Exploit foruma


#1

Nekada tokom današnjeg dana (2014-01-15) u terminu između 17h - 20h front stranica foruma bila je “defaced”, gdje je napadač uspio insertovati određene stringove u opis foruma, tako da je rađena redirekcija front stranice foruma na defacement stranicu “sirijskih hakera”.

URL je radio redirekciju na (primjenite ROT 13): uggc://mbaruzveebef.bet/qrsnprq/2014/01/12/jjj.gblbgn.pbz.ac/jjj.gblbgn.pbz.ac/

Kako je to otprilike izgledalo pogledajte na: http://forum.linux.org.ba/img/syria.png

Pretpostavljamo da je u pitanju sljedeći bug:
https://fluxbb.org/development/core/tickets/940/

Nažalost, prethodna verzija foruma bila je, da se slikovito izrazim “užasno puno mnogo” modificirana sa naše strane, tako da nismo mogli automatski primjenjivati update-e, već selektivno backportati kod.

Preduzeti su sljedeći koraci kako bi sanirali situaciju:

  1. Urađen je clean install posljednje verzije foruma (1.5.6), bez modifikacija i patcheva
  2. Prekopirani su korisnici/teme/postovi iz jučerašnjeg backupa (2013-01-14)
  3. Onemogućena je registracija novih korisnika (nemamo captche, tako da bi nas zatrpali botovi)

Za kraj, toplo preporučujem svim posjetiocima da:
a) Promijene forum password
b) Ne koriste isti password za forum i druge servise.

Passwordi u bazi su hashed samo sa SHA1 metodom, bez salta, ako je napadač kopirao password hasheve, moguće je pokušati recovery passworda ako vaš password nije dovoljno dug ili koristi poznate riječi.
Također, treba skrenuti pažnju da email adrese nisu kriptovane u bazi foruma, tako da je moguće da je vaša email adresa završila gdje ne treba :frowning:

Stay tuned.


#2

auuu, srecom koristim bogus mail. password moram mijenjati ipak.


#3

ništa, do godine da mi skuckamo svoj forum


#4

Niko nam ne garantuje da mi možemo nakucati bolji i sigurniji kod.

Neise, situacija sa FluxBB-om je definitivno takva da 2.0 release neće izaći još bog zna koliko godina, a sve iole naprednije stvari zahtjevaju ručno patchanje koda. Npr. sad nam treba opcija da ručno odobravamo nove registracije ili neka dobra captcha :frowning:
Očajna je i preglednost foruma na mobilnim uređajima.

Da ne budem samo negativan, zanimljivo će biti pratiti sljedeći projekat u 2014. godini: http://misago-project.org/


#5

Zar nije bio neki fork FluxBBa koji je bio aktivniji? I kad vec cackas po forumu ziv bio mozes li napravit da ovaj veliki ULK logo vodi na index foruma a ne na www.linux.org.ba? Iznervirah se svaki put kad kliknem.


#6

Popravljen je link, my bad.

Ima originalni PunBB koji je zadnji release imao prošle/pretprošle godine. I ovi likovi nešto razvijaju FluxBB 2.0, ali ja ne vidim da će biti puno drugačiji od trenutnog, niti da će out of the box podržavati “dodatne” opcije koje trebaju forumu (pm, antibot, …)


#7

A neke druge opcije poput SMF-a?


#8

A zasto ne phpbb kao i sav “normalan” svijet? :slight_smile:
Linuxzasve koristi phpbb, HULK XOOPS.

Ako ce se sta cackati, onda i od mene glas za SMF ili phpbb. Trebalo bi jos neke stvari popraviti, npr PM. Ako mogu kako pomoci, javi.


#9

phpBB i SMF vjerovatno i jesu dva najpopularnija open source foruma, ali svaki od njih imao je svoj fair share security problema. Nedavno i vBulletin, closed source forum.
Daleko od toga da su ti programeri nekompetentni, upravo suprotno, njihov softver je jedna velika meta na koju svaki black hat hacker puca.

IMHO, veliki dio problema leži u (ne)sigurnosti PHP interpretera i načinu programiranja ovih foruma (nema frameworka ili custom framework, miksanje koda i prezentacije …). To vam ga dođe kao da programirate desktop aplikacije u assembleru. Koliko ja znam, svi oni već pripremaju “next gen” forum softver zasnovan na nekom od popularnih PHP development frameworka. Vidjećemo kako će to ispasti.

PunBB, od kojeg je FluxBB nastao, imao je čak i par security audita (Stefan Esser), ali to ne garantuje da neće biti novih sigurnosnih propusta. Najveća zamjerka FluxBB-u je nedostatak funkcionalnosti out of the box, exploita je bilo i biće. Sve dok je imamo backupe nema problema :slight_smile:


#10

[quote=adis]phpBB i SMF vjerovatno i jesu dva najpopularnija open source foruma, ali svaki od njih imao je svoj fair share security problema. Nedavno i vBulletin, closed source forum.
Daleko od toga da su ti programeri nekompetentni, upravo suprotno, njihov softver je jedna velika meta na koju svaki black hat hacker puca.

