Jump to content
Дизайн и модификация Invision Community IPBSkinsBETA
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
Zero108

Уязвимость IPB из-за функции поделиться ссылкой через е-мейл

Recommended Posts

post-32329-0-71703500-1357501080_thumb.jpg

 

Как стало известно из отзывов пользователей, данная функция позволяет боту или человеку, находящемуся в любой группе, а в основном это гости, отсылать спам куда угодно, компрометируя ваш домен. Это приводит к росту спама и заносу вашего домена в черный список спаммером, что приведет к тому, что любые, даже хорошие письма с вашего форума не будут доходить до адресатов.

 

Временной мерой является отключение данного сервиса.

 

Будет ли это признано багом и будет ли выпущено исправление, можно узнать тут.

 

В качестве примера, один из пользователей приводит sql команды, которые можно выполнить, чтобы просмотреть логи вашего форума.

 

Эта команда показывает, сколько писем отсылалось с вашего форума, используя функцию поделиться ссылкой через е-мейл:

 

SELECT DATE_FORMAT(FROM_UNIXTIME(log_date),'%Y-%m') log_date_result, COUNT(*) cnt FROM ibf_core_share_links_log WHERE log_share_key='email' AND log_data_type='topic' AND log_member_id=0 GROUP BY log_date_result, log_member_id ORDER BY log_date_result DESC;

 

Эта команда показывает, с каких ip выполнялись данные рассылки:

 

SELECT DATE_FORMAT(FROM_UNIXTIME(log_date),'%Y-%m') log_date_result, log_ip_address, COUNT(*) FROM ibf_core_share_links_log WHERE log_share_key='email' AND log_data_type='topic' AND log_member_id=0 GROUP BY log_date_result, log_ip_address ORDER BY log_date_result, COUNT(*) DESC;

 

В обеих командах префикс ibf_ заменить на ваш.

 

Ввести команду можно в админке или в phpMyAdmin. В админке команда вводится тут внизу страницы:

AdminCP -> Support -> SQL Management -> SQL Toolbox.

 

Отключить функцию рассылки писем через е-мейл можно тут:

AdminCP -> System -> Share Links -> Email (кликнуть карандаш справа) -> Enabled - No -> Save Chages.

  • Upvote 2

Share this post


Link to post

Когда-то давно, в 3.1 кажется эта проблема уже обсуждалась.

Тогда Мэтт придумал капчу там включить.

Share this post


Link to post

Зы, перевожу ТС в группу, к которой бот не пристает.

Share this post


Link to post

Спасибо.

 

Сейчас ReCaptcha взламывается ботами на раз. Для регистрирующихся на форуме антиспам помогает. А для рассылки по емейл ничего не поможет - ни каптча, ни-че-го.

Share this post


Link to post

1. Поставить нормальную капчу

2. Сделать доступным функцию только для зарегистрированных пользователей.

Share this post


Link to post

Отключила.

Надо сказать, что отключала когда-то эту функцию. Потом кейкапча появилась, включила.

 

А сейчас у нас капчи вовсе нет. Совсем забыла.

  • Upvote 1

Share this post


Link to post

1. Поставить нормальную капчу

2. Сделать доступным функцию только для зарегистрированных пользователей.

 

Стандартными средствами это не решить.

Share this post


Link to post

Проапгрейдился до 3.4.2. Теперь эта функция вообще не включается.

 

Официальное исправление будет только в версии 3.4.3. По великой милости IPS объяснило, как исправить самостоятельно на версии 3.4.2:

 

1. Открыть /admin/sources/base/core.php

 

Найти и удалить:

 

$skip[] = 'email';

 

2. Открыть /admin/applications/forums/modules_public/extras/forward.php

 

Найти и удалить:

 

/* Remove email share for now @link http://community.inv...m-people-r40680 */
	$this->registry->output->showError( 'forward_turned_off', 103240 );

 

3. Теперь нужно включить сам модуль и выставить права группам.

 

AdminCP -> System -> Share Links -> Email (кликнуть карандаш справа) -> Enabled - Yes -> Save Chages.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...