Xenforo перехват сесии и XenCentral Multisite System

[nasa]

Закралось подозрение что перехватывают сесии пользователей, возможно ли такое и кто то может проверить за доп.плату.

 

[Hope]

Всё может быть, кто ж разберёт этих дебилов людей.

 

[_AMD_]

Установите на форум SSL сертификат. Смените все ссылки на картинки с http:// на https:// и запретите доступ к форуму через http://
Больше никто сессию и не украдет, как и куки. Да и пароли не перехватит.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

, который более, чем полтора года раздает SSL серты. Верить ему или нет решайте сами.
В качестве бесплатной альтернативы, но с геммором могу предложить startssl. Тоже халява. Еще есть cloudflare, но там для работы SSL нужно, чтобы было включено проксирование, что увеличит немного пинг.

 

[blessedness777]

Закралось подозрение что перехватывают сесии пользователей, возможно ли такое и кто то может проверить за доп.плату.

откуда такое подозрение ?)

 

[neqste]

Установите на форум SSL сертификат. Смените все ссылки на картинки с http:// на https:// и запретите доступ к форуму через http://
Больше никто сессию и не украдет, как и куки. Да и пароли не перехватит.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

, который более, чем полтора года раздает SSL серты. Верить ему или нет решайте сами.
В качестве бесплатной альтернативы, но с геммором могу предложить startssl. Тоже халява. Еще есть cloudflare, но там для работы SSL нужно, чтобы было включено проксирование, что увеличит немного пинг.

Добавлю еще по поводу SSL.
Дешевые сертификаты очень часто продают совместно с доменом (цена за домен + 1-2$ за хороший SSL сертификат)
Примеры: namecheap,

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

SSL слишком уж заумный, или wildcard не нужен, цена их для обеспечения должной безопасности до 20$ (обычно 5-10 в год)

 

[nasa]

ssl уже стоит, спасибо, действительно ли не перехводить сесию с ssl даже если будет xss уязвимость?

 

[neqste]

ssl уже стоит, спасибо, действительно ли не перехводить сесию с ssl даже если будет xss уязвимость?

а вам браузер покажет в статусе о том, что есть какой-то ресурс между сервером и вам, и значек измениться (особенно хорошо видно в хроме)

 

[nasa]

вообщем то проверил сайт на уязвимости сканером, нашел xss уязвимость и branch atack какую то

 

[neqste]

вообщем то проверил сайт на уязвимости сканером, нашел xss уязвимость и branch atack какую то

Существует скрипт (ai-bolit) который на скорую руку позволяет осуществлять поиск таких зловредов.

Лично если бы я нашел какую-либо уязвимость на сайте, мой алгоритм действий был бы следующим:

1. Сделать полную резервную копию всего и вся
2. Снести нафиг сервер, удалить все данные на дисках, переустановить дистрибутив
3. Создать новых пользователей для входа на сервер
4. Установить вход на сервер по ключам.
5. Установить веб-сервер связку (тут кто что любит (nginx, php5-fpm, mysql и т.п.))
6. Для начала сконфигурировать базу mysql_secure_intsallation
7. Создать совершенно другого пользователя с совершенно разными логинами и паролями
8. В конфиге ксена изменить их
9. Выдать пользователю который будет глядеть в базу mysql права только для базы форума
10. Выдать пользователю который будет глядеть в базу mysql только те права, которые ему нужны (обычно это select, insert, create, delete, update, (+ от ситуации зависит alter, drop)
11. Создал бы нового пользователя в отдельной директории специально для сайта
12. Залил бы чистый xenforo на хост, выдал бы права только на чтение не владельцам
13. И тут уже начинаются свистопляски с настройкой php, basedir, отключением ненужных функций, логированием php, логированием ошибок вебсервера, мускуля, и т.п.
14. пошаманил бы о том, как можно выдернуть самые нужные куски с базы которая бекапченная
15. внедрил бы все эти куски у себя на локалхосте в базу, поклацал, поднастроил что бы данные более\менее ок были.
16. Залил бы на хост и внедрил бы в базу
17. Установил заного темы (ПРОВЕРЕННЫЕ(!)), и недостающие аддоны.
    
18. Установил бы monit или похожий демон для мониторинга изменения файлов в папке.
19. Установил бы читалку логов (goaccess к примеру очень хорошо анализирует access.log), и начал бы анализировать как ломали сайт \ как заливали.
20. Установил бы что-то похожее на git для просмотра всех изменений в файлах. Т.е. даже если в следующий раз ломанут, можно всегда узнать какой файл редактировали, и куда заливали эксплоит.

Как-то так. Это конечно же не конкретно для вас информация, а просто пишу например для тех, кого взломали.
Ребят, обычный тупой шел без информации это как чума, нужно выжечь всё, что бы хоть как-то быть спокойным.
Я знаю много игровых серверов, где админы ГОДАМИ переносили свои сайты по площадкам с бекдорами.

 

[_AMD_]

Закралось подозрение что перехватывают сесии пользователей, возможно ли такое и кто то может проверить за доп.плату.

Было бы проще, если бы было больше данных, в частности,

откуда такое подозрение ?)