[ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

[rxu]

Как уже известно из новостей о выходе phpBB 3.3.17, все версии до указанной (вплоть до 3.1.0) подвержены уязвимости, связанной с возможностью простого обхода авторизации и входа с использованием только имени аккаунта (без пароля) любого пользователя. Включая администратора или модератора. Злоумышленники смогут произвести любые действия от имени такого пользователя, на которые у этого пользователя есть соответствующие права, за исключением входа в админраздел.
Уязвимость найдена с помощью ИИ.

Чтобы предотвратить данный сценарий до того, как появится возможность обновить конференцию, необходимо:

Способ 1: 

1. Переключить аутентификацию на Db в админразделе (Главная страница админраздела - Средства связи - Аутентификация).
2. Отредактировать файл \config\default\container\services_auth.yml, удалив блоки

   Код: Выделить всё

       auth.provider.apache:
           class: phpbb\auth\provider\apache
           arguments:
               - '@config'
               - '@dbal.conn'
               - '@language'
               - '@request'
               - '@user'
               - '%core.root_path%'
               - '%core.php_ext%'
           tags:
               - { name: auth.provider }
   
       auth.provider.ldap:
           class: phpbb\auth\provider\ldap
           arguments:
               - '@config'
               - '@dbal.conn'
               - '@language'
               - '@user'
           tags:
               - { name: auth.provider }
   

3. Удалить с сервера следующие файлы:
   • /phpbb/auth/provider/apache.php
   • /phpbb/auth/provider/ldap.php
4. Очистить кэш конференции.

Способ 2: 

Без переключения метода аутентификации и удаления файлов: Re: [ВАЖНО] Как избежать взлома на версиях phpBB до 3.3.17

ВНИМАНИЕ:
Есть сообщения о том, что в некоторых случаях атакующие добавляли новые аккаунты в группы с повышенными привилегиями, например, в группы администраторов, супермодераторов, модераторов.
В этом случае, после взлома, даже с учетом применения патча выше или обновления до 3.3.17, злоумышленники могут и дальше наносить вред, используя такие аккаунты.
Поэтому имеет смысл проверить, не появились ли неавторизованные учетные записи в группах пользователей с повышенными привилегиями.

[Romnik]

У меня на форуме поменяли ссылку в лого и сделали редирект с главной на какой-то таган.прив...

Взломали целую кучу форумов. Пример РадиоКот и Лиза Алерт.
У всех вот такая штука:

Kot.png

[dimkaskv]

Еще однаружил модифицированную ads в расширении Adv Management, которая делала автоматический редирект на этот таган.

<!-- Yandex.RTB R-A-ЧЧЧ -->
<div id="yandex_rtb_R-A-ЧЧЧ"></div>
<script>
window.yaContextCb.push(() => {
Ya.Context.AdvManager.render({
"blockId": "R-A-ЧЧЧ",
"renderTo": "yandex_rtb_R-A-ЧЧЧ"
})
setTimeout(function() {
window.location.href = "tagan....";
}, 3000);
})
</script>

Не удаляли текущих админов, не чистили форум... т.е. такое ощущение, что просто баловались.

Отсюда мысль - вернуть http_auth на /adm/ папку форума... Чтобы защищаться уже средствами сервера даже при утечке пароля админа или появления другого админа.

[Форумъ]

редирект с главной на какой-то таган.прив...
И судя по всему у него был доступ в админку

И у меня. Взломали форум, получили доступ к админке
https://tagan.priv.at
Интересно кто это?

[Vlad__]

Интересно кто это?

изображение.png

[Romnik]

такое ощущение, что просто баловались.

Школьник развлекается. По поведению видно.

[Форумъ]

Vlad__, похоже на то, в логах действия совершали с IP 87.117.59.180 - Ростовский телеком. Ну, надо написать на том форуме, спросить че хотели, только он не открывается.

[rxu]

вернуть http_auth на /adm/

С этой уязвимостью взломщики не могли получить доступ к админке, из-за повторной проверки пароля при входе туда.

[dimkaskv]

вернуть http_auth на /adm/

С этой уязвимостью взломщики не могли получить доступ к админке, из-за повторной проверки пароля при входе туда.

Однако получили... Я единственный админ форума. Сегодня в 10 утра на форуме зарегился пользователь и появился в списке администраторов. Так-же были изменены настройки конференции на этот таган и настройки расширений. Т.е. это очевидно как-то связано.

Пароль админа остался не тронутым, т.е. сначала добавили своего пользователя в админы и потом зашли им. Возможно как-то отрабатывает модуль добавления в группы без входа в админку?

[Romnik]

он не открывается.

Забанили! Доигрался школьник

[Татьяна5]

Возможно как-то отрабатывает модуль добавления в группы без входа в админку?

Если на форуме есть лидер группы "администраторы" - такое вполне может быть

[dimkaskv]

Если на форуме есть лидер группы "администраторы" - такое вполне может быть

да, я лидер группы администраторов и я же администратор...т.е. это один человек (я).

Ясно, т.е. создали себе пользователя, зашли мной, добавили пользователя в админы, зашли им и натворили дел...

В этом случае защита /adm/ раздела доп паролем на уровне сервера - хорошая идея, хотя бы базовые настройки форума не смогли бы поменять...

[rxu]

Однако получили

Тогда, скорее всего, сценарий, описанный выше - взлом аккаунта админа, затем регистрация новой учетной записи, добавление ее в группу админов, и потом уже доступ в админраздел.

Отправлено спустя 18 секунд:

В этом случае защита /adm/ раздела доп паролем на уровне сервера - хорошая идея

Тогда да.

Отправлено спустя 2 минуты 29 секунд:
По логам входа в админраздел увидите, что за аккаунт это сделал.

[Форумъ]

защита /adm/ раздела доп паролем на уровне сервера

С этого места поподробнее, пожалуйста, как это осуществить?

[Татьяна5]

как это осуществить?

Гуглим htpasswd, там несложно

[Форумъ]

Татьяна5, сделал все, но почему-то пароль запросил всего один раз, а дальше в админку захожу без пароля, то есть пароль не запрашивается.

Screenshot_20260614_161436_com_android_chrome_ChromeTabbedActivity.jpg