очередные были найдены в версии 2.1.6.

буду фиксить.

В тему:
Поддержка форума

_______________

Только надо было написать так:
Нашёл дыру. Уезжаю в отпуск. Приеду - посмотрю на руины. Вместе посмеёмся.

Один из админов писал, что буквально 12-го числа ставили заплатки на форум. А та дыра, которой воспользовались уроды была опубликована 14-го числа . Как раз когда udofun, как я понял, отбыл в отпуск.

все верно, я уезжал, но заплатки были поставлены товарищем.
дырку от 14ого числа проглядели.... виноват...

Да ладно. Никто не виноват, кроме тех уродов. Как говорится, shit happens.
Не от всего и защитится-то можно. Вот винт скажем крякнет и кто будет виноват?
______________
А уменя такая мысля родилась. Я вообще не спец по всякому хостингу, серверам и прочей сетевой приблуде. Но можно ли сделать так, чтобы раздвоить входящий траффик на две линии и на два идентичных сервера. Чтобы только один был доступен по сети, но инфа обновлялась на них обоих и ... чё-то лажа какая-то получилась. Ладно, не знаю я нифига в этом деле.

Неплохо бы какую-нибудь систему обнаружения атак (аномалий) к серверу (форуму) прикрутить. Чтобы при обнаружении такого рода бяк сообщалось администраторам форума. Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты.

И наверно несложно убрать упоминание о версии движка форума, о чем упоминали в ветке про взлом. Мартышки из детского сада уж наверно обломятся, да?

Если говорить о версии движка и информации внизу страницы, то лучше не убирать, а написать что-то уводящее в сторону, например:
- не обновлять инфо, если движок обновили
- указать другой движок
или что-то в этом роде
Это конечно не для текущей ситуации, а на будущее

Согласен с сокрытием/подменой информации о версии движка. Это уберет львиную долю попыток сломать его.

Я вам вполне профессионально могу сказать, что подмена версии движка не играет никакой роли.... наличие уязвимостей определяют по другим совсем факторам.
Как защищаться? Вовремя закрывать дыры

Усложнение системы приводит к уменьшению её надёжности. А кто гарантирует, что в коде обеспечения одновременности администраторов не будет ещё худших ошибок?

Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS…

хотябы отведет мартышек ищущих поисковиками уязвимые форумы по номеру(типу) движка

решение многим по вкусу, но есть несколько принципиальных НО:
1) общий объем всего форума - для поиска суточных изменений этой "а-ля CVS" потребуется определенное время - работа форума итак нагружает вычислительную мощность сервера : даже если было внесено изменение в 1 символ всеравно будет просканировано содержимое всей БД - каждого файла.. кого устроит то, что раз в сутки форум будет недоступен 30-60 минут?!?
2) новые темы - новые файлы.. в CVS-подобных системах для отслеживания изменений новые файлы надо добавлять вручную..
.
эти проблемы решаемы, если бы логика CVS была бы интегрирована в сам движок форума - при штатной работе писать суточный лог-файл изменений (id новых сообщений и тем), либо просто находить сообщения дата создания которых относится к последним суткам, но поскольку сам IPB - что называется Third Parity Product, это уже надо предлагать непосредственно его разработчикам

ЗЫ: а насчет сброса на болванки - это лишнее. движок форума самое уязвимое место - поэтому достаточно грамотно задать права доступа к папкам: запретить скриптам форума доступ к тем папкам, в которых организовано CVS-хранилище.

ЗЗЫ: диавол.. стока идей.. можно даже наскрести на диссертацию =) ..поменять чтоли направление: вместо "05.12.04 радиотехника" взять "информатика" =)

Делаем дамп, архивируем, высылаем его на почту на gmail-е? Что-то а-ля CVS есть в самих БД, не помню только, как называется.


Не совсем верно. В SVN даже на дирректории и то распространяются версии. :-)

Хочу предложить свои соображения по избежанию
Правда, я ничего в этом не соображаю.
Надо сделать так ,чтобы фактического удаления записи человеком не было.НИ КАКИМ!
Запись в базе помечалась бы как "удаленная" и не отображалась.Как в файловой системе, той лишь разницей ,
что фактическое удаление поисходило бы автоматически , спустя некоторое время, например через месяц.

Движок форума не дает такой возможности

А нельзя организовать доступ админам строго по ip-фильтру ?

вообще говоря, это было бы хорошим решением проблемы защиты форума от подобных атак
число админов с правами удаления целых форумов не так велико
+ даже если пров динамический IP дает, то пойди перебери всех возможных провайдеров, чтобы совпала IP-маска (по кр.мере инициативность низкобюджетных деятелей типа нашего Васи быстро сойдёт к 0)

В таком случае, всем Админам нужно иметь закрепленные адреса. В моем случае это почти невозможно: дома несколько компов и два ISP, на работе другой ISP, иногда приходится пользоваться КПК. Везде адреса к сожалению динамические

но ведь эти адреса не должны выходить за некий диапазон значений, по крайней мере для стационарных компов... или нет?

это не проблема- они хоть и динамические, но из определенного диапазона выделяются - который закреплен за конкретным провайдером для предложенного способа защиты достаточно задать провайдеровскую маску: 212.195.*.* (условно)
а там пусть перебирают - какой у админов пров =)

Согласен, это все решается вводом десятка другого ip-масок. На крайний случай (напр., отпуск, а поадминить хочется
можно завести секъюрный proxy у провайдера или на любом сервере, который 24-online...