News:

Bored?  Looking to kill some time?  Want to chat with other SMF users?  Join us in IRC chat or Discord

Main Menu

Segurança

Started by J. A. Voss, September 13, 2016, 10:48:43 AM

Previous topic - Next topic

J. A. Voss

Prezados, estou com um problema em meu fórum.
Estou com o registro de novos membros desabilitados, eu tenho criado as contas manualmente.
Ocorre que há um usuário que consegue criar uma conta sempre, mesmo eu a tendo excluído várias vezes. E mesmo já tendo sido banido.
Excluo a conta e passados alguns dias ele consegue criar a mesma conta novamente. Não consegue fazer nada, já que está banido, mas eu tenho que excluir a conta de novo, só pra vê-la ativa novamente depois.
Já chequei as contas de administradores, que são quem tem permissão para criar contas de novos usuários, já alterei as senhas - para o caso de estarem usando uma delas -, mas mesmo assim não consigo impedir que essa conta seja criada.
O que pode ter havido? Sofremos alguma invasão com modificação em alguma porção de código que permita esse desvio e a criação dessa conta?
O SMF é o 2.0.11
Agradeço qualquer luz, obrigado!
Atenciosamente

João Alexandre Voss de Oliveira
-------------------
"Aquele que está acima da Geometria, está acima de nós."
(Pascal)

Portugal

É muito estranho, tens algum MOD instalado que seja "duvidoso"? Ele usa sempre o mesmo email? e o IP? em vez de excluir a conta dele, faz apenas "Banir" tenta assim. Deixa depois alguma informação sobre isso.

margarett

Isso é estranhíssimo. Se tens os registos desabilitados é impossível criar contas sem ser pelo painel de administração...
Ou tens algum MOD que faz isso ou ele, de alguma forma, tem acesso à BD através de outro software que corras no teu site site ou através de um script malicioso.

O que tens pela frente é trabalhoso. Quando ele criar uma conta verifica com que IP o fez. Depois tens de consultar os logs do servidor (do Apache pelo menos) a apanhar todos as acções desse IP. Pela lista de acções podes chegar ao caminho que ele percorreu.
Se forem conduzir, não bebam. Se forem beber... CHAMEM-ME!!!! :D

QuoteOver 90% of all computer problems can be traced back to the interface between the keyboard and the chair

J. A. Voss

Sim, muito estranho. Hoje ele novamente fez login com a conta banida. Dessa vez eu não excluí a conta, apenas alterei a senha. Vamos ver se ele está acessando o BD. Não tenho nenhum mod novo instalado recentemente.

Sempre o mesmo username, sempre o mesmo IP.

De qualquer forma ele não consegue fazer nada, e a conta é uma conta comum, não de administrador.

Estou pensando em fazer uma reinstalação do zero, para passar a limpo todos os scripts no servidor.

Os logs do Apache eu não tenho como acessar, mas vou dar uma olhada no que consigo auditar.

Agradeço a ajuda, amigos.

Um abraço!
Atenciosamente

João Alexandre Voss de Oliveira
-------------------
"Aquele que está acima da Geometria, está acima de nós."
(Pascal)

J. A. Voss

Achei alguns logs dele tentando efetuar alguma operação via

http://www.xxxx.xxx.xx/forum/index.php?http://www.xxxxx.xxx.xx/forum/mobiquo/mobiquo.php

Talvez seja coisa do tapatalk.

Vamos ver.
Atenciosamente

João Alexandre Voss de Oliveira
-------------------
"Aquele que está acima da Geometria, está acima de nós."
(Pascal)

FragaCampos

Esse mobiquo é do tapatalk. Já experimentaste desinstalá-lo e ver o que acontece?

J. A. Voss

Sim, foi o que fiz agora mesmo.
Vou limitar o acesso ao fórum por alguns dias, mas vou poder verificar se está aí a brecha.
Abraço!

Atenciosamente

João Alexandre Voss de Oliveira
-------------------
"Aquele que está acima da Geometria, está acima de nós."
(Pascal)

J. A. Voss

Olá pessoal. O problema era no Tapatalk mesmo, desinstalei o mod e ele parou de criar essa nova conta.
Hoje instalei novamente, com arquivos "limpos", e adivinhem? Lá estava o usuário banido novamente tentando acessar.
Nas configurações do Tapatalk há uma opção "In-App Registration" e outra "Automatic approval for user registered from Tapatalk". Esta segunda estava marcada, eu desmarquei. Mas mesmo com a "In-App" desabilitada, ele consegue solicitar registro via app, só que agora eu recebo a notificação de que há um membro aguardando aprovação.

Me parece uma vulnerabilidade, já que meu registro, hoje, é totalmente manual. Mas o Tapatalk sobrepõe a política global de registros do fórum.

Vou dar por solucionado, ao menos a questão é menos de "invasão" e mais de problemas com o próprio mod Tapatalk.

Agradeço a ajuda dos amigos, um abraço e obrigado!
Atenciosamente

João Alexandre Voss de Oliveira
-------------------
"Aquele que está acima da Geometria, está acima de nós."
(Pascal)

FragaCampos

Não recebes nenhum erro no registo de erros do painel de administração a indicar tentativa de registo por spam através do tapatalk? Eu recebo sempre uns 10 por dia, o que indica que o próprio tapatalk bloqueia essas tentativas e nunca me aconteceu ter spam no fórum...

J. A. Voss

Olá Fraga, na verdade o que aparece nos logs é a tentativa de login. Não creio que ele chegue a acessar, as estatísticas mostram zero tempo logado no fórum.
Acho que ele conecta mas não navega.
O estranho é a recriação da conta, mesmo depois de excluída. A meu ver é uma falha.
Mas resolvi o problema com ele criando um grupo "banido", com zero de permissões, e colocando ele lá.
Assim, mesmo estando banido e com a conta bloqueada, ele cai nas permissões deste grupo.
Parei de me incomodar com isso, mantenho apenas o monitoramento.
Vou ter que conviver com isso, já que excluir o tapatalk geraria mais problema com a maioria dos usuários, que usa o mod.
Abraço!
Atenciosamente

João Alexandre Voss de Oliveira
-------------------
"Aquele que está acima da Geometria, está acima de nós."
(Pascal)

FragaCampos

É um caso realmente estranho, mas também não tenho conhecimentos para poder analisá-lo com maior profundidade.
No meu fórum, eu recebo esses registos de tentativa de criação de nova conta, mas nunca tive nenhuma falha dessas.
Seja como for, se tiveres conseguido conter o problema apenas a esse utilizador, menos mal.

Advertisement: