ошибка безопасности

ЕСТЬ РЕШЕНИЕ ЗАКРЫТО InstantCMS 2.X

заблокированный пользователь может размещать выключенный контент и его IP не фиксируется

#1 9 декабря 2019 в 12:59
Здравствуйте,
загрузила версию мая 2019 года, настроила на сервере все права и отключила возможность публикации некоторого контента через настройки сайта администратором.
В сентябре появился новый пользователь, имея права обычного пользователя при отключенных статьях, он каким-то образом в ноябре стал размещать статьи на сайте не соответствующие тематике сайта, которые не появлялись на модерации у админа, и о которых не приходило уведомление на почту админа, хотя в настройках сайта было указано, что модерация для публикации любого контента требуется. Помимо этого у этого пользователя отсутствует ip адрес как в статьях, которые он размещал так и в его профиле.
Повторюсь, статьи в настройках сайта были выключены, модерация контента требовалась. И пользователь после 2х статей был заблокирован. Блокировка его не остановила, размещения статей происходили и пользователь обходил все запреты и статьи на сайте появлялись.
Скажите это баг инстантсмс? Или где-то ошибка админа сайта в настройках была? И почему система инстантсмс не присылала уведомления на почту админа о новых публикациях на сайте и не выводила запросы на модерацию, а так же не фиксировала IP-адрес человека который размещал контент.
Если это баг инстантсмс то это очень опасный баг, ведь неконтролируемый контент может нарушать очень много законов, еще и таких за которые можно получить реальный срок тюремного наказания.
Если пользователь сидит через впн, то я не хочу видеть его на своем сайте.
Я хочу видеть все действия пользователя совершаемые им на сайте, а так же хочу видеть кто он откуда и с какого устройства с каким адресом сидит. Хочу чтобы протоколировалось абсолютно все.
#2 9 декабря 2019 в 13:02

Скажите это баг инстантсмс?

@diana
Нет.
Это означает, что человек пришел в ваш phpmyadmin и напрямую через базу добавляет записи.
Вопрос к хостингу.
#3 9 декабря 2019 в 17:09

Если есть где-то пароли на компьютере — сделать архив под паролем

@noname
А это еще зачем???
Просто так!?

скачать файлы сайта на компьютер, проверить антивирусом

@noname
Вы сами то хоть верите в эффективность сего действия?
#4 11 декабря 2019 в 00:16


Скажите это баг инстантсмс?

@diana
Нет.
Это означает, что человек пришел в ваш phpmyadmin и напрямую через базу добавляет записи.
Вопрос к хостингу.

Fuze
Получается он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет?
Как выключить показ IP-шников пользователей на сайте? Это необходимо сделать так как ip у некоторых статичные. Пусть они будут доступны только админам сайта.
Кстати, может подскажите какую службу в винде выключить чтобы по сети нельзя было скачивать заведомо известные файлы по заведомо известным путям, например файл паролей в браузере?
Я сейчас глянула в базу, да человек включил возможность создания и отображения статей на сайте, которые админ выключил.
Мне так же необходимо чтобы профиль пользователя тоже модерировался, т.е. чтобы о себе он не мог написать ничего что будет свободно показываться на сайте без модерации.
Плюс мне нужно подтверждение эмэйла при регистрации, кодовое письмо вроде бы как не высылается.
#5 11 декабря 2019 в 00:29

он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет?
...
какую службу в винде выключить чтобы по сети нельзя было скачивать заведомо известные файлы по заведомо известным путям, например файл паролей в браузере?

@diana
#6 11 декабря 2019 в 00:43

он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет

@diana
Нет.

@diana, если это не такой тонкий троллинг, то, если кратко, ваш хостинг скомпроментирован (взломан). Как минимум прямой доступ к базе данных у кого-то есть. Чтобы понять, в чем у вас конкретно проблема, стоит обратиться к специалистам, а не искать виноватых, CMS тут не при чем.
Ну и пароли смените на хостинге везде.
#7 11 декабря 2019 в 20:54

@diana, если это не такой тонкий троллинг, то, если кратко, ваш хостинг скомпроментирован (взломан). Как минимум прямой доступ к базе данных у кого-то есть. Чтобы понять, в чем у вас конкретно проблема, стоит обратиться к специалистам, а не искать виноватых, CMS тут не при чем.
Ну и пароли смените на хостинге везде.


Здравствуйте, хостинговая компания подняла все логи доступа к моим учетным записям, предоставили мне отчеты, в отчетах нет информации о доступе с посторонних ip адресов.
Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add
Обращения эти не останавливались, контента размещалось очень много, у этих ребят программы по авторазмещению контента. Плюс они видимо хорошо знакомы с Instantcms и знают ее уязвимости.

Получается, что либо есть дыра в безопасности самой смс либо скомпрометирован был именно пароль администратора, были изменены настройки сайта, человек разрешил безпрепятственную, немодерируемую публикацию контента по веб через сам сайт.

