Здравствуйте,
загрузила версию мая 2019 года, настроила на сервере все права и отключила возможность публикации некоторого контента через настройки сайта администратором.
В сентябре появился новый пользователь, имея права обычного пользователя при отключенных статьях, он каким-то образом в ноябре стал размещать статьи на сайте не соответствующие тематике сайта, которые не появлялись на модерации у админа, и о которых не приходило уведомление на почту админа, хотя в настройках сайта было указано, что модерация для публикации любого контента требуется. Помимо этого у этого пользователя отсутствует ip адрес как в статьях, которые он размещал так и в его профиле.
Повторюсь, статьи в настройках сайта были выключены, модерация контента требовалась. И пользователь после 2х статей был заблокирован. Блокировка его не остановила, размещения статей происходили и пользователь обходил все запреты и статьи на сайте появлялись.
Скажите это баг инстантсмс? Или где-то ошибка админа сайта в настройках была? И почему система инстантсмс не присылала уведомления на почту админа о новых публикациях на сайте и не выводила запросы на модерацию, а так же не фиксировала IP-адрес человека который размещал контент.
Если это баг инстантсмс то это очень опасный баг, ведь неконтролируемый контент может нарушать очень много законов, еще и таких за которые можно получить реальный срок тюремного наказания.
Если пользователь сидит через впн, то я не хочу видеть его на своем сайте.
Я хочу видеть все действия пользователя совершаемые им на сайте, а так же хочу видеть кто он откуда и с какого устройства с каким адресом сидит. Хочу чтобы протоколировалось абсолютно все.
ошибка безопасности
ЕСТЬ РЕШЕНИЕ
ЗАКРЫТО
InstantCMS 2.X
заблокированный пользователь может размещать выключенный контент и его IP не фиксируется
#1
9 декабря 2019 в 12:59
#2
9 декабря 2019 в 13:02
Нет.Скажите это баг инстантсмс?
Это означает, что человек пришел в ваш phpmyadmin и напрямую через базу добавляет записи.
Вопрос к хостингу.
А это еще зачем???Если есть где-то пароли на компьютере — сделать архив под паролем
Просто так!?
Вы сами то хоть верите в эффективность сего действия?скачать файлы сайта на компьютер, проверить антивирусом
Сегодня в 09:30
Получается он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет?
Нет.Скажите это баг инстантсмс?
Это означает, что человек пришел в ваш phpmyadmin и напрямую через базу добавляет записи.
Вопрос к хостингу.
Как выключить показ IP-шников пользователей на сайте? Это необходимо сделать так как ip у некоторых статичные. Пусть они будут доступны только админам сайта.
Кстати, может подскажите какую службу в винде выключить чтобы по сети нельзя было скачивать заведомо известные файлы по заведомо известным путям, например файл паролей в браузере?
Я сейчас глянула в базу, да человек включил возможность создания и отображения статей на сайте, которые админ выключил.
Мне так же необходимо чтобы профиль пользователя тоже модерировался, т.е. чтобы о себе он не мог написать ничего что будет свободно показываться на сайте без модерации.
Плюс мне нужно подтверждение эмэйла при регистрации, кодовое письмо вроде бы как не высылается.
#5
11 декабря 2019 в 00:29
он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет?
...
какую службу в винде выключить чтобы по сети нельзя было скачивать заведомо известные файлы по заведомо известным путям, например файл паролей в браузере?
#6
11 декабря 2019 в 00:43
Нет.он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет
@diana, если это не такой тонкий троллинг, то, если кратко, ваш хостинг скомпроментирован (взломан). Как минимум прямой доступ к базе данных у кого-то есть. Чтобы понять, в чем у вас конкретно проблема, стоит обратиться к специалистам, а не искать виноватых, CMS тут не при чем.
Ну и пароли смените на хостинге везде.
@diana, если это не такой тонкий троллинг, то, если кратко, ваш хостинг скомпроментирован (взломан). Как минимум прямой доступ к базе данных у кого-то есть. Чтобы понять, в чем у вас конкретно проблема, стоит обратиться к специалистам, а не искать виноватых, CMS тут не при чем.
Ну и пароли смените на хостинге везде.
Здравствуйте, хостинговая компания подняла все логи доступа к моим учетным записям, предоставили мне отчеты, в отчетах нет информации о доступе с посторонних ip адресов.
Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add
Обращения эти не останавливались, контента размещалось очень много, у этих ребят программы по авторазмещению контента. Плюс они видимо хорошо знакомы с Instantcms и знают ее уязвимости.
Получается, что либо есть дыра в безопасности самой смс либо скомпрометирован был именно пароль администратора, были изменены настройки сайта, человек разрешил безпрепятственную, немодерируемую публикацию контента по веб через сам сайт.
Как?
Это не троллинг, это проблема с которй я столкнулась в версии от 9 мая 2019 года. в предыдущей версии сайта такого кажись не было, или про сайт эти люди еще не знали.
#8
11 декабря 2019 в 21:28
Так а сейчас, после того, как вы поменяли пароль администратора, публикации продолжаются?
в предыдущей версии сайта такого кажись не было,
И в этой нет.
или про сайт эти люди еще не знали.
Скорее всего.
либо скомпрометирован был именно пароль администратора, были изменены настройки сайта, человек разрешил безпрепятственную, немодерируемую публикацию контента по веб через сам сайт.
1. Меняйте ВСЕ пароли. От панели хостинга, от FTP, от БД (от phpMyAdmin, от базы и потом в конфиге сайта), пароль админа, а если у Вас белый ip включите защиту в админке.
2. Проверьте внимательно (сравните с чистой CMS) какие дополнения стоят, какие ставили сами, нет ли чего, что Вы не ставили.
3. Не знаю точно, как там у вас все устроено, но:
Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add
Обращения эти не останавливались, контента размещалось очень много, у этих ребят программы по авторазмещению контента. Плюс они видимо хорошо знакомы с Instantcms и знают ее уязвимости.
Как вариант. Там в доступах можно настроить частоту и количество публикаций от одного пользователя.
ЗЫ: Это то что на поверхности, и можно сделать прежде всего, без вникания в детали…
#10
11 декабря 2019 в 21:38
@diana, повторяю еще раз. Нет уязвимостей в стоковой версии InstantCMS. По вашему описанию, если описываемое вами есть правда, все записи добавляют через базу данных, не используя CMS. Т.е. тупо зашли в phpmyadmin и добавляют.
Вы не пишите ни о наличии сторонних дополнений, ни других подробностей вашего сайта. Повторяю еще раз, надеюсь вы услышите. В стоковой версии добавить контент с перечисленными вами запретами невозможно.
Ищите проблему в чем то другом.
При этом, если будет точная уверенность, что действительно есть уязвимость, вы дадите PoC — как мне воспроизвести её, само собой, мы исправим.
Неавторизованный пользователь не может добавлять записи. Все эти запросы не приводят ни к чему. Их наличие не говорит ни о чем.Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add
При выключенном типе контента всегда будет 404 ошибка при добавлении. Без вариантов.Повторюсь, статьи в настройках сайта были выключены
В статьях (т.е. в записях любого типа контента) ip адрес не фиксируется.Помимо этого у этого пользователя отсутствует ip адрес как в статьях, которые он размещал так и в его профиле.
Вы не пишите ни о наличии сторонних дополнений, ни других подробностей вашего сайта. Повторяю еще раз, надеюсь вы услышите. В стоковой версии добавить контент с перечисленными вами запретами невозможно.
Ищите проблему в чем то другом.
При этом, если будет точная уверенность, что действительно есть уязвимость, вы дадите PoC — как мне воспроизвести её, само собой, мы исправим.
Сменить пароль мало, нужно чтобы его не узнали повторно: пароль может быть на почте, можно вытянуть при "запомнить меня" в браузере и тд. Но какой-то долбаный "гений" затер об этом мое сообщение. Нужно исключать все вероятности получения пароля к сайту.Меняйте ВСЕ пароли. От панели хостинга, от FTP, от БД (от phpMyAdmin, от базы и потом в конфиге сайта), пароль админа, а если у Вас белый ip включите защиту в админке.
О "птичках"
1 Использовать сложные пароли. Чем больше символов использовано, тем дольше будет работать программа по автоматическому подбору. Стоит ли говорить о том, что собственное имя или год рождения – не самые подходящие данные для пароля.
2 Административная панель – только для администратора. Если доступ к «админке» имеют ваши знакомые, их знакомые и некий Аноним Неизвестный, то велика вероятность, что у ресурса появятся «куртизанские наклонности».
3 Запоминайте пароли. Текстовый файл «Мои самые важные данные» на рабочем столе – это, по-своему, очень круто, но непосвященным в такую религию лучше использовать специальные программы, которые обеспечат шифровку и сортировку паролей.
4 Не переходите по непроверенным ссылкам и не допускайте их появления на сайте.
5 Проверять антивирусом компьютеры людей, у которых имеется доступ к административной части сайта.
6 Стараться избегать использования Internet Explorer.
7 Используя CMS, необходимо своевременно переходить на новейшие версии программного обеспечения.
8 Обновлять антивирус как можно чаще. NOD. На андроид можно проверить play.google.com/store/apps/details?id=com.cleanmaster.security&hl=ru.
9 Проверка сайта antivirus-alarm.ru, rescan.pro .
10 Использовать не древние версии windows, а последние windows 8.1, 10. Устанавливать обновления по безопасности.
11 Защита домашней сети, wi-fi help.keenetic.com/hc/ru/articles/360001839240-Безопасность-интернет-центра-Keenetic. Лучше не включать WPS
2 Административная панель – только для администратора. Если доступ к «админке» имеют ваши знакомые, их знакомые и некий Аноним Неизвестный, то велика вероятность, что у ресурса появятся «куртизанские наклонности».
3 Запоминайте пароли. Текстовый файл «Мои самые важные данные» на рабочем столе – это, по-своему, очень круто, но непосвященным в такую религию лучше использовать специальные программы, которые обеспечат шифровку и сортировку паролей.
4 Не переходите по непроверенным ссылкам и не допускайте их появления на сайте.
5 Проверять антивирусом компьютеры людей, у которых имеется доступ к административной части сайта.
6 Стараться избегать использования Internet Explorer.
7 Используя CMS, необходимо своевременно переходить на новейшие версии программного обеспечения.
8 Обновлять антивирус как можно чаще. NOD. На андроид можно проверить play.google.com/store/apps/details?id=com.cleanmaster.security&hl=ru.
9 Проверка сайта antivirus-alarm.ru, rescan.pro .
10 Использовать не древние версии windows, а последние windows 8.1, 10. Устанавливать обновления по безопасности.
11 Защита домашней сети, wi-fi help.keenetic.com/hc/ru/articles/360001839240-Безопасность-интернет-центра-Keenetic. Лучше не включать WPS
Устанавливала только шаблон, на момент взлома не пользовалась им, не думаю что шаблон привел к уязвимости. Меняла структуру файлов, и названия, чтобы взломщики не смогли определить смс и не применить к ней известные им уязвимости этой смс, кстати долго это спасало, пока был шаблон, но потом как выключила шаблон, так и сразу понятно стало что за смс и ее быстренько взломали, перенастроили и размещали что хотели.
...
При этом, если будет точная уверенность, что действительно есть уязвимость, вы дадите PoC — как мне воспроизвести её, само собой, мы исправим.
Я не знакома с методами взлома и тестирования на возможность взлома, поэтому могу только предположить, что доступ к бд был осуществлен через файл настроек сайта config откуда сама смс и берет пароль от БД. Либо вытянут с моего компа
На сайт до сих пор совершаются атаки, хотя сайт уже был удален Если нужны емэил или IP взломщика, то могу сообщить. Если нужны IP откуда идет поток авторазмещений тоже могу сообщить.
Предлагаю Вам усовершенствовать Вашу СМС
1) В стоковой версии по умолчанию настройки должны быть самыми безопасными, т.е. немодерируемое размещение контента выключить, активировав модерацию или вообще запрет размещения на сайте контента посторонним лицом.
2) При любом размещении контента нужно фиксировать дату время IP адрес разместившего контент, при редактировании последующие записи просто наращивать в ячейке для фиксации редактирований в которой будет фиксироваться дата изменения, ip адрес изменившего контент, логин.
3) Так же необходимо хранить информацию о том какой пользователь произвел модерацию вновь созданного контента, а так же произвел модерацию отредактированного контента в специальной ячейке модерация редактирования и Ip адрес и время модерации.
4) При размещении любого контента по умолчанию активировать капчу от гугла где надо выбирать картинки и это применять к определенной группе пользователей.
5) Не допускать многократные попытки авторизации с одного и того же IP адреса, включать заморозку входа для этого IP на период определяемый в настройках админом сайта. О чем сообщать соответствующей записью в БД. Что для такого то пользователя была сделана заморозка так как он пытался безуспешно войти под таким то ником с такими то паролями. пароли естественно в шифрованном виде хранить.
6) Вести журнал залогиниваний, так же дата логина, время логина, ник логина, IP адрес логина
7) Пароль от БД шифровать в конфигурационном файле.
8) Каптчу при регистрации, авторизации, добавлении контента, изменении контента, удалении контента.
9) IP шники фиксировать при любых действиях пользователя но на сайте сами айпишники не показывать
10) Включить возможность не отображать количество просмотров для конкретного контента или пользователя в целом.
11) так же необходимо чтобы профиль пользователя тоже модерировался, т.е. чтобы о себе он не мог написать ничего что будет свободно показываться на сайте без модерации.
12) нужно подтверждение эмэйла при регистрации, кодовое письмо вроде бы как не высылается.
13) При вводе номера телефона не показывать его пока модератор не отмодерирует его или предусмотреть возможность через смс центры отправлять код для подтверждения номера телефона.
14) Кнопку пожаловаться, при котором всплывает окошко в котором пользователь может выбрать имеющийся пункт или написать свой только чистым текстом без специальных знаков, и отправить как сигнал администратору с записью в бд и с возможностью отправки на эмэил в зависимости от настроек сайта
15) Запретить исполнение кода (javascript) при размещении его в контенте, который размещают пользователи, пусть он размещается и обрабатывается как обычный текст. Чтобы пользователей сайте злоумышленники не отправили на другой сайт и не получили доступ к их данным.
Спасибо за подробную инструкцию.
Мне бы еще кто-то подсказал какие сервисы в винде надо выключить чтобы вытянуть файлик пароля с компа через интернет было невозможно?
Или как полностью затереть эти приславутые файлы паролей?
#14
15 декабря 2019 в 00:34
100% надежный метод — это отключить в компе доступ в интернет. Все остальные методы не дают 100% гарантиикакие сервисы в винде надо выключить чтобы вытянуть файлик пароля с компа через интернет было невозможно?
Удалить файлы и очистить корзинуИли как полностью затереть эти приславутые файлы паролей?
#15
15 декабря 2019 в 08:07
1
У Вас есть лицензия на операционную систему?
У Вас есть лицензия на антивирус?
У Вас надежный поставщик услуг? (хостер)
2
3
Почему на Вашем сайте до сих пор нет "антихамера" (это такой скрипт, который блокирует… частые запросы к сайту)
Почему у хостера не заказали доп услуги (Расширенная защита от спама, Безопасный хостинг с антивирусной защитой сайтов: автоматическая проверка на нарушение безопасности, SSL сертификат (в том числе и на поддомены))
4 (взгляд со стороны)
Заставить пользователя зарегистрироваться на сайте чего стоит! Удержать пользователя!
А после регистрации (и таких нововведений) он себя будет чувствовать как возле металлорамки в аэропорту.
Покажите свой .htaccess !Я не знакома с методами взлома и тестирования на возможность взлома, поэтому могу только предположить
У Вас есть лицензия на операционную систему?
У Вас есть лицензия на антивирус?
У Вас надежный поставщик услуг? (хостер)
2
После удаления сайта ставили чистую, официальную версию V2? (Если да, то были ли попытки атакующего успешны?)На сайт до сих пор совершаются атаки, хотя сайт уже был удален
3
Почему на Вашем сайте до сих пор нет "антихамера" (это такой скрипт, который блокирует… частые запросы к сайту)
Почему у хостера не заказали доп услуги (Расширенная защита от спама, Безопасный хостинг с антивирусной защитой сайтов: автоматическая проверка на нарушение безопасности, SSL сертификат (в том числе и на поддомены))
4 (взгляд со стороны)
Мне кажется это будет не сайт а КПП для самых терпеливых пользователей...
Предлагаю Вам усовершенствовать....
1)...13),14)
Заставить пользователя зарегистрироваться на сайте чего стоит! Удержать пользователя!
А после регистрации (и таких нововведений) он себя будет чувствовать как возле металлорамки в аэропорту.