diana

@diana, в ссылке буквы s не хватает в конце docs.instantcms.ru/manual/ctypes/fields/types.
И доступы (логины/пароли) для чтения документации не нужны от слова "совсем".

спасибо! Разработчикам надо бы проверить все ссылки в документации на битость, потому что раньше я не могла толком разобраться в цмс из-за того что открывались такие пустые страницы. изучала методом клика…

Здравствуйте, я бы с удовольствием прочитала бы всю документацию вашей cms, но к сожалению страницы, которые я пыталась прочесть ничего не отображают, вот скрин экрана как подтверждение перехода по вашей ссылке
docs.instantcms.ru/manual/ctypes/fields/type
, которую вы дали мне в последнем сообщении закрытой темы.
Как же я буду знать если все так открывается?
+ я не могу войти туда со своим логином и паролем.
Про типографику, надеюсь в следующей версии в вашей цмс будут настройки по умолчанию самыми безопасными для пользователя, чтобы у тех у кого нет доступа к документации не было проблем в результате использования вашей цмс

Если бы смс была реализована с защитой от… обнаружения ботов,

То такой сайт не видел бы ни google, ни yandex. Чушь не несите.

В контесте данной ветки я говорю не про поисковых ботов, а про программы размещения контента, их еще называют роботами, хотя и поисковые машины тоже называют роботами, но в данном случае я надеюсь я доходчиво разъяснила о чем пишу и на какую тему.

Скажите это баг инстантсмс?

Нет.
Это означает, что человек пришел в ваш phpmyadmin и напрямую через базу добавляет записи.
Вопрос к хостингу.

в престашопе запомниается каким то образом все действия совершаемые через сайт, и когда смс обнаруживает несоответствие с реальным положением в БД она отключает работу сайта целиком. Плюс она контролирует изменение кода сайта, и при обнаружении несоответствия т.е. изменения в коде (не тексте) она так же блокирует работоспособность сайта и пользователям выдается пустая белая страница.
Сделайте такое же в своей смс, сделайте защиту чтобы при прямом изменении бд, без участия смс, она могла вырубить сайт. Вы же знакомы с понятием контрольная сумма, шифрование данных, математические алгоритмы. Для человека который написал такую смс, не будет сложностью и написать защиту.
А еще взломщик размещал через posts/add контент с автопереадресацией пользователя на другие сайты, если пользователь просматривал страницу скроля или нажимая на кнопку опустится ниже по тексту поста.
Я тоже не хочу чтобы у пользователей была возможность размещать исполняемый код в тексте. и чтобы смс его размещала у пользователя как код. В престашопе если пользователь разместил код то он кодом и отображается как текст.

Предлагаю Вам усовершенствовать Вашу СМС

@diana, Вы даже не озвучили какой у вас хостинг, а предлагаете усовершенствовать CMS. Вам же разработчик ответил, что проблема не в CMS. Злоумышленники имеют доступ к вашей базе данных помимо CMS. Rainbow, вам уже дал рекомендацию

1. Меняйте ВСЕ пароли. От панели хостинга, от FTP, от БД (от phpMyAdmin, от базы и потом в конфиге сайта), пароль админа, а если у Вас белый ip включите защиту в админке.

Я бы еще добавил, что надо также сменить пароль на доступ по SSH и проверить на вирусы компьютер(ы), с которого вы подключаетесь к админ панели хостинга.

Спасибо, я все рекомендации выполнила.

1

Я не знакома с методами взлома и тестирования на возможность взлома, поэтому могу только предположить

Покажите свой .htaccess !
У Вас есть лицензия на операционную систему? Пользуюсь маком
У Вас есть лицензия на антивирус?
У Вас надежный поставщик услуг? (хостер)

2

На сайт до сих пор совершаются атаки, хотя сайт уже был удален

После удаления сайта ставили чистую, официальную версию V2? (Если да, то были ли попытки атакующего успешны?)

3
Почему на Вашем сайте до сих пор нет "антихамера" (это такой скрипт, который блокирует… частые запросы к сайту)
Почему у хостера не заказали доп услуги (Расширенная защита от спама, Безопасный хостинг с антивирусной защитой сайтов: автоматическая проверка на нарушение безопасности, SSL сертификат (в том числе и на поддомены))

4 (взгляд со стороны)

Предлагаю Вам усовершенствовать....
1)...13),14)

Мне кажется это будет не сайт а КПП для самых терпеливых пользователей...
Заставить пользователя зарегистрироваться на сайте чего стоит! Удержать пользователя!
А после регистрации (и таких нововведений) он себя будет чувствовать как возле металлорамки в аэропорту.

1) мак, антивира нет, надежный.
2) после удаления пользоваться смс не стала, начну пользоваться только когда в смс предусмотрят защиту от размещения контента при помощи программ.
3) Потому что я о нем не знала.
Я попросила их отключить антиспам для моего сайта, так как почта не приходила. Не понимаю зачем мне использовать ssl? я деньги через сайт не гоняю, номера карточек тоже… Поэтому не использовала. В престашоп, которым пользовалась раньше программисты предусмотрели защиту целостности кода сайта, там если в код сайта полезешь (не в текст), всё, сайт перестает работать, выдает белую страницу.
4) Мне нужен КПП, если хотят размещаться, пусть размещаются, но пусть и антибот проверку проходят, Если бы смс была реализована с защитой от спама и обнаружения авторазмещения, то КПП сооружать не пришлось бы…
Этот взломщик размещал автопереадресацию как только пользователь начинал прокручивать страницу вниз читая пост.
Вон на вконтакте посмотрите, у нас есть реальные самоубийства детей, так как они во вконтакте вступили в диалог с теми кто занимается вот такими удаленными убийствами, доводит до самоубийства. Это тяжело когда ребенок умирает, а ты ища причину почему он это сделал обнаруживаешь после смерти ребенка, что убийца его сидит и управляет его действиями удаленно через социальную сеть. Я конечно понимаю можно сказать следите за своими детьми итдитп, но это не возможно! Родители заняты заработком денег и даже не подозревают о том что кто то через соцсеть убьет их чадо.
Точно так же немодерируемый сайт, это большая проблема в первую очередь для владельца сайта, а я проблем не хочу.

Так а сейчас, после того, как вы поменяли пароль администратора, публикации продолжаются?

@diana, Вам все уже объяснили. Что делать — сказали.
Проблемы с CMS нет.

Иначе у Вас получается очень странно…

Очень умные рассуждения о том что надо сделать в CMS, знаете про логи и как их смотреть и т.д., но при этом "ноль" по тому что Вы сделали-делаете для защиты сайта и исправления ситуации.

То есть "переливаете из пустого в порожнее"...

Я сайт удалила (заново на домен не устанавливала и данную версию в будущем устанавливать не планирую), так как понимаю, что при нынешнем раскладе его опять взломают, домен уже скомпрометирован, взломщик будет и дальше совершать попытки взлома. Без изменений, о которых я попросила я сайт не верну на этот домен, я не могу рисковать своим спокойствием ради желания помочь людям в заработке денег.

Запросы идут на публикацию, вижу это в логах, выдается 404 страница в ответ. Хостинг предоставил возможность заблокировать IP адреса, я это сделала.

Спасибо за подробную инструкцию.
Мне бы еще кто-то подсказал какие сервисы в винде надо выключить чтобы вытянуть файлик пароля с компа через интернет было невозможно?
Или как полностью затереть эти приславутые файлы паролей?

...
При этом, если будет точная уверенность, что действительно есть уязвимость, вы дадите PoC — как мне воспроизвести её, само собой, мы исправим.

Устанавливала только шаблон, на момент взлома не пользовалась им, не думаю что шаблон привел к уязвимости. Меняла структуру файлов, и названия, чтобы взломщики не смогли определить смс и не применить к ней известные им уязвимости этой смс, кстати долго это спасало, пока был шаблон, но потом как выключила шаблон, так и сразу понятно стало что за смс и ее быстренько взломали, перенастроили и размещали что хотели.
Я не знакома с методами взлома и тестирования на возможность взлома, поэтому могу только предположить, что доступ к бд был осуществлен через файл настроек сайта config откуда сама смс и берет пароль от БД. Либо вытянут с моего компа
На сайт до сих пор совершаются атаки, хотя сайт уже был удален Если нужны емэил или IP взломщика, то могу сообщить. Если нужны IP откуда идет поток авторазмещений тоже могу сообщить.

Предлагаю Вам усовершенствовать Вашу СМС
1) В стоковой версии по умолчанию настройки должны быть самыми безопасными, т.е. немодерируемое размещение контента выключить, активировав модерацию или вообще запрет размещения на сайте контента посторонним лицом.
2) При любом размещении контента нужно фиксировать дату время IP адрес разместившего контент, при редактировании последующие записи просто наращивать в ячейке для фиксации редактирований в которой будет фиксироваться дата изменения, ip адрес изменившего контент, логин.
3) Так же необходимо хранить информацию о том какой пользователь произвел модерацию вновь созданного контента, а так же произвел модерацию отредактированного контента в специальной ячейке модерация редактирования и Ip адрес и время модерации.
4) При размещении любого контента по умолчанию активировать капчу от гугла где надо выбирать картинки и это применять к определенной группе пользователей.
5) Не допускать многократные попытки авторизации с одного и того же IP адреса, включать заморозку входа для этого IP на период определяемый в настройках админом сайта. О чем сообщать соответствующей записью в БД. Что для такого то пользователя была сделана заморозка так как он пытался безуспешно войти под таким то ником с такими то паролями. пароли естественно в шифрованном виде хранить.
6) Вести журнал залогиниваний, так же дата логина, время логина, ник логина, IP адрес логина
7) Пароль от БД шифровать в конфигурационном файле.
8) Каптчу при регистрации, авторизации, добавлении контента, изменении контента, удалении контента.
9) IP шники фиксировать при любых действиях пользователя но на сайте сами айпишники не показывать
10) Включить возможность не отображать количество просмотров для конкретного контента или пользователя в целом.
11) так же необходимо чтобы профиль пользователя тоже модерировался, т.е. чтобы о себе он не мог написать ничего что будет свободно показываться на сайте без модерации.
12) нужно подтверждение эмэйла при регистрации, кодовое письмо вроде бы как не высылается.
13) При вводе номера телефона не показывать его пока модератор не отмодерирует его или предусмотреть возможность через смс центры отправлять код для подтверждения номера телефона.
14) Кнопку пожаловаться, при котором всплывает окошко в котором пользователь может выбрать имеющийся пункт или написать свой только чистым текстом без специальных знаков, и отправить как сигнал администратору с записью в бд и с возможностью отправки на эмэил в зависимости от настроек сайта
15) Запретить исполнение кода (javascript) при размещении его в контенте, который размещают пользователи, пусть он размещается и обрабатывается как обычный текст. Чтобы пользователей сайте злоумышленники не отправили на другой сайт и не получили доступ к их данным.

@diana, если это не такой тонкий троллинг, то, если кратко, ваш хостинг скомпроментирован (взломан). Как минимум прямой доступ к базе данных у кого-то есть. Чтобы понять, в чем у вас конкретно проблема, стоит обратиться к специалистам, а не искать виноватых, CMS тут не при чем.
Ну и пароли смените на хостинге везде.

Здравствуйте, хостинговая компания подняла все логи доступа к моим учетным записям, предоставили мне отчеты, в отчетах нет информации о доступе с посторонних ip адресов.
Я подняла все логи сайта, и обнаружила массовые (каждые 20-30 сек) обращения с разных российских IP адресов по POST и GET к разделу сайта /posts/add
Обращения эти не останавливались, контента размещалось очень много, у этих ребят программы по авторазмещению контента. Плюс они видимо хорошо знакомы с Instantcms и знают ее уязвимости.

Получается, что либо есть дыра в безопасности самой смс либо скомпрометирован был именно пароль администратора, были изменены настройки сайта, человек разрешил безпрепятственную, немодерируемую публикацию контента по веб через сам сайт.

Как?
Это не троллинг, это проблема с которй я столкнулась в версии от 9 мая 2019 года. в предыдущей версии сайта такого кажись не было, или про сайт эти люди еще не знали.

Скажите это баг инстантсмс?

Нет.
Это означает, что человек пришел в ваш phpmyadmin и напрямую через базу добавляет записи.
Вопрос к хостингу.

Получается он посмотрел на сайте с какого ip сидит админ сайта, получил доступ к файлам паролей в браузере по этому ip и теперь делает что хочет?
Как выключить показ IP-шников пользователей на сайте? Это необходимо сделать так как ip у некоторых статичные. Пусть они будут доступны только админам сайта.
Кстати, может подскажите какую службу в винде выключить чтобы по сети нельзя было скачивать заведомо известные файлы по заведомо известным путям, например файл паролей в браузере?
Я сейчас глянула в базу, да человек включил возможность создания и отображения статей на сайте, которые админ выключил.
Мне так же необходимо чтобы профиль пользователя тоже модерировался, т.е. чтобы о себе он не мог написать ничего что будет свободно показываться на сайте без модерации.
Плюс мне нужно подтверждение эмэйла при регистрации, кодовое письмо вроде бы как не высылается.

Здравствуйте,
загрузила версию мая 2019 года, настроила на сервере все права и отключила возможность публикации некоторого контента через настройки сайта администратором.
В сентябре появился новый пользователь, имея права обычного пользователя при отключенных статьях, он каким-то образом в ноябре стал размещать статьи на сайте не соответствующие тематике сайта, которые не появлялись на модерации у админа, и о которых не приходило уведомление на почту админа, хотя в настройках сайта было указано, что модерация для публикации любого контента требуется. Помимо этого у этого пользователя отсутствует ip адрес как в статьях, которые он размещал так и в его профиле.
Повторюсь, статьи в настройках сайта были выключены, модерация контента требовалась. И пользователь после 2х статей был заблокирован. Блокировка его не остановила, размещения статей происходили и пользователь обходил все запреты и статьи на сайте появлялись.
Скажите это баг инстантсмс? Или где-то ошибка админа сайта в настройках была? И почему система инстантсмс не присылала уведомления на почту админа о новых публикациях на сайте и не выводила запросы на модерацию, а так же не фиксировала IP-адрес человека который размещал контент.
Если это баг инстантсмс то это очень опасный баг, ведь неконтролируемый контент может нарушать очень много законов, еще и таких за которые можно получить реальный срок тюремного наказания.
Если пользователь сидит через впн, то я не хочу видеть его на своем сайте.
Я хочу видеть все действия пользователя совершаемые им на сайте, а так же хочу видеть кто он откуда и с какого устройства с каким адресом сидит. Хочу чтобы протоколировалось абсолютно все.