Мой форум сегодня взломали

Started by Vitat, May 31, 2005, 07:52:33 PM

Previous topic - Next topic

Vitat

Похоже через какие-то XSS.
Чел смог зарегиться под админом. Ну а дальше понятно что можно сделать.

Единственное, что отыскал
[remove link]

Как защититься?!!!

†MavN†

а у тебя версия форума какая ?? потому как на сколько мне известно то такой глюк есть у версии 1.0 насчет последующих ничего не известно

Vitat

1.0.3.
Выше нету.  :(
Можешь глянуть
Форум который был вскрыт

Пытась сейчас получить логи своего хостера.
Чел забанен по IP. Но это не выход.

†MavN†

посмотри еще логи которые сделал твой форум. Там тоже иногда бывает что полезное а вообще пройдя по всем секьюрити сайтам ничего не нашел может что то приватное появилось или где у тебя действительно что-то в скриптах завелось кстати просмотри если ты устанавливал какие то моды то может в них дырка найдена а ты не поставил новую версию. Плюс по возможности все таки просмотри права на твои файлы может чего то там намудрил. поставь на файл Settings.php chmod 600 типа только чтение для сервака ну и так ограничь через htaccess доступ к некоторым файлам. например полазив 2 минуты можно узнать /home/freerace/freerace.spb.ru/public_html/freerace_forum а если еще немного пошататься по твоему сайту то думаю можно еще что то найти одним словом сделай аудит своего форума

Хотя судя по этому ты наверное никаких модов не ставил
SMF 1.0.2 Update Package|^|smf_1-0-2_update.tar.gz|^|smf:smf_1-0-2|^|1.0.2b
SMF 1.0.3 Update Package|^|smf_1-0-3_package.tar.gz|^|smf:smf_1-0-3|^|1.0.3

и Кстати посмотри в правах  судя по стандартным настройкам у гостя больше прав нежели чем у новичка :D

Astrogallery

А какое именно сообщение написали при взломе форума, и с какого именно IP производился взлом? Дело в том, что у меня тоже была дня три назад подобная проблема. Если не хотите сюда писать, напишите мне в приват.

Vitat

#5
Quote from: Mavn on June 01, 2005, 04:24:46 PM
посмотри еще логи которые сделал твой форум. Там тоже иногда бывает что полезное
Он успел почистить за собой логи. Осталась только парочка записей о неправильном вводе пароля с его IP.
Quote from: Mavn on June 01, 2005, 04:24:46 PM
а вообще пройдя по всем секьюрити сайтам ничего не нашел может что то приватное появилось или где у тебя действительно что-то в скриптах завелось кстати просмотри если ты устанавливал какие то моды то может в них дырка найдена а ты не поставил новую версию.
Только то, что сам правил ручками. Сторонних модов я не ставил.
Quote from: Mavn on June 01, 2005, 04:24:46 PM
Плюс по возможности все таки просмотри права на твои файлы может чего то там намудрил. поставь на файл Settings.php chmod 600 типа только чтение для сервака
Благо я его на запись закрыть додумался.
Quote from: Mavn on June 01, 2005, 04:24:46 PM
ну и так ограничь через htaccess доступ к некоторым файлам. например полазив 2 минуты можно узнать /home/freerace/freerace.spb.ru/public_html/freerace_forum а если еще немного пошататься по твоему сайту то думаю можно еще что то найти одним словом сделай аудит своего форума
Подскажи каких плиз.
Quote from: Mavn on June 01, 2005, 04:24:46 PM
Хотя судя по этому ты наверное никаких модов не ставил
SMF 1.0.2 Update Package|^|smf_1-0-2_update.tar.gz|^|smf:smf_1-0-2|^|1.0.2b
SMF 1.0.3 Update Package|^|smf_1-0-3_package.tar.gz|^|smf:smf_1-0-3|^|1.0.3
А это ты как узнал???
Quote from: Mavn on June 01, 2005, 04:24:46 PM
и Кстати посмотри в правах  судя по стандартным настройкам у гостя больше прав нежели чем у новичка :D
Да ладно. ;) У гостя только две возможности: видеть голосования и видеть аттачи. Плюс во флейме да в работе форума писать может.
Quote from: Astrogallery.net on June 01, 2005, 04:57:10 PM
А какое именно сообщение написали при взломе форума, и с какого именно IP производился взлом? Дело в том, что у меня тоже была дня три назад подобная проблема. Если не хотите сюда писать, напишите мне в приват.
В полосе новостей была дописана строка "Forum hacked. Enjoy".
Когда я это заметил, то увидел, что появился в онлайне новый юзер с юзернеймом r4z0r1912 и с правами админа. Зашел в его профиль. Зарегился он минут 10 назад. Я удалил его из админов, но аккаунт оставил. Пока правил новости, да пытался понять что к чему, смотрю опять новость - "Forum still hacked. Enjoy". Я в профиль - чел уже аккаунт удалил сам и логи потер. Остались только сообщения о неправильном вводе пароля для аккаунта r4z0r1991 (т.е. логин и юзернейм отличаются). Ну я ничего более умного не придумал как забанить IP. Через несколько минут появилась запись о том, что чел заходил и ему было отказано в доступе.
Итого, он не вошел под существующим аккаунтом админа, он нового юзера смог сделать админом!
Сообщений с этого IP я не обнаружил. Да и походу не писал он сообщений. Я просмотрел базу, все сообщения за это время идут по порядку, значит ни одно сообщение не удалялось, а с этого IP сообщений нет. Вобще форум говорит, что в этом диаппазоне IP нет оставленых сообщений.
Вот только личные сообщения я не изучал, не подумал как-то. Точнее, сами сообщения я просмотрел, подозрительных нету. А вот на предмет удаленных сообщений не глянул.
IP принадлежит местному провайдеру "Северо-Западный Телеком" иначе spbnit. Он предоставляет доступ в интернет через восьмерку, т.е. через междугородный телефонный узел.
Я отправил письмо в саппорт ихний, вдруг они соблаговолят сообщить номер телефона, с которого звонил чел.
Разговаривал с Grudge. Ему нужны логи работы Аппача. Связался с нашим хостером. Неудача, он не включает ведение логов по умолчанию. Только по запросу. Так что логов работы нету. Сейчас конечно включил, на случай повторной атаки.

Вроде все что знал сказал. Если нужен будет конкретный IP этого юзера, сообщи.

Vitat

Да и ещё. У меня небыла включена активация через емаил. Я её только сегодня включил.

†MavN†

кстати у тебя логи сайта то вообще видутся чтобы потом можно было например посмотреть при помощи WebAlizer или AWstats ? потому как по ним тоже можно много чего узнать например к каким страницам он обращался и какие параметры передавал тем или иным скриптам одним словом посмотри узнай у хостера.

для начала забань все айпи анонимных прокси серверов чтобы так сказать если кто то заходить на твой сайт то ты видишь их реальные айпи а не анонимной прокси да и потом тебе будет проще поскольку если кто то будет пытаться ломать твой форум через них то уже подумает а стоит ли светить реальный айпи. Кстати сейчас этим занимаюсь на своем хосте, вот правда думаю банить при помощи чего PHP или htaccess как говорится пока заношу хосты в базу.

Относительно суппорта номер телефона тебе никто не даст его предоставляют только по постановлению суда и то только ментам. Так что остается только так сказать лопатить и пробавать поломать самому чтобы понять в чем проблемы.

Кстати если это будет интересно то могу предоставить хост на котором можно будет тренироваться во взломе самого форума. Предупреждение вот только не ломать моего хостера а то сидеть в местах не столь отдаленных. :)

Да еще чуть не забыл в принципе судя по документации к htaccess если у тебя статический адрес то можно прописать доступ к админке только с этого айпи что в принципе своего рода будет какой то защитой от того что никто не сможет с другого адреса зайти в админку.Можно также  поставить авторизацию на запуск и исполнение файла. Это вообще идея нужно попробовать :D о как глядишь еще что то придумаю :D. Если интересно то примеры могу выложить сейчас вот только для начала протестирую у себя ;D :P

Vitat

Я же написАл, логи сайта не велись!!!

†MavN†

увидел но править уже не стал

Astrogallery

Понятно, у вас совсем другой способ взлома был.

У меня было иначе: зашли с моего админского аккаунта, и стали постить на форум сообщения от моего имени с ссылками на их сайт, точнее на предложение скачать вирус. Причём, запостили одно новое сообщение, и два других сообщения других пользователей отредактировали, поменяв нормальную ссылку опять же на эту свою вирусную. Взлом был произведён российскими хакерами, но из Эстонии. Хотя теперь трудно что-либо утверждать, они ведь могли к прокси-серверу подключиться.

Вообще-то забанить их IP - для нас единственная защита. Другой придумать невозможно. А IP они могут без проблем сменить. Странное ощущение получается - делал всё, создавал, и на своём же форуме становишься бесправным, даже глупо. Одно радует: обычно хакеры просто взламывают чтобы похвастаться, и делают это всего один раз, и вовсе не с целью навредить.

Dimson

#11
http://antichat.ru/forum/showthread.php?t=5814 [nofollow]

Сообщите модератору, а то у меня не получается!


Grek.Kamchatka


Advertisement: