1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Взлом XenForo (причина была в плагине Esthetic Extended BB-Codes 1.0.4)

Тема в разделе "OFF-топик", создана пользователем shaman480, 03.12.2014.

Загрузка
Статус темы:
Закрыта.
  1. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Наверное, все зависит от того, как и какой вопрос задавать? У меня не возникает таких проблем, как у Вас и на русских форумах, и на зарубежных.
    Возможно, но пока еще никто не пострадал :) Обычно даже благодарят. Хотя бездумно применяющих советы я обычно не жалую, но иногда приходится давать полностью готовое решение, чтобы его просто применили, да.
    Никогда не стеснялся задавать вопросы, даже будучи специалистом в чем-то.
     
  2. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    117
    Симпатии:
    54
    Версия XF:
    1.5.0
    @лиса это хорошо что вы любите свой проект и защищаете его, но это не оставляет тот факт что вашему сайту можно замедлить работу может даже вообще уронить без особого труда. Без вашего согласия я этого делать не буду, но могу только рассказать алгоритм действия:
    1. Беру список из тысячи публичных прокси.
    2. Помещаю их в скрипт.
    3. Запускаю скрипт, который через список прокси отправляет запросы на вашсайт/admincp/

    Все через минут 10 у вас htaccess раздувается до неузнаваемости.

    В итоге благодаря вашей защите, вы облегчили работу злоумышленнику, а ему не сложно будет догадаться о такой.


    По поводу облегчения для ваших пользователей...
    1. Капча у вас все же есть, не врите. При регистрации пришлось машины сквозь стаю огурцов припарковывать.
    2. Пользователям надо заполнять много полей (Имя, мыло, пароль, пол, дата рождения, адрес и тп и тд), а по сути нужно оставить только два поля Имя и мыло, чтоб регистрация проходила мгновенно.
    3. И уже который пользователь данного форума пишет вам что сталкивается с проблемами серфинга по вашему сайту, это думаю о чем-то должно вам сказать.
     
    Kolya groza morey нравится это.
  3. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Это на первый взгляд.
    И уж совсем не относится к тому, с какой целью приходят боты желающие получить инфу о движке.

    Если пофантазировать о том, что по просторам бродят маньяки, которые ради интереса приводят сайты в нерабочее состояние, то по вашему алгоритму файл .htaccess будет таких размеров, что не будет читаться до конца. Максимум что будет, так это нарушится работа сайта, поскольку через .htaccess идут редиректы.

    Есть более эффективные средства, что бы положить сайт, это атака на базу форума, от этого серверу сразу поплохеет. Но для этого надо знать тип движка. А чтобы воспрепятствовать этому нужна защита сайта. Круг замкнулся. Хотите пускайте хакера сразу к скриптам форума и надейтесь на удачу. А можете палки в колёса бота вставить. Он не сможет выполнить программу и к вам не придёт хозяин бота.
    Придумываете.
    Вопросы по багам на сайте есть и будут. А вопросов по ограничениям нет. Кстати, вы находитесь в карцере, так, на всякий случай. И, конечно, имеете ограничения серфинга по сайту.
    --- добавлено : 10 дек 2014 в 15:05 ---
    Для вида. На сайте много бутафории.
    --- добавлено : 10 дек 2014 в 15:09 ---
    Писала, уже, что защита сайта тогда работает, когда не знают как она работает. Поэтому не могу дать полного решения, но те модули, что здесь выложены полностью выполняют поставленные задачи, они автономны.
     
    Последнее редактирование модератором: 18.12.2014
  4. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    Ребята я конечно извиняюсь , но вам не надоело из пустого в порожнее переливать ? :)))

    У лисы самый мега|ультра|супер скрипт, аналогов в мире нет !!! :)
     
    akinak, Kolya groza morey, Mirovinger и 2 другим нравится это.
  5. akok

    akok Местный

    Регистрация:
    06.10.10
    Сообщения:
    60
    Симпатии:
    6
    Понятно. Возможно из-за того, что на недоверенных сайтах у меня режутся скрипты.
     
  6. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    У меня для Вас плохие новости. Если по каким-то причинам апач не сможет обработать файл .htaccess, то апач выдаст ошибку 500. На этом вся работа сайта и закончится. Возьмите, к примеру, обрежьте последнюю строку этого файла таким образом, чтобы команда или опция (слово с начала строки) было написано не полностью. Либо добавьте в любом месте файла заведомо неправильное имя команды/опции. Ну и посмотрите на результат.
     
