Advertisement:

Author Topic: Мой форум сегодня взломали  (Read 12779 times)

Offline Vitat

  • Semi-Newbie
  • *
  • Posts: 53
  • Gender: Male
Мой форум сегодня взломали
« on: May 31, 2005, 07:52:33 PM »
Похоже через какие-то XSS.
Чел смог зарегиться под админом. Ну а дальше понятно что можно сделать.

Единственное, что отыскал
[remove link]

Как защититься?!!!
« Last Edit: June 01, 2005, 08:58:01 AM by Vitat »

Offline †MavN†

  • Local Moderator
  • Sophist Member
  • *
  • Posts: 1,203
  • Gender: Male
  • MavnGroup
    • MavnGroup
Re: Мой форум сегодня взломали
« Reply #1 on: June 01, 2005, 09:29:21 AM »
а у тебя версия форума какая ?? потому как на сколько мне известно то такой глюк есть у версии 1.0 насчет последующих ничего не известно

Offline Vitat

  • Semi-Newbie
  • *
  • Posts: 53
  • Gender: Male
Re: Мой форум сегодня взломали
« Reply #2 on: June 01, 2005, 10:00:49 AM »
1.0.3.
Выше нету.  :(
Можешь глянуть
Форум который был вскрыт

Пытась сейчас получить логи своего хостера.
Чел забанен по IP. Но это не выход.

Offline †MavN†

  • Local Moderator
  • Sophist Member
  • *
  • Posts: 1,203
  • Gender: Male
  • MavnGroup
    • MavnGroup
Re: Мой форум сегодня взломали
« Reply #3 on: June 01, 2005, 04:24:46 PM »
посмотри еще логи которые сделал твой форум. Там тоже иногда бывает что полезное а вообще пройдя по всем секьюрити сайтам ничего не нашел может что то приватное появилось или где у тебя действительно что-то в скриптах завелось кстати просмотри если ты устанавливал какие то моды то может в них дырка найдена а ты не поставил новую версию. Плюс по возможности все таки просмотри права на твои файлы может чего то там намудрил. поставь на файл Settings.php chmod 600 типа только чтение для сервака ну и так ограничь через htaccess доступ к некоторым файлам. например полазив 2 минуты можно узнать /home/freerace/freerace.spb.ru/public_html/freerace_forum а если еще немного пошататься по твоему сайту то думаю можно еще что то найти одним словом сделай аудит своего форума

Хотя судя по этому ты наверное никаких модов не ставил
SMF 1.0.2 Update Package|^|smf_1-0-2_update.tar.gz|^|smf:smf_1-0-2|^|1.0.2b
SMF 1.0.3 Update Package|^|smf_1-0-3_package.tar.gz|^|smf:smf_1-0-3|^|1.0.3

и Кстати посмотри в правах  судя по стандартным настройкам у гостя больше прав нежели чем у новичка :D
« Last Edit: June 01, 2005, 04:59:51 PM by Mavn »

Offline Astrogallery

  • Jr. Member
  • **
  • Posts: 138
  • Gender: Male
    • Astronomy images
Re: Мой форум сегодня взломали
« Reply #4 on: June 01, 2005, 04:57:10 PM »
А какое именно сообщение написали при взломе форума, и с какого именно IP производился взлом? Дело в том, что у меня тоже была дня три назад подобная проблема. Если не хотите сюда писать, напишите мне в приват.

