Skocz do zawartości
pio72

IPB, dziurawy ser

Polecane posty

Witam,

nigdy nie myślałem że to napiszę. Skrypt IPB jest dziurawy jak ser szwajcarski. Katastrofa. User który został zbanowany sam sobie wchodzi (oczywiście nie wiem jak) i zmienia uprawnienia w swoim profilu. Ze zbanowanego np. na admina. Szkoda ku....wa gadać.

Szlag!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Świadczy o tym jedynie nie udolność administratora.

Nikt nie spotkał się jeszcze z takimi problemami, tylko ty.

Edytowano przez xDanielxmc

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witaj

Pewnie to robi przez ACP ew baza danych, hmm, sam kod IPB chyba jest na tyle bezpieczny, ze nie są wykonalne takie akcje.

Sprawdź w ACP listę logowań do panelu, porównaj IP z IP ludzi, którzy mają dostęp do ACP. Zobacz czy logował się ze swojego konta w panel (co jest wątpliwe), czy z konta jakiegoś admina.

Jeżeli nie przez ACP to baza danych.

Zmień hasło na forum, serwerze i bazie. Hasła na forum niech również zmienią wszyscy, mający dostęp do ACP. Załóż htaccess na ACP jeśli nie masz i najlepiej zmień nazwę folderu "admin" na inną nazwę (zmiana nazwy folderu musi być wprowadzona też do pliku init.php jak pamiętam.

Edit: Daj info jak posprawdzasz. Jak mówiłem, najpierw ACP czy nie włamał się na konto admina, sprawdź w logach admina, kto zmieniał rangę temu zbanowanemu.

Zmiana hasła do serwera i bazy danych to też dobry pomysł (może wypłynęło). Po zmianie hasła bazy, musisz wprowadzić również zmiany w conf_global

Edytowano przez Kombajn
  • Like 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A ja myślę, ze to wina przestarzałości skryptu. IP.B 2.3.x już od jakiegoś czasu nie jest rozwijany przez IPS a co za tym idzie dziury, które ktoś znajdzie nie są już poprawiane więc nie ma się co dziwić, że tak jest :)

  • Like 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kombajn chyba dobrze kombinujesz.

Załóż htaccess na ACP jeśli nie masz i najlepiej zmień nazwę folderu "admin" na inną nazwę.
jak to wykonać ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A ja myślę, ze to wina przestarzałości skryptu. IP.B 2.3.x już od jakiegoś czasu nie jest rozwijany przez IPS a co za tym idzie dziury, które ktoś znajdzie nie są już poprawiane więc nie ma się co dziwić, że tak jest :)

Możliwe, ale byle n00b nie zrobi takich akcji i nie uwierzę, że takie dziury istnieją w tym kodzie. Tutaj musiałby być jakiś nie wiem...eval, sgl injection czy coś.

Pio, najpierw sprawdź to o czym pisałem. Logi i IP

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie ma innych logowań z innego IP niż tylko z admina i admina IP oraz Nicka.

Kto zmienił uprawnienia ? Nie widzę, ale to przecież można usunąć jeśli ma się dostęp do ACP (logi moderatorów). Da się usunąć i nie zobaczę.

Hasła parę minut temu pozmieniałem. Wypada teraz czekać, bo jak napisałem: śladów brak, nie widzę ich.

Załóż htaccess na ACP
jak to wykonać ?

odpowiedz z serwera:

Witam,

proszę przede wszystkim zaktualizować skrypty forum do najnowszej wersji.

Jeśli podejrzewa Pan iż osoba trzecia przechwyciła Pana dane proszę również zmienić hasło dla DirectAdmin.

czyli praktycznie nic.....

Edytowano przez pio72

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z tego co widzę to masz htaccess na katalogu admin. Zmień nazwę tego katalogu na inną i wprowadź zmiany w init.php

//-----------------------------------------------

// Security features

//-----------------------------------------------


/**

* Directory name for the admin folder

* @since 2.2.0.2006-11-06

*/

define( 'IPB_ACP_DIRECTORY', 'admin' );

"admin" to nazwa Twojego obecnego katalogu, zmień ją na nową nazwę katalogu. Zmieni sie wtedy adres ACP na http://adresforum .pl/nowa nazwa

Ale skoro hasła masz zmienione, brak logów admina, IP logowań zgodne z IP adminów (logów logowań nie da się usunąć, tylko logi admina/akcji) to widocznie nie dokonano tego przez ACP (chyba, ze masz kreta w załodze), bardziej zastanowiłbym się nad zmianą hasła bazy mysql.

Edit: Piszesz o logach moderatorów, sprawdź logi adminów. Mod nie wykona takich akcji.

Edytowano przez Kombajn
  • Like 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

tak jak pisze Kombajn, dostosuj sie do tego co napisal bo dobrze Ci radzi a przede wszystkim sprawdz wszystkich adminow, pozmieniaj hasla jw.

  • Like 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wielkie dzięki kochani za wszystko i przepraszam za zamieszanie .Porobione, teraz czekam co się będzie działo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.

  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.

×

Ważne informacje

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies.