включает указанную клиентом кодировку, но вот клиенты не все это делают (в частности, клиент Windows). В результате имеем грабли, которым уже не один год, но админам vsftpd до сих пор приходится патчить его для нормальной поддержки кириллицы.

    А вообще предлагаю завязывать с офтопом :) Я ведь вспомнил о нем в том смысле, что далеко не все из коробки работает так, как ожидается. И не всегда потом можно заменить/обновить нужный софт. В результате либо пользоваться устаревшим софтом, либо отказываться от панели. Я - за последнее :)
     
  16. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    Читать всё в подряд не стал, прочитал пару сообщений, @infis ( не в обиду ) создал впечатления самонадеянного упыря.
    Xenforo с года 2011 ( может даже и ранее, по реге на xf-russia должно видно было быть) , в данный момент висит 1.3.3, обновлять уж точно научился.
    http://www.bplaced.net/ - хостинг из более менее, один из не многих.
    Достаточно зайти на bplaced и будет ясно что бесплатный тариф не покатит для ксеньки, платный же ( если не ошибаюсь ) в порядке 3 евро ( закинул сотенку, там пусть сами разбираются ).
    Времени для рунета уделяю не так уж и много, не посещать форум могу месяцами ( то запара на работе, то простая лень, либо вообще нету желания лезть ), трабл с собственным сервером в разы больше чем с чьим то хостингом, да и лень конкретная возится.
    Форум терпел кавыряния не один раз.
    -------------
    Не нужно быть такими, нету ни чего созданного руками человека, чего нельзя было бы сломать.
    Ломают всё, github, vk, facebook, и не только, терпят взломы и имеют уязвимости, компания Facebook в свою очередь имеет не один миллиард (евриков) и в обойме у них программисты сами должны понимать какие, куда там ксеньке что бы быть таким прям нерушимым?
    Ценник был бы у него далеко не 150 карявых, если бы не было у него уязов.
    В данный момент только на моём форуме 4 открытых дырочки опубликовано, две залатаны( ну или типо того, разумеется не без помощи участников), две в супер скрытом разделе и знают про них только конкретные друзья форума.
    Вообщем рябятки, не взломан, это только до пары до времени, нету просто на вас ни желания ни времени, нету интереса к вашим проектам, появится интерес и будет на вашей улице камаз с пряниками.
    ____________
    Да без особых знаний и опыта, можно написать простой брут и бить в лоб, промежуток времени и другие нюансы учесть как два пальца в асфальте.
     
  17. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Никто и не говорил, что ксен не взламываемый. Речь о том, что он изначально достаточно хорошо написан, чтобы обеспечить хорошую безопасность. Если защищать админку внешними средствами, то это еще улучшит безопасность. Ну и просто грамотное админство, естественно, улучшает общую безопасность.
    А взломать можно абсолютно все, было бы время и желание. Если взлом слишком сложен, то ищется другой подход к сотрудникам администрации. Именно через левые сайты обычно ломают аккаунты админов серьезных ресурсов, кстати.
    А траблы с собственным сервером обычно тогда, когда банально либо нет желания, либо нет опыта настроить его. Лично для меня шаред хостинг является скорее минусом, чем плюсом, хотя для большинства новичков все с точностью до наоборот. В общем инструменту нужны руки и определенные задачи.
     
    Kolya groza morey нравится это.
  18. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    Гражданин подымите глаза, не Ваша ли писанина в стольких строках выше изложена?
    Для справки - Что бы нашкодить на форуме, не обязательно лезть в админку, что бы оперировать файлами самого форума или какими другими файлами на сервере, тоже не нужна админка!
    Админка для админа, что бы он там категории да форумы создавал и Ваш .htaccess, вообще не страшен!))
    Видимо Вам этого не известно и именно по этому Вы так уверены, только вот не понятно, в чём?
    Социальная инженерия может сработать с Вами, ну или с таким же неосведомленным человеком, ибо схемы СИ читаются на одном дыхание, начитаешься и врятле тебя уже возьмёт кто то из вне, когда и внутри начинаешь расценивать иначе.
    Так для справки, СИ используют в основном для работы с "новичками" или теми кто далёк от HK ( вот к примеру можно с Вами, так как Вы даже и не имеете представления что это такое ).
    Вы бы хоть habrhab почитывали время, от времени, какой нибудь другой ресурс постесняюсь Вам предлагать, боюсь Вас они испугают и будете боятся что они Вас взломают.
    К примеру ( так на будущие, да и что бы развеять сомнения ) вот яркий пример http://habrahabr.ru/post/139399/ что используется внутренний поиск уязвимостей, ах да, Вы же супер - пупер сисадмин и у Вас нерушимый сервер ( интересно ПО к нему Вы сами написали что так уверены?), а на GitHub сисадмин ( извините ) дуб, ну в принципе можете свой коммент выше прочитать что бы описание к его квалификации прочитать, с Вами такое не пройдёт, да и вообще..., тогда посмотрим ( быть может ) на другой пост с этого же habrhab http://habrahabr.ru/post/211845/ , вот Вам ещё один Яркий пример на том же GitHub ( это так, это потому что о нём начал разговор ), но Вы можете воспользоваться поиском, к примеру ddg.gg, ну опять же пугаюсь что Вас это напугает.
    Ну да, да, я Вам верю, быть может Вам стоит воспользоваться каким нибудь антивирусным решением и хотя бы просто проверить свой супер надёжно настроенный сервер?
    Ах, ну да Вам же это ни к чему, Вы же не сисадмин GitHub, куда им до Вас...
    -----------------
    Мой Вам совет, никогда не будьте так "Само - уверены".
    Нужно хоть как то ощущать разницу между уверенностью и само - уверенностью.
     
  19. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Не нужно начинать заочное знакомство с хамства, к слову.
    Также, как совсем не нужно ломать веб-сервер, чтобы поломать сервер, на котором оный функционирует. Очевидные вещи - это страшная правда?
    Вы вообще когда-нибудь ломали, и/или Вас когда нибудь ломали? У Вас слишком много пафоса, уж извините. А пафосность профессионалам обычно не к лицу.
    Админка дает ряд инструментов, облегчающих управление ресурсом как для администратора, так и для злоумышленника. При наличии доступа к файлам разницы между файлами пользовательской части и админской, естественно, не будет. Не пытайтесь раздувать из мухи слона или, наоборот, представлять все, как детский сад. Мир несколько сложнее, чем "Hello, world!".
    О да, а я уж забеспокоился, когда же слова не мальчика, а мужа польются! :)
    Предлагаю Вам не судить о том, кто я и что я знаю. Поверьте, Вы все равно ошибаетесь. Рассуждайте тогда уж о себе. Себя Вы знаете, несомненно, лучше. Ну и свой собственный опыт как раз и нужно передавать несмышленым людям.

    Весь остальной бред даже комментировать не буду. Отвлекитесь немного от своей напыщенности и напишите хорошую статью о том, что надо и не надо делать, если у Вас есть время и опыт. Если нет ни того и/или ни другого, то Ваше мнение стоит ровным счетом ничего, как и обычный среднестатистический высер обывателя (простите, если несколько резко высказываюсь).

    А я Вам предлагаю не советовать мне, пока я у Вас его не попрошу. И хватит уже распинаться передо мной ;)
     
    Romchik®, fly_indiz и Kolya groza morey нравится это.
  20. swap

    swap Активный пользователь

    Регистрация:
    14.10.11
    Сообщения:
    28
    Симпатии:
    21
    Версия XF:
    1.3.2
    Нету желания в данный момент читать весь этот мутор, после, после товариЩъ.
     

Поделиться этой страницей