Как?
Это не троллинг, это проблема с которй я столкнулась в версии от 9 мая 2019 года. в предыдущей версии сайта такого кажись не было, или про сайт эти люди еще не знали.
#8 11 декабря 2019 в 21:28
Так а сейчас, после того, как вы поменяли пароль администратора, публикации продолжаются?
#9 11 декабря 2019 в 21:30

в предыдущей версии сайта такого кажись не было,

@diana

И в этой нет.

или про сайт эти люди еще не знали.

@diana

Скорее всего.

либо скомпрометирован был именно пароль администратора, были изменены настройки сайта, человек разрешил безпрепятственную, немодерируемую публикацию контента по веб через сам сайт.

@diana

1. Меняйте ВСЕ пароли. От панели хостинга, от FTP, от БД (от phpMyAdmin, от базы и потом в конфиге сайта), пароль админа, а если у Вас белый ip включите защиту в админке.

2. Проверьте внимательно (сравните с чистой CMS) какие дополнения стоят, какие ставили сами, нет ли чего, что Вы не ставили.

3. Не знаю точно, как там у вас все устроено, но:

Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add
Обращения эти не останавливались, контента размещалось очень много, у этих ребят программы по авторазмещению контента. Плюс они видимо хорошо знакомы с Instantcms и знают ее уязвимости.

@diana

Как вариант. Там в доступах можно настроить частоту и количество публикаций от одного пользователя.

ЗЫ: Это то что на поверхности, и можно сделать прежде всего, без вникания в детали…
#10 11 декабря 2019 в 21:38
@diana, повторяю еще раз. Нет уязвимостей в стоковой версии InstantCMS. По вашему описанию, если описываемое вами есть правда, все записи добавляют через базу данных, не используя CMS. Т.е. тупо зашли в phpmyadmin и добавляют.

Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add

@diana
Неавторизованный пользователь не может добавлять записи. Все эти запросы не приводят ни к чему. Их наличие не говорит ни о чем.

Повторюсь, статьи в настройках сайта были выключены

@diana
При выключенном типе контента всегда будет 404 ошибка при добавлении. Без вариантов.

Помимо этого у этого пользователя отсутствует ip адрес как в статьях, которые он размещал так и в его профиле.

@diana
В статьях (т.е. в записях любого типа контента) ip адрес не фиксируется.

Вы не пишите ни о наличии сторонних дополнений, ни других подробностей вашего сайта. Повторяю еще раз, надеюсь вы услышите. В стоковой версии добавить контент с перечисленными вами запретами невозможно.
Ищите проблему в чем то другом.

При этом, если будет точная уверенность, что действительно есть уязвимость, вы дадите PoC — как мне воспроизвести её, само собой, мы исправим.
#11 12 декабря 2019 в 05:48

Меняйте ВСЕ пароли. От панели хостинга, от FTP, от БД (от phpMyAdmin, от базы и потом в конфиге сайта), пароль админа, а если у Вас белый ip включите защиту в админке.

Rainbow
Сменить пароль мало, нужно чтобы его не узнали повторно: пароль может быть на почте, можно вытянуть при "запомнить меня" в браузере и тд. Но какой-то долбаный "гений" затер об этом мое сообщение. Нужно исключать все вероятности получения пароля к сайту.
О "птичках"
1 Использовать сложные пароли. Чем больше символов использовано, тем дольше будет работать программа по автоматическому подбору. Стоит ли говорить о том, что собственное имя или год рождения – не самые подходящие данные для пароля.
2 Административная панель – только для администратора. Если доступ к «админке» имеют ваши знакомые, их знакомые и некий Аноним Неизвестный, то велика вероятность, что у ресурса появятся «куртизанские наклонности».
3 Запоминайте пароли. Текстовый файл «Мои самые важные данные» на рабочем столе – это, по-своему, очень круто, но непосвященным в такую религию лучше использовать специальные программы, которые обеспечат шифровку и сортировку паролей.
4 Не переходите по непроверенным ссылкам и не допускайте их появления на сайте.

5 Проверять антивирусом компьютеры людей, у которых имеется доступ к административной части сайта.
6 Стараться избегать использования Internet Explorer.
7 Используя CMS, необходимо своевременно переходить на новейшие версии программного обеспечения.
8 Обновлять антивирус как можно чаще. NOD. На андроид можно проверить play.google.com/store/apps/details?id=com.cleanmaster.security&hl=ru.
9 Проверка сайта antivirus-alarm.ru, rescan.pro .
10 Использовать не древние версии windows, а последние windows 8.1, 10. Устанавливать обновления по безопасности.
11 Защита домашней сети, wi-fi help.keenetic.com/hc/ru/articles/360001839240-Безопасность-интернет-центра-Keenetic. Лучше не включать WPS
.
#12 14 декабря 2019 в 23:31


...
При этом, если будет точная уверенность, что действительно есть уязвимость, вы дадите PoC — как мне воспроизвести её, само собой, мы исправим.