  7. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    117
    Симпатии:
    54
    Версия XF:
    1.5.0
    Или попросите меня устроить стресс тест для .htaccess, раз уж вы так уверены в своей защите, и теория вас не пугает :)
     
  8. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Экспериментов не надо. Это известная проблема с файлом .htaccess. Поэтому не ставлю автоматическую очистку записей в .htaccess. Вероятность получить ошибку 500 много больше с автоматической ошибкой, нежели вероятность того, что на сайт набредёт продвинутый мститель и догадается как навредить. Всё-таки здесь я рассказываю о том, как работает защита и догадаться не трудно. При этом есть элемент везения - при поиске админки SrDEN, набрёл на файл где есть закладка на бан. Поскольку название файла действительно одиозное, я удалила файл с сервера.
    Как решение, можно ограничить число обращений к файлу, затем пауза, или увеличить интервал между обращениями к файлу. Решение есть, и это естественно для совершенствования системы защиты -т требуется только, что бы задачка была реальной, а не "если"..
    Ну, и что значит эта ошибка 500, ничего. Я ставила ошибку на предмет того, что сайт умер, так боты второй год ходят на тот сайт.
    --- добавлено : 10 дек 2014 в 17:41 ---
    Зачем придумывать нежизненные ситуации. На сервере и файла того уже нет. Поищите файл в каталоге ФОРУМ, может повезёт
     
    Последнее редактирование модератором: 18.12.2014
  9. Kolya groza morey

    Kolya groza morey Местный

    Регистрация:
    14.06.13
    Сообщения:
    366
    Симпатии:
    118
    Версия XF:
    1.5.9
    я, например часто отрываю несколько тем, а потом по очереди читаю. И что выходит что открыл я 10 тем и сразу в бан?
     
  10. resonansER

    resonansER Местный

    Регистрация:
    19.08.11
    Сообщения:
    461
    Симпатии:
    290
    Версия XF:
    1.5.6
    С белого IP я так и не смог попасть к тебе на сайт. Пробовал 2-3 раза в течении дня, 3 дня. По-моему, или у тебя руки кривые, или твоя паранойя за пределами моего понимания. А может быть, два в одном. Высказал только своё мнение. Для настоящих системных администраторов существуют такие рычаги, которые становятся видны только злоумышленникам. И то, не все. Зависит от уровня квалификации взломщика.
    --- добавлено : Dec 11, 2014 1:30 PM ---
    До этого я ещё пытался как-то воспринимать слова этой девушки-женщины. После этой фразы рука потянулась к лицу, закрывая его полностью и голова наклонилась немного вперёд. @лиса, ешьте больше рыбы! В ней много фосфора.
     
    Последнее редактирование модератором: 19.12.2014
  11. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Лиса, давно наблюдаю за Вами и за Вашими советами по безопасности, нехотел писать но выскажу своё мнение:

    Во первых от кого хотите защитится такими методами и от какого типа атак ?

    Если это от скана «Ботов» на определение движка, то защита весьма сомнительная, т.к. для определения движка достаточно всего одного захода бота/человека, определять можно по банальному копирайту например, да много признаков у того-же XenForo или у других CMS что-бы 100% определить что за движок + версия, про плагины я вообще молчу…

    В качестве доказательства привожу отчёт «бота-разведчика»:

    Код:
    Content-Type: text/html; charset=UTF-8
    Connection: keep-alive
    Keep-Alive: timeout=10
    X-Powered-By: PHP/5.3.27-pl0-gentoo
    Set-Cookie: bbsessionhash=45ee8d915e52fd65870326858f8b21f1; path=/; HttpOnly
    Set-Cookie: bblastvisit=1418294463; expires=Fri, 11-Dec-2015 10:41:03 GMT; path=/
    Set-Cookie: bblastactivity=0; expires=Fri, 11-Dec-2015 10:41:03 GMT; path=/
    Cache-Control: private, max-age=5
    Pragma: private
    X-UA-Compatible: IE=7
    Location: http://www.vizantium.net/portal.php?langid=1
    Expires: Thu, 11 Dec 2014 10:41:08 GMT

    Итог:nginx 1.4 + apache 2.2.25 + PHP 5.3.27, движок vBulletin, версию можно увидеть в копирайте кстати… :)

    Всё, можно атаковать ! ;)

    Если это защита от ДДОСА опять-таки очень сомнительно, во первых как уже здесь сказали появилась уязвимость
    «Отказ в обслуживании», а во вторых эта Ваша защита раза в два как минимум замедляет работу скриптов, т.е. генерация страницы и т.д.

    У ТС скорей-всего взломали через плагин Виоделя и опять-же Ваши советы-бы никак непомогли от взлома…

    Лично я считаю что защита должна соответствовать следующим принципам:

    1.Актуальность – Это если есть большой процент появления угрозы, то нужно защищаться, а если процент сводится к нулю, то зачем ?

    Поясню что я имею в виду, например ддос-да, если нет никакого ддоса и вероятность мала его происхождения, то зачем навешивать всякие антиддос скрипты, прокси и прочее ?

