Перейти к контенту
  • 0

Взломал какой то гад :(

borchuk

Спросил borchuk,

 Поделиться

Вопрос

borchuk

borchuk

Опубликовано
Опубликовано

Стоит 2.0.0

 

Были замечены факты мелкого хулиганства. Одному из админов подменили аватар, подпись... отредактирован 1 пост..

 

 

Полез в админку.

Первое что заметил, что появились два "лишних" админа.

Первый - юзер который был пару дней в статусе Валидейтинг (с явно невалидным мылом, но я пока не стирал его)

Второй - одна девушка, которую я знаю достаточно чтоб утверждать что ничего злостного она сделать не могла...

 

Кто сделал их админами?

В админлогах на эту тему чисто. Все записи там идут подряд - т.е. даже ничего не потёрто.

 

Вывод: кто то писал запросы с апдейтами в базу напрямую.

Тут два варианта: хмырь узнал данные доступа к БД или каким то образом влез в админку и оттуда запросы посылал.

 

В таблице inf_members у второй "лишней" админки (невиновной девушки) - в поле legacy_password стояли несколько цифр. У всех остальных юзеров - пусто. Вот это меня настораживает....

 

 

А теперь вопрос:

Что такое legacy_password и каким образом было свершено вышеописанное...?

 

 

Поиск на эту тему ничего дельного не дал.

 

Заранее благодарен

Ссылка на комментарий
Поделиться на других сайтах

22 ответа на этот вопрос

Рекомендуемые сообщения

  • 0
David

David

Опубликовано
Опубликовано
Версия 2.0.0 имеет несколько уязвимостей, но писали же, что они исправлены в последубщих версиях и апдейтах.
Ссылка на комментарий
Поделиться на других сайтах
  • 0
borchuk

borchuk

Опубликовано
  • Автор
Опубликовано

David

 

Сменить файл index.php на тот что идёт в русской админке от Cepera - этого достаточно?

 

Там вроде как исправлено что то и доведено до 2.0.1....

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Iris

Iris

Опубликовано
Опубликовано

borchuk, дело в том, что могут залезать через пхпМойАдмин и через панель хостинга.

Надо связатьяс с хостером, сменить все пароли и поставить защиту на разделы и на админку.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
borchuk

borchuk

Опубликовано
  • Автор
Опубликовано

Iris

пароль на фтп и на панель хостинга (Мажордомо) я сменил ещё вчера

и на БД тоже...

 

не помогло однако...

 

Ещё не исключаю версию что у одного из админов сидит кейлоггер или ещё какая то дрянь и тогда сколько пароли не меняй - бесполезно

 

ставить 2.0.3 не особо хочется

Хочу честно юзать триал и мне не мешает что внизу написано триал...

 

Задаю ещё раз вопрос: что такое legacy_password и каким макаром этот гад используя его нагадил?

 

И есть ли среди пофиксенных багов в 2.0.2 и 2.0.3 - баги относящиеся к секюрити?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Iris

Iris

Опубликовано
Опубликовано

IPB 2.x Обновление безопасности

 

Invision Power Board v2.0.1 (security update)

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Наблюдатель

Наблюдатель

Опубликовано
Опубликовано
что такое legacy_password
Это скорее всего, юзер на старой версии конфы просил восстановление пароля, но так его и не провёл, а ты в этот момент поставил новую версию - двушку... и экспортировал базу в новый формат (в формат двушки). Можешь смело забить эти цифры... Пусть юзер из новой версии конфы запрашивает восстановление пароля...

 

Здесь самое простое - у тебя на