Segurança

J. A. Voss · September 13, 2016, 10:48:43 AM

Prezados, estou com um problema em meu fórum.
Estou com o registro de novos membros desabilitados, eu tenho criado as contas manualmente.
Ocorre que há um usuário que consegue criar uma conta sempre, mesmo eu a tendo excluído várias vezes. E mesmo já tendo sido banido.
Excluo a conta e passados alguns dias ele consegue criar a mesma conta novamente. Não consegue fazer nada, já que está banido, mas eu tenho que excluir a conta de novo, só pra vê-la ativa novamente depois.
Já chequei as contas de administradores, que são quem tem permissão para criar contas de novos usuários, já alterei as senhas - para o caso de estarem usando uma delas -, mas mesmo assim não consigo impedir que essa conta seja criada.
O que pode ter havido? Sofremos alguma invasão com modificação em alguma porção de código que permita esse desvio e a criação dessa conta?
O SMF é o 2.0.11
Agradeço qualquer luz, obrigado!

Portugal · September 22, 2016, 01:18:06 PM

É muito estranho, tens algum MOD instalado que seja "duvidoso"? Ele usa sempre o mesmo email? e o IP? em vez de excluir a conta dele, faz apenas "Banir" tenta assim. Deixa depois alguma informação sobre isso.

margarett · September 23, 2016, 07:49:19 AM

Isso é estranhíssimo. Se tens os registos desabilitados é impossível criar contas sem ser pelo painel de administração...
Ou tens algum MOD que faz isso ou ele, de alguma forma, tem acesso à BD através de outro software que corras no teu site site ou através de um script malicioso.

O que tens pela frente é trabalhoso. Quando ele criar uma conta verifica com que IP o fez. Depois tens de consultar os logs do servidor (do Apache pelo menos) a apanhar todos as acções desse IP. Pela lista de acções podes chegar ao caminho que ele percorreu.

J. A. Voss · September 30, 2016, 05:40:26 PM

Sim, muito estranho. Hoje ele novamente fez login com a conta banida. Dessa vez eu não excluí a conta, apenas alterei a senha. Vamos ver se ele está acessando o BD. Não tenho nenhum mod novo instalado recentemente.

Sempre o mesmo username, sempre o mesmo IP.

De qualquer forma ele não consegue fazer nada, e a conta é uma conta comum, não de administrador.

Estou pensando em fazer uma reinstalação do zero, para passar a limpo todos os scripts no servidor.

Os logs do Apache eu não tenho como acessar, mas vou dar uma olhada no que consigo auditar.

Agradeço a ajuda, amigos.

Um abraço!

J. A. Voss · September 30, 2016, 05:44:31 PM

Achei alguns logs dele tentando efetuar alguma operação via

http://www.xxxx.xxx.xx/forum/index.php?http://www.xxxxx.xxx.xx/forum/mobiquo/mobiquo.php

Talvez seja coisa do tapatalk.

Vamos ver.

FragaCampos · September 30, 2016, 05:51:25 PM

Esse mobiquo é do tapatalk. Já experimentaste desinstalá-lo e ver o que acontece?

J. A. Voss · September 30, 2016, 05:55:37 PM

Sim, foi o que fiz agora mesmo.
Vou limitar o acesso ao fórum por alguns dias, mas vou poder verificar se está aí a brecha.
Abraço!

J. A. Voss · October 04, 2016, 06:29:42 PM

Olá pessoal. O problema era no Tapatalk mesmo, desinstalei o mod e ele parou de criar essa nova conta.
Hoje instalei novamente, com arquivos "limpos", e adivinhem? Lá estava o usuário banido novamente tentando acessar.
Nas configurações do Tapatalk há uma opção "In-App Registration" e outra "Automatic approval for user registered from Tapatalk". Esta segunda estava marcada, eu desmarquei. Mas mesmo com a "In-App" desabilitada, ele consegue solicitar registro via app, só que agora eu recebo a notificação de que há um membro aguardando aprovação.

Me parece uma vulnerabilidade, já que meu registro, hoje, é totalmente manual. Mas o Tapatalk sobrepõe a política global de registros do fórum.

Vou dar por solucionado, ao menos a questão é menos de "invasão" e mais de problemas com o próprio mod Tapatalk.

Agradeço a ajuda dos amigos, um abraço e obrigado!

FragaCampos · October 11, 2016, 01:00:16 PM

Não recebes nenhum erro no registo de erros do painel de administração a indicar tentativa de registo por spam através do tapatalk? Eu recebo sempre uns 10 por dia, o que indica que o próprio tapatalk bloqueia essas tentativas e nunca me aconteceu ter spam no fórum...

J. A. Voss · October 16, 2016, 06:30:50 PM

Olá Fraga, na verdade o que aparece nos logs é a tentativa de login. Não creio que ele chegue a acessar, as estatísticas mostram zero tempo logado no fórum.
Acho que ele conecta mas não navega.
O estranho é a recriação da conta, mesmo depois de excluída. A meu ver é uma falha.
Mas resolvi o problema com ele criando um grupo "banido", com zero de permissões, e colocando ele lá.
Assim, mesmo estando banido e com a conta bloqueada, ele cai nas permissões deste grupo.
Parei de me incomodar com isso, mantenho apenas o monitoramento.
Vou ter que conviver com isso, já que excluir o tapatalk geraria mais problema com a maioria dos usuários, que usa o mod.
Abraço!

FragaCampos · October 18, 2016, 01:58:16 PM

É um caso realmente estranho, mas também não tenho conhecimentos para poder analisá-lo com maior profundidade.
No meu fórum, eu recebo esses registos de tentativa de criação de nova conta, mas nunca tive nenhuma falha dessas.
Seja como for, se tiveres conseguido conter o problema apenas a esse utilizador, menos mal.

News:

Segurança