public marks

PUBLIC MARKS from bacon with tags forum & Segurança

July 2008

falhas de segurança do antigo xoops 2.0 + módulos

<div style="text-align:center;"><strong>-=[ <a href="http://xoops.homeip.net/">xoops</a> - <a href="../../../modules/d3forum/index.php?forum_id=16">segurança</a> ]=-</strong> <table border="0" align="center"><tbody><tr><td>-::data</td> <td>-::descrição</td> <td width="9">-::relacionadas </td> <td width="9"> </td> <td width="9">-::descarregar </td> <td width="9"> </td> </tr><tr class="submit"><td nowrap="nowrap" width="62">2008-06-08</td> <td nowrap="nowrap" width="375"><a href="http://milw0rm.com/exploits/5756">xoops module uploader 1.1 (filename) file disclosure vulnerability</a></td> <td nowrap="nowrap" width="9" valign="middle" align="center"><a title="related releases" href="http://milw0rm.com/related.php?program=xoops">r</a></td> <td nowrap="nowrap" width="9" valign="middle" align="center"> </td> <td nowrap="nowrap" width="9" valign="middle" align="center"> <a title="download" href="http://milw0

May 2008

テイルズオブジアビス

eis uma proposta que estou já faz meio período pensando. ir onde está o ninja é a campanha. como temos vários módulos do xoops japão traduzidos e atualizados lá no fórum de traduções para o xoops, pegar as pastas pt_utf8 e mandar lá para o gijoe, o que me falta é um tempo para fazer isso, quem puder por favor faça sem êxito. outra coisa sobre o ninja é na verdade para ele se sentir realmente incomodado com nossa presença, eu já estou a 1 mês no xoops china, quero ver ele aparecer por lá. hehe o ninja está conversando com o pessoal e quer traduzir o oreteki (o super xoops de segurança), mas o coitado terá um certo problema envolvendo compatibilidade, codificação, etc. izzy alguém disse: "wer mit ungeheuern kämpft, mag zusehn, dass er nicht dabei zum ungeheuer wird. und wenn du lange in einen abgrund blickst, blickt der abgrund auch in dich hinein."

October 2007

módulo de redirecionamento de url

este seria util em caso de desativação de módulos por questão de segurança ou troca de módulos por terem mais funções. você colocaria a url velha e a nova. poderia ter uma função que pegaria a estrutura da url antiga gerando sequencias tipo =2 =3 =4 e montar equivalente para nova bom para módulo que teve um bom uso tipo artigos ou quem sabe até fórum. então podemos pegar por exemplo um artigo. site.com.br/modules/wf-sections/article.php?articleid=xxx. e converter para: site.com.br/modules/smartsection/item.php?itemid=xxx. e quem sabe mostrar uma menssagem atualize seu favorito o endereço agora é. assim não perderia visitas como links em buscadores ou citações em outros portal etc. para portais de grande visitação seria uma mão na roda. isto serviria para avisos também, caso não exista módulos com a mesma função. depois com o tempo pode remover os redirecionamentos também acho q

newbbex foi atualizado, versão 1.4

toda confusão tem fundamento. originalmente ono portou newbb que deu origem ao xhnewbb módulo by gijoe que deu origem a newbbex. se puderem comparar o código irão entender;-) a evolução depois foi maior com o gijoe e o xhnewbb que informei acima. mas todos seriam a mesma linhagem que seria o newbb. já o cbb embora tenha vindo também da versão 2.0 do newbb, foi totalmente remodelado pelo phppp. tanto faz escolher a versão de hervé ou de gijoe, irão ter um bom e rápido fórum. por questões de segurança, eu ficaria com o xhnewbb. xoops

newbbex foi atualizado, versão 1.4

100% que não. o problema é que segundo o gijoe, esta é uma versão final. se não houver um erro claro de segurança, não iremos mais ter atualizações para este módulo de fórum. gijoe está investindo todas as fichas no d3-forum. a big diferença entre o newbexx e o cbb por exemplo é a velocidade e simplicidade. o cbb utiliza uma quantidade de memória incrivel e trabalha muito mais lento. pelo menos até a versão 3.0.9 by phppp. com as modificações feitas por wizanda, as coisas mudaram muito e o cbb está muito mais rápido. mas esta não é uma versão oficial do desenvolvedor e só pode ser encontrada no svn do wizanda. ;-)

catads, os anúncios só aparecem para o associado que enviou!