Offline Vitat

  • Semi-Newbie
  • *
  • Posts: 53
  • Gender: Male
Re: Мой форум сегодня взломали
« Reply #5 on: June 01, 2005, 05:42:43 PM »
посмотри еще логи которые сделал твой форум. Там тоже иногда бывает что полезное
Он успел почистить за собой логи. Осталась только парочка записей о неправильном вводе пароля с его IP.
а вообще пройдя по всем секьюрити сайтам ничего не нашел может что то приватное появилось или где у тебя действительно что-то в скриптах завелось кстати просмотри если ты устанавливал какие то моды то может в них дырка найдена а ты не поставил новую версию.
Только то, что сам правил ручками. Сторонних модов я не ставил.
Плюс по возможности все таки просмотри права на твои файлы может чего то там намудрил. поставь на файл Settings.php chmod 600 типа только чтение для сервака
Благо я его на запись закрыть додумался.
ну и так ограничь через htaccess доступ к некоторым файлам. например полазив 2 минуты можно узнать /home/freerace/freerace.spb.ru/public_html/freerace_forum а если еще немного пошататься по твоему сайту то думаю можно еще что то найти одним словом сделай аудит своего форума
Подскажи каких плиз.
Хотя судя по этому ты наверное никаких модов не ставил
SMF 1.0.2 Update Package|^|smf_1-0-2_update.tar.gz|^|smf:smf_1-0-2|^|1.0.2b
SMF 1.0.3 Update Package|^|smf_1-0-3_package.tar.gz|^|smf:smf_1-0-3|^|1.0.3
А это ты как узнал???
и Кстати посмотри в правах  судя по стандартным настройкам у гостя больше прав нежели чем у новичка :D
Да ладно. ;) У гостя только две возможности: видеть голосования и видеть аттачи. Плюс во флейме да в работе форума писать может.
А какое именно сообщение написали при взломе форума, и с какого именно IP производился взлом? Дело в том, что у меня тоже была дня три назад подобная проблема. Если не хотите сюда писать, напишите мне в приват.
В полосе новостей была дописана строка "Forum hacked. Enjoy".
Когда я это заметил, то увидел, что появился в онлайне новый юзер с юзернеймом r4z0r1912 и с правами админа. Зашел в его профиль. Зарегился он минут 10 назад. Я удалил его из админов, но аккаунт оставил. Пока правил новости, да пытался понять что к чему, смотрю опять новость - "Forum still hacked. Enjoy". Я в профиль - чел уже аккаунт удалил сам и логи потер. Остались только сообщения о неправильном вводе пароля для аккаунта r4z0r1991 (т.е. логин и юзернейм отличаются). Ну я ничего более умного не придумал как забанить IP. Через несколько минут появилась запись о том, что чел заходил и ему было отказано в доступе.
Итого, он не вошел под существующим аккаунтом админа, он нового юзера смог сделать админом!
Сообщений с этого IP я не обнаружил. Да и походу не писал он сообщений. Я просмотрел базу, все сообщения за это время идут по порядку, значит ни одно сообщение не удалялось, а с этого IP сообщений нет. Вобще форум говорит, что в этом диаппазоне IP нет оставленых сообщений.
Вот только личные сообщения я не изучал, не подумал как-то. Точнее, сами сообщения я просмотрел, подозрительных нету. А вот на предмет удаленных сообщений не глянул.
IP принадлежит местному провайдеру "Северо-Западный Телеком" иначе spbnit. Он предоставляет доступ в интернет через восьмерку, т.е. через междугородный телефонный узел.
Я отправил письмо в саппорт ихний, вдруг они соблаговолят сообщить номер телефона, с которого звонил чел.
Разговаривал с Grudge. Ему нужны логи работы Аппача. Связался с нашим хостером. Неудача, он не включает ведение логов по умолчанию. Только по запросу. Так что логов работы нету. Сейчас конечно включил, на случай повторной атаки.

Вроде все что знал сказал. Если нужен будет конкретный IP этого юзера, сообщи.
« Last Edit: June 01, 2005, 05:47:13 PM by Vitat »

Offline Vitat

  • Semi-Newbie
  • *
  • Posts: 53
  • Gender: Male
Re: Мой форум сегодня взломали
« Reply #6 on: June 01, 2005, 05:57:03 PM »
Да и ещё. У меня небыла включена активация через емаил. Я её только сегодня включил.

Offline †MavN†

  • Local Moderator
  • Sophist Member
  • *
  • Posts: 1,203
  • Gender: Male
  • MavnGroup
    • MavnGroup
Re: Мой форум сегодня взломали
« Reply #7 on: June 02, 2005, 02:13:59 AM »
кстати у тебя логи сайта то вообще видутся чтобы потом можно было например посмотреть при помощи WebAlizer или AWstats ? потому как по ним тоже можно много чего узнать например к каким страницам он обращался и какие параметры передавал тем или иным скриптам одним словом посмотри узнай у хостера.

для начала забань все айпи анонимных прокси серверов чтобы так сказать если кто то заходить на твой сайт то ты видишь их реальные айпи а не анонимной прокси да и потом тебе будет проще поскольку если кто то будет пытаться ломать твой форум через них то уже подумает а стоит ли светить реальный айпи. Кстати сейчас этим занимаюсь на своем хосте, вот правда думаю банить при помощи чего PHP или htaccess как говорится пока заношу хосты в базу.

Относительно суппорта номер телефона тебе никто не даст его предоставляют только по постановлению суда и то только ментам. Так что остается только так сказать лопатить и пробавать поломать самому чтобы понять в чем проблемы.

Кстати если это будет интересно то могу предоставить хост на котором можно будет тренироваться во взломе самого форума. Предупреждение вот только не ломать моего хостера а то сидеть в местах не столь отдаленных. :)

Да еще чуть не забыл в принципе судя по документации к htaccess если у тебя статический адрес то можно прописать доступ к админке только с этого айпи что в принципе своего рода будет какой то защитой от того что никто не сможет с другого адреса зайти в админку.Можно также  поставить авторизацию на запуск и исполнение файла. Это вообще идея нужно попробовать :D о как глядишь еще что то придумаю :D. Если интересно то примеры могу выложить сейчас вот только для начала протестирую у себя ;D :P
« Last Edit: June 02, 2005, 02:41:24 AM by Mavn »

Offline Vitat

  • Semi-Newbie
  • *
  • Posts: 53
  • Gender: Male
Re: Мой форум сегодня взломали
« Reply #8 on: June 02, 2005, 04:47:47 AM »
Я же написАл, логи сайта не велись!!!

Offline †MavN†

  • Local Moderator
  • Sophist Member
  • *
  • Posts: 1,203
  • Gender: Male
  • MavnGroup
    • MavnGroup
Re: Мой форум сегодня взломали
« Reply #9 on: June 02, 2005, 05:00:36 AM »
увидел но править уже не стал

Offline Astrogallery

  • Jr. Member
  • **
  • Posts: 138
  • Gender: Male
    • Astronomy images
Re: Мой форум сегодня взломали
« Reply #10 on: June 02, 2005, 04:37:45 PM »
Понятно, у вас совсем другой способ взлома был.

У меня было иначе: зашли с моего админского аккаунта, и стали постить на форум сообщения от моего имени с ссылками на их сайт, точнее на предложение скачать вирус. Причём, запостили одно новое сообщение, и два других сообщения других пользователей отредактировали, поменяв нормальную ссылку опять же на эту свою вирусную. Взлом был произведён российскими хакерами, но из Эстонии. Хотя теперь трудно что-либо утверждать, они ведь могли к прокси-серверу подключиться.

Вообще-то забанить их IP - для нас единственная защита. Другой придумать невозможно. А IP они могут без проблем сменить. Странное ощущение получается - делал всё, создавал, и на своём же форуме становишься бесправным, даже глупо. Одно радует: обычно хакеры просто взламывают чтобы похвастаться, и делают это всего один раз, и вовсе не с целью навредить.

Offline Dimson

  • Semi-Newbie
  • *
  • Posts: 14
Re: Мой форум сегодня взломали
« Reply #11 on: June 09, 2005, 03:58:44 AM »
http://antichat.ru/forum/showthread.php?t=5814 [nofollow]

Сообщите модератору, а то у меня не получается!

« Last Edit: June 09, 2005, 04:02:08 AM by Dimson »

Offline Grek.Kamchatka

  • Full Member
  • ***
  • Posts: 590
  • Gender: Male
    • My World - My Soarer!
Re: Мой форум сегодня взломали
« Reply #12 on: June 11, 2005, 06:51:14 PM »
В 1.0.4 пофиксили