    Ведь они только мешает когда нет атаки, вот появилась атака и нужно «напрягаться», уже и устанавливать всякие фильтры и прочее на момент атаки.

    Если так-уж хочится потенциально защитится от ддоса, то по моему мнению лучше уменьшать время генерации страницы, оптимизировать скрипты, кеш-там и прочее. Как минимум положить тогда сайт будет гораздо сложнее и больше ресурсов придётся тратить атакующему.

    2.Защита не должна мешать пользователям – Я конечно незнаю на кого ориентирован Ваш форум, но по отзывам даже здесь видно что защита мешает сёрфить по форуму, а это уже потенциальное потеря пользователей. Я уже не говорю если форум ориентирован на РФ, то Яндекс блокировать никак нельзя, т.к. много им пользуются в РФ !

    3.Защита не должна вредить - Вред Вашей защиты очевиден:

    -Можно вызвать «Отказ в обслуживании»;

    -Возможна ложная блокировка IP-адресов;

    -Давать доступ на изменение к .htaccess, уже потенциальная уязвимость.

    Возможно если это делать менее агрессивно и средствами файервола, может и имеет место на жизнь, но я больше склоняюсь что лучше установить «Правильные» права на папки раз, придумать надёжные пароли два, по аккуратнее с плагинами три, незабывать обновлять софт четыре.

    Ну если-уж совсем боитесь, то можно ещё дополнить следующим: Заблокировать доступ к ftp и SSH и разрешить доступ только для своих IP, тоже и с админкой, также можно тем-же файерволом заблокировать ненужные порты, по осторожней с этим правда иначе вообще можете потерять доступ к сайту…

    Думаю того-что я написал многим за глаза хватит ! ;)
     
    Alex777, Kolya groza morey и Mirovinger нравится это.
  12. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Ну и, конечно, обиделся, что не встретила с хлебом солью.
    А обратная связь для чего.
    Да, у меня забанена Украина и в РФ провайдер Ростелеком.
    Банили по маске, если кого обидели, так вопрос о разблокировки решаем.
    Не в этом суть защиты. В инете миллионы сайтов. Бот их обходит, и получает сведения о движке. Например злодею нужно собрать сведения о сайтах на движке vBulletin. Бот обошёл сайты и выдал резкльтат. Моего сайта там не будет, следовательно, не будет взломщика.
    Помогло?
    Я даже за твоё состояние здоровья переживать стала.
    Ну вот, наблюдаете давно, а вопрос не ко мне. Не от атак я защищаю, а от сканеров и качалок, которые создают нагрузку на сервер и приходят с нехорошими намерениями.
    Тем не менее, боты ищу файлы. Ну, а копирайт, это большая редкость для сайта.
    Бота-разведчика разобрать на запчасти. Половина информации не достоверна.
    Уязвимость по большей части надуманная, тем не менее она закрыта. Вариант файла выложу сегодня.

    Если для вас Яндекс авторитет, то берите пример с него. Яндекс часто выдаёт страницу с капчёй, когда заходишь на главную Яндекса. Как ни странно, но Яндекс больше всего ругается на свой браузер.
    Вот так, работает защита Яндекса от того же и тех же, что и у меня на сайте.

    А для меня вот, что значит Яндекс (цитата из ответа саппорта Яндекса)

    В случае настроек, описанных Вами, мы не можем гарантировать такое отображение страниц в поиске, которое Вы подразумеваете.

    Настройки сайта сделаны по рекомендации Гугля.
    --- добавлено : 11 дек 2014 в 18:41 ---
    Если скрипт не сможет отличить вас от бота, то капчу покажет, что бы проверить на человечность.
     
    Последнее редактирование модератором: 19.12.2014
    Oleg-2012 нравится это.
  13. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Да-ну, сканировал сайт тот который в профиле, у Вас там и копирайт кстати Vbulletin, конфигурацию сервера, можно и без бота узнать, вот сделал это вручную:
    Код:
    Error 403
    www.vizantium.net
    Thu Dec 11 18:54:26 2014
    Apache/2.2.25 (Gentoo) mod_dp/0.99.6 Phusion_Passenger/2.2.15 PHP/5.3.27-pl0-gentoo mod_wsgi/3.3 Python/2.7.2 
    Как-раз ищут часто по копирайтам, например через тот-же гугл, в качестве доказательства приведу пример:

    Как-то была спам-атака именно на пользователей XenForo, через Хрумер, кстати здесь на форуме это обсуждалось в своё время, так вот спамер искал жертв именно по копирайтам через гугл...

    Тоже и с уязвимостями, могут-быть конечно разные методики, но самое простое забил в поисковике например "Forum software by XenForo™ ©2010-2014 XenForo Ltd." !

    Далее бот проверяет сайт на уязвимость и всё, никакие файлы движка боту и не нужно ! :)

    Для меня Яндекс неавторитет, просто это констатация факта, что в РФ им пользуются немало, а так капча у них защищает от так называемых "Чёрных сеошников", которые пытаются "Обмануть" поисковик и повысить свои сайты в выдаче...
    Кидайте, посмотрим как Вы добились закрыть три проблемы:
    1.Разрастание .htaccess.
    2.Давать права на изменение .htaccess не рекомендуется, это не моё мнение, многие делают его даже скрытым и т.д., для защиты...
    3.Блокирует айпишники php-скрипт ?

    Если да, то ОЧЕНЬ вредно, т.к. нагрузка на сервер возрастёт раза в два точно, а-то и больше ! ;)
     
    Kolya groza morey нравится это.
  14. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    http://www.xf-russia.ru/forum/threads/varvary.8765/#post-80199
    Права у файла не нужно менять, он доступен для скриптов сайта
    Даром ничего не бывает, конечно, нагрузка дополнительная и сайт менее поворотливый становится.
    ))))))))))))))))))))))))))))
    Не ожидала я такого эффекта. Копирайт повесили для пользователей, что бы им было привычно находится на сайте. Мы старались по максимуму сделать интерфейс булки.
    Вот, здесь, я никак не могу научится тому как работает редактор. Честное слово, бесит. настолько не информативные кнопки меню редактора. Я не смогла даже вставить цитату в текст.
     
    Oleg-2012 нравится это.
  15. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Ох, лол...:thumbsup:

    Прикольно получилось, я не регился, правда подумал что булка...:D

    Правда уже туда незайду, т.к. Access forbidden! :D

    Что-то жёстко у Вас там слишком...:(
     
    лиса нравится это.
  16. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Так в коде страницы можно посмотреть. копирайт на аяксе выводится и его нет в коде страницы.
    http://2ip.ru/cms/?url=http://www.vizantium.net/
    амнистировала забаненых
    Ну, вот, я нахожусь на сайте и даже забыла, что есть какие то ограничения по скорости или обращения к сайту.
     
    Oleg-2012 нравится это.
  17. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Спасибо за амнистию ! ;)

    Но вот вопрос по Вашему скрипту:

    За десять дней у Вас блокируется например двадцать айпи, за месяц это шестьдесят, за год 720 записей в .htaccess...

    А если забудете почистить файл, сколько максимально записей может выдержать сервер ?

    И ещё вопрос, а насколько нужна такая защита, да забанит она бруттера например, так достаточно ограничить админку например по айпишнику, ну-либо изменить её адрес и всё...

    Зачем всё так усложнять ?

    А с файлами можно и неугодать, т.е. уязвимость может-быть совсем в другом месте например...
    --- добавлено : 11 дек 2014 в 22:18 ---
    Я люблю пооткрывать вкладок больше трёх, а у Вас после третьей вкладки бан...:(

    Лимиты-бы сделали по больше, например 10-15 вкладок нормально...;)
     
    Последнее редактирование модератором: 19.12.2014
  18. akinak

    akinak Местный

    Регистрация:
    12.02.13
    Сообщения:
    259
    Симпатии:
    243
    Версия XF:
    1.1.3
    Вообще то эта тема про закладку в аддоне Виоделя, а не про лису и её форум.
    Давайте не оффтопиить в оффтопе :)

    Вообще, вроде взрослые люди, программисты и ай-тишники, а ведетесь на такой детский троллинг.
     
    Prytny, resonansER и infis нравится это.
  19. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    В общем-то, в теме я написала, что можно сделать, что бы закрыть вход для злодея, поскольку он повадился к ТС.
    В общем-то, на то есть модераторы, что бы тему разделить.
    В общем-то, продолжение я печатаю в своей теме, читайте внимательнее, а вот такие как вы постоянно апят эту тему флудом.
    Не знаю, не экспериментировала. Чищу файл раз в две-три недели.
    .
     
  20. Kolya groza morey

    Kolya groza morey Местный

    Регистрация:
    14.06.13
    Сообщения:
    366
    Симпатии:
    118
    Версия XF:
    1.5.9
    Так можно и на нарушение авторских прав нарваться :)
    Значит получается что человек знает определенную уязвимость в движке хочет поломать все сайты на этом движке. Так от вы вместо закрытия уязвимости стараетесь скрыть версию движка. Не верный такой подход. Если боитесь такой ситуации то лучше то лучше уж собственный продукт сделать и не бояться что кто то посмотрит исходный код и поломает
    2 раза введу капчу и на третий раз вообще с форума уйду.
    .
     
Статус темы:
Закрыта.

Поделиться этой страницей