gilvan, antes de mais nada, seja muito bem-vindo ao xoops e esperamos que faça desta a sua casa em xoops no brasil. o seu primeiro tópico aqui foi muito bem elaborado e desta forma sempre a galera do suporte tende a dar prioridade por saber exatamente o que se passa em seu ambiente. também dentro do possível, enviar o endereço de onde o módulo foi baixado ajuda muito o pessoal. muitas vezes não usamos o módulo e a única maneira de tentar a solução é também instalar este módulo para testar em um ambiente similar ao seu informado acima. mas vamos lá. muito cuidado com o catads e principalmente versões antigas como esta. ele no passado teve problemas sérios com segurança e se puder utilizar outro módulo como xdirectory ou outro seria bom. sobre o catads o que está ocorrendo é que parece que dentro da administração no endereço publicado você precisa liberar para outros utilizadores ou grupos. em geral como se trata de anúncios é que se

smf um otimo fórum! agora no xoops

desculpe pela demora na resposta! não podemos deixar coisas sem resposta porque sempre tem alguém fazendo pesquisas. por enquanto a versão da bridge é beta, faça os teste meio sem compromisso quando chegar numa rc versão candidata podemos ter um pouco mais de segurança. bom a versão agora esta é beta 2 no endereço abaixo: http://simplemachines.org/community/index.php?topic=173730.0 e parece que só funciona no momento bem com a versão 1.2 do fórum o usuário broham passou passo a passo para fazer um amarração ao máximo entra a integração dos 2 aqui: http://simplemachines.org/community/index.php?topic=173730.msg1141553#msg1141553 o bridge é algo que não acho muito legal, mas é o que temos seria legal mesmo era utilizar apenas uma tabela de utilizadores compartilhado entre os 2. sobre sua pergunta a pasta smf do pacote bridge vai dentro da pasta modules do xoops. o fórum em si vai fora como tu fez, depois que instalar o bridg

cadastro + ativação + login = é possível?

bom esta forma que você deseja já existe sim, mas seria em forma de um hack. o criador é o gijoe e pode ser feito baixando o pacote neste site: http://xoops.peak.ne.jp/ depende muito da versão que você está utilizando. o próprio criar adverte para problemas relativos a segurança e deverá utilizar isto por sua conta e risco. agora este hack não faz apenas isto que você deseja, ele faz mais ainda. ele consegue fazer com que cada vez que você retorne no portal ele tente de alguma forma registrar você automáticamente para não ser necessário digitar o login. se isto for o que você deseja, está na mão. xoops

September 2007

gijoe abandonado o xoops?

na verdade o que o izzy falou foi bem assim mesmo, e de lá para cá não tivemos mais a ótima companhia do gijoe no xoops.org, mas a vida seguiu em frente e ele criou ótimos módulos até a versão 2.0.13 do xoops.org e jp. com o lançamento de uma versão que na verdade era uma adaptação de segurança que foi recolhida da versão 2.0.13 jp, o skalpa introduziu na versão 2.0.14 um diferencial que modificava a forma como os templates iriam ser lidos a partir de então pelos módulos e também os temas. nasce uma nova geração de temas que permitia que você tenha templates especiais para cada módulo apenas usando os diretório modules de dentro do tema mesmo. embora isto fosse muito interessante, quebrava um outra forma do xoops trabalhar que era a de ir ao banco de dados na segunda opção. o gijoe percebendo que isto pode dar problemas para quem desenvolve temas e também para proteger e garantir estes templates, sugeriu uma simples modificação no núcleo do xoops para c

August 2007

contact 1.6 no xoops 2.0.16exm com problemas

deve ter alguma opção nas preferências do módulo que permite habilitar a senha de segurança. veja se tem alguma referência à "captcha"

impedir listagem de diretorios, conteúdo no portal

agora a perguntinha esperta pq aqui no se eu tento listar o diretório(da mesma maneira que no meu site) aparece uma mensagem que falta de permissão. e o conteudo não é mostrado. o que foi feito? pode ser compartilhado? porque o servidor que o xoops está instalado não permite a visualização de arquivos mesmo quando não há um arquivo index.html, php ou outro que impeça a visualização. é um aumento de segurança. uma outra coisa que você pode fazer é criar o .htacess com uma das seguintes linhas: indexignore * ou. options -indexes sendo que ambas opções não permitirão mais que o diretório seja listado (mesmo não havendo o index na página) porém se você quiser listar alguns tipos de arquivos inclua a seguinte linha e adicione todos os tipos de arquivos a

July 2007

mainfile permissão de escrita

é estranho, até porque em tese o diretório todo onde fica o portal deveria prover acesso restrito aos dados de acordo com as permissões que você atribuiu. ainda, quanto mais recursos você puder inserir para proteger melhor. mesmo sendo remota a possibilidade de alguém ter alterado as permissões, impossível não é.às vezes até foi algum esquecimento, não sei te dizer. mas se você tomar as medidas de segurança necessárias e vir que isto continua acontecendo, aí sim tem que abrir o olho e ver se ninguém está mexendo no teu site. outra coisa, verifique todas as pastas com chmod 777 se elas contém alguma informação estranha ou mesmo algum arquivo com cara de malicioso.

June 2007

erro módulo oscommerce

somente um alerta, muito cuidado com módulos que obrigam a utilização de [ register_globals = on ] e estando em servidores com serviços de hospedagem compartilhados. muitas falhas de segurança tem iniciado por este motivo.

alerta! ataques a portais com xoops

poxa pessoal, tive 2 portais invadidos em 20 dias! por sorte não houveram maiores vandalismos, e consegui recuperar tudo rapidamente. os dois portais estavam usando o xoops 2.0.13 e ambos tinham o xt-conteúdo com o editor spaw. o problema é que meus utilizadores já estão muito acostumados com o spaw! não posso apagar agora! os dois ataques ocorreram de grupos diferentes, um era brasileiro e outro era da turquia. verifiquei as pastas com permissão de escrita (uploads, templates_c e cache) e achei os arquivos 'estranhos'. provavelmente as falhas de segurança usadas foram divulgadas em algum fórum e agora esses grupos de hackers estão usando contra portais xoops. isso também teria alguma relação com o problema do phpmailler? na dúvida, vou atualizar para o x2.0.16 e tentar mudar o spaw. para os outros colegas com portais em xoops, só digo uma coisa: backup neles!

cuidado, injeção no comando do phpmailer em xoops

traduzido via google: embora este é um vulnerability fatal (da repentino-morte), não é o ajuste do defeito. se você ousar mudar o valor do mailmethod do “do correio php ()” ao “sendmail”, mudá-lo aos outros valores. eu liberei apenas protector-3.04 com esta verificação. se você deixar tal ajuste, o protetor alerta do “o furo da segurança phpmailer! mudar as preferências do correio do “sendmail” a outras, ou promover a direita do núcleo agora!” a você. original by gijoe: refer. http://larholm.com/2007/06/11/phpmailer-0day-remote-execution/ though this is a fatal (sudden-death) vulnerability, it is not the default setting. if you dare estou change the value of mailmethod from "php mail()" estou "sendmail", change it estou the other values. i've just released protector-3.04 with this check. if you leave such a setting, protector alerts "phpmailer security hole

xoops 2.0.17 ou 2.2.4? qual versao estavel e mais nova?

pessoal tenho uma dúvida, visantando alguns portais sobre xoops tipo linorg e o proprio xoops, notei mudancas em relação ao meu portal, por exemplo: 1- na versão de cadastro do xoops na parte da senha mostra uma barra que indica se a senha e segura ou nao; 2- no linorg a parte do contato tem um código de segurança que deve ser digita para verificar se é realmente você que esta enviando; com base nisso gostaria de saber se isso faz parte de alguma versão especial ou se é programação a mais do administrador do portal. alem disso no fórum de traduções para o xoops o pessoal indica a versão 2.0.16 como a estavel e mais recente, porém no linorg e o xoops parana usam versão 2.2.4, e já vi em alguns portais comentarios sobre uma nova versão 2.0.17 que á mais recente, porém não oficial. então alguém pode me esclarecer estas duvida? e ainda se possivel me passar o endereço para a versão correta e estavel. o brigado, jucerlandio ol

span versus xfguestambémook

vamos lá tentar resolver este problema. 1 - tu precisa estar usando uma versão do xoops como estas, 2.0.13.2, 2.0.15 ou 2.0.16 2 - localize a última versão deste módulo e mande o endereço aqui. vamos ver se eu ou alguém aqui poderá lhe ajudar em um passo a passo, mas você precisa passar as etapas que já está fazendo para o pessoal se animar a ajudar. :) observação: removido o tópico que estava neste endereço para tentar a solução por aqui. [url=http://www.xoopscube.com.br/modules/newbb/viewtopic.php?topic_id=8030&order=0&viewmode=flat&pid=0&forum=16]alerta! ataques a portais com xoops[/url] ps2: vamos deixar aquele tópico apenas para as questões de reportes e soluções sobre segurança. após a solução, aí sim podemos mandar um tópico lá falando desta questão e sua recomendação. obrigado.

versão 2.0.17 by herve

foi lançado recentemente uma versão não oficial do xoops que foi intitulada de 2.0.17 com diversas correções de problemas e algumas coisas inovativas na questão de segurança. mas independente de se esta será oficial ou não o que está em pauta aqui é a iniciativa. como sabemos já de longa data não temos qualquer pronunciamento do time de desenvolvimento e as novas iniciativas não tem sido aproveitadas, vide a versão xoops méxico exm e a versão simple-xoops.de , grande trabalho ambas por sinal mas que não tiveram a mínima atenção no xoops.org a minha ideia aqui é solicitar a comunidade brasileira que se não quer ou não pode responder no tópico abaixo, que vote. se acha que a iniciativa é importante, vote 5 se acha que ela não foi importante, vote 1, mas votem companheiros, não custa nada, é apenas um click. amanhã poderemos estar na mesma situação tendo uma versão com diversas caracteristicas interessantes também e nada seria aproveitado?

May 2007

search do xoops não indexa soapbox

vamos lá. primeiramente. porque migrar tudo? baixa a versão do wfsections que te passei na primeira resposta. o john (catz), autor do módulo, disponibilizou uma versão que roda com php4 e php5 e ainda corrigiu todas as falhas de segurança de seus módulos e deixou tudo para download. então pode continuar usando o wfsections (agora n versão 2.92) sem medo, ok? agora sobre o php. nada que um bom google não resolva. para entender as melhorias e vantagens dele. sobre o xampp. depois de instalado ele fica automaticamente na versão 5 do php. [url=http://apachefriends.org/pt_br/xampp-windows.html]entre neste link[/url] e veja todos os detalhes de como usá-lo.

search do xoops não indexa soapbox

não é bem a resposta que você queria, mas [url=http://addons.zarilia.com/uploads/xoops_wfsection_v2.92.zip]clique aqui[/url] para baixar o wfsections 2.92 com todas as correções de brechas de segurança e compatível com php5, ok?

invasão, portal misteriosantigos.com

olá luciana, que versão você realmente me aconselharia "versão 2.0.15 ou a versão 2.0.16? - recomendo a versão 2.0.16, mais nova e mais atualizada. os módulos tb, escolha os mais novos, porque geralmente eles vem atualizados também na questão da segurança. posso fazer download dessas versões aqui? - recomendo descarregar do xoops.org e baixar a tradução mais recente que tiver no fórum de traduções. - há também a opção da versão do méxico (xoops-mexico.net) que tem a área administrativa com novo visual. (tradução para o português disponível também no fórum de traduções) mas com relação ao banco de dados, você pode me dar uma ajuda por aqui? - se o seu servidor usa o cpanel para a administração da conta, basta clicar em banco de dados mysql, nesta pá

articles não contando leitura dos artigos

faz o seguinte. o articles 1.02 tem uma grave falha de segurança. atualize para o 1.03 [url=http://support.sirium.net/modules/mydownloads/viewcat.php?cid=2]através deste link[/url] e depois de atualizar o módulo pelo gerenciamento de módulos veja se ele voltou o contador

April 2007

segurança dos diretorios, chmod, ?

colegas, como sou adepto de uma boa pesquisa. segue o endereço para vocês pesquisarem sobre .htaccess. tem muita coisa boa por aí! http://www.xoopscube.com.br/modules/newbb/viewtopic.php?topic_id=4964&forum=16&viewmode=flat&order=asc&start=0 até mais

dúvida sobre logs do protector

alguém pode dar outras dicas? mas para mim é tentativa de invasão e esta seria a forma que podem estar usando. alias, estes locais são pontos já conhecidos de falhas de segurança no passado. se estiver usando a versão 2.0.15 ou 2.0.16 não deverá ter problemas. observação: eu espero.

catads, tipo de anúncio

pode ser permissões, mas cuidado, veja lá a versão que está usando. existe histórico recente de falhas de segurança com ele. atenção. !