Fuze
Устанавливала только шаблон, на момент взлома не пользовалась им, не думаю что шаблон привел к уязвимости. Меняла структуру файлов, и названия, чтобы взломщики не смогли определить смс и не применить к ней известные им уязвимости этой смс, кстати долго это спасало, пока был шаблон, но потом как выключила шаблон, так и сразу понятно стало что за смс и ее быстренько взломали, перенастроили и размещали что хотели.
Я не знакома с методами взлома и тестирования на возможность взлома, поэтому могу только предположить, что доступ к бд был осуществлен через файл настроек сайта config откуда сама смс и берет пароль от БД. Либо вытянут с моего компа
На сайт до сих пор совершаются атаки, хотя сайт уже был удален Если нужны емэил или IP взломщика, то могу сообщить. Если нужны IP откуда идет поток авторазмещений тоже могу сообщить.

Предлагаю Вам усовершенствовать Вашу СМС
1) В стоковой версии по умолчанию настройки должны быть самыми безопасными, т.е. немодерируемое размещение контента выключить, активировав модерацию или вообще запрет размещения на сайте контента посторонним лицом.
2) При любом размещении контента нужно фиксировать дату время IP адрес разместившего контент, при редактировании последующие записи просто наращивать в ячейке для фиксации редактирований в которой будет фиксироваться дата изменения, ip адрес изменившего контент, логин.
3) Так же необходимо хранить информацию о том какой пользователь произвел модерацию вновь созданного контента, а так же произвел модерацию отредактированного контента в специальной ячейке модерация редактирования и Ip адрес и время модерации.
4) При размещении любого контента по умолчанию активировать капчу от гугла где надо выбирать картинки и это применять к определенной группе пользователей.
5) Не допускать многократные попытки авторизации с одного и того же IP адреса, включать заморозку входа для этого IP на период определяемый в настройках админом сайта. О чем сообщать соответствующей записью в БД. Что для такого то пользователя была сделана заморозка так как он пытался безуспешно войти под таким то ником с такими то паролями. пароли естественно в шифрованном виде хранить.
6) Вести журнал залогиниваний, так же дата логина, время логина, ник логина, IP адрес логина
7) Пароль от БД шифровать в конфигурационном файле.
8) Каптчу при регистрации, авторизации, добавлении контента, изменении контента, удалении контента.
9) IP шники фиксировать при любых действиях пользователя но на сайте сами айпишники не показывать
10) Включить возможность не отображать количество просмотров для конкретного контента или пользователя в целом.
11) так же необходимо чтобы профиль пользователя тоже модерировался, т.е. чтобы о себе он не мог написать ничего что будет свободно показываться на сайте без модерации.
12) нужно подтверждение эмэйла при регистрации, кодовое письмо вроде бы как не высылается.
13) При вводе номера телефона не показывать его пока модератор не отмодерирует его или предусмотреть возможность через смс центры отправлять код для подтверждения номера телефона.
14) Кнопку пожаловаться, при котором всплывает окошко в котором пользователь может выбрать имеющийся пункт или написать свой только чистым текстом без специальных знаков, и отправить как сигнал администратору с записью в бд и с возможностью отправки на эмэил в зависимости от настроек сайта
15) Запретить исполнение кода (javascript) при размещении его в контенте, который размещают пользователи, пусть он размещается и обрабатывается как обычный текст. Чтобы пользователей сайте злоумышленники не отправили на другой сайт и не получили доступ к их данным.
#13 14 декабря 2019 в 23:35



@noname
Rainbow

Спасибо за подробную инструкцию.
Мне бы еще кто-то подсказал какие сервисы в винде надо выключить чтобы вытянуть файлик пароля с компа через интернет было невозможно?
Или как полностью затереть эти приславутые файлы паролей?
#14 15 декабря 2019 в 00:34

какие сервисы в винде надо выключить чтобы вытянуть файлик пароля с компа через интернет было невозможно?

@diana
100% надежный метод — это отключить в компе доступ в интернет. Все остальные методы не дают 100% гарантии

Или как полностью затереть эти приславутые файлы паролей?

@diana
Удалить файлы и очистить корзину
#15 15 декабря 2019 в 08:07
1

Я не знакома с методами взлома и тестирования на возможность взлома, поэтому могу только предположить

@diana
Покажите свой .htaccess !
У Вас есть лицензия на операционную систему?
У Вас есть лицензия на антивирус?
У Вас надежный поставщик услуг? (хостер)

2

На сайт до сих пор совершаются атаки, хотя сайт уже был удален

@diana
После удаления сайта ставили чистую, официальную версию V2? (Если да, то были ли попытки атакующего успешны?)

3
Почему на Вашем сайте до сих пор нет "антихамера" (это такой скрипт, который блокирует… частые запросы к сайту)
Почему у хостера не заказали доп услуги (Расширенная защита от спама, Безопасный хостинг с антивирусной защитой сайтов: автоматическая проверка на нарушение безопасности, SSL сертификат (в том числе и на поддомены))

4 (взгляд со стороны)


Предлагаю Вам усовершенствовать....
1)...13),14)

@diana
Мне кажется это будет не сайт а КПП для самых терпеливых пользователей...
Заставить пользователя зарегистрироваться на сайте чего стоит! Удержать пользователя!
А после регистрации (и таких нововведений) он себя будет чувствовать как возле металлорамки в аэропорту.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.