IMHO, veliki dio problema leži u (ne)sigurnosti PHP interpretera i načinu programiranja ovih foruma (nema frameworka ili custom framework, miksanje koda i prezentacije …). To vam ga dođe kao da programirate desktop aplikacije u assembleru. Koliko ja znam, svi oni već pripremaju “next gen” forum softver zasnovan na nekom od popularnih PHP development frameworka. Vidjećemo kako će to ispasti.

PunBB, od kojeg je FluxBB nastao, imao je čak i par security audita (Stefan Esser), ali to ne garantuje da neće biti novih sigurnosnih propusta. Najveća zamjerka FluxBB-u je nedostatak funkcionalnosti out of the box, exploita je bilo i biće. Sve dok je imamo backupe nema problema :-)[/quote]

Da li ima mogucnost da se doda PM opcija, a ukine direktni email? To je iskreno nesto sto puno fali ovom forumu, barem meni!


#11

Vidjećemo nešto za PM, a mail bi se trebao moći skloniti na profilu (Profile -> Privacy). Mislim da samo moderatori i administratori po defaultu vide emailove.


#12
  1. Private Messaging sistem ćemo vratiti kada APMS plugin izda zvaničnu verziju za FluxBB 1.5.6, te će to biti jedina modifikacija/plugin na forumu.

  2. Pitanje Botova i spama pokušat ćemo riješiti sa dvije metode:

a) Adaptivnim heurističkim AI metodama
b) Crowd sourcingom

lol, šala mala, da pokušamo ponovo:

a) Prepravio sam registracijski email, tako da za englesku varijantu ne šalje ništa (skupljaćemo emailove za ban na ovaj način), a verzija na bosanskom jeziku servira lažni username i password

b) Aktivirane su korisničke grupe zasnovane na broju postova. Defaultna grupa ‘BotOrHuman’ ima mogućnost postati samo na jedan “welcome” forum, koji ostali korisnici ne vide (da ih ne zamaramo sa spamom).
Kada novoregistrovani članovi postaju nešto smisleno na welcome forum admin/mod ga promoviše u grupu “Polaže forume”. Također, grupa “Polaže forume” ima ograničenje da članovi ne mogu postavljati linkove u svojim porukama i potpisima.

Promocija između grupa je automatska, sa sljedećim naslovima. Ko ima preko 500 postova može predložiti alternativnu titulu.

  • Veteran (> 1000 postova)
  • Forum portparol (500 - 999 postova)
  • Primljen za stalno (100 - 499 postova)
  • Pripravnik (50 - 99 postova)
  • Na probnom radu (10 - 49 postova)
  • Polaže forume (0-9 postova)


Engleska varijanta za registracijski email:

Registracija nije uspješna. Molimo da prilikom registracije odaberete bosanski jezik.

Bosanska varijanta za registracijski email.

Subject: Dobro došli na Forum Linux korisnika BiH

Hvala za registraciju na <base_url>. Vaši pristupni podaci navedeni
su ispod, u linijama koje počinju sa *.

"Username" i "Password" u sljedećem tekstu trebaju zavarati SPAM botove.

Username: <username>
Password: lažni password

* Vaše korisničko ime je '<username>'
* Vaša pristupna šifra je '<password>'

Prijavite se na <login_url> da biste aktivirali svoj korisnički account.

--
<board_mailer> Mailer
(Nemojte odgovarati na ovaj email)

#13

btw, ako nekad bude kakav forum, gledajte da ima mobile css ili android aplikaciju


#14

Instaliran je plugin za private messaging. Importovane su stare poruke, najbolje što smo mogli (bilo je značajnih izmjena plugina u odnosu na verziju koja se prije koristila).

Javite se ako bude problema sa starim porukama.


#15

Jel mi se čini ili se sada pojavio još jedan link na vrhu stranice forum@linux.org.ba (koji vodi na forum.linux.org.ba) ?


#16

[quote=adis]Instaliran je plugin za private messaging. Importovane su stare poruke, najbolje što smo mogli (bilo je značajnih izmjena plugina u odnosu na verziju koja se prije koristila).

Javite se ako bude problema sa starim porukama.[/quote]

E, svaka čast na trudu!!!


#17

Ne cini ti se, clusterfuck linkova na forum, sa foruma :smiley:


#18

Hmm, to je automatski generisani link (od Board TItle). Mislim da je oduvijek bio tu. Neko od nas tripa :slight_smile:


#19

Znam da nije bio prije updata iz ovog topica. Kad je izašao ovaj topic čini mi se da sam pregledao malo ima li šta naopako i nisam ga primijetio.


#20

Koliko ja znam taj link je vazdan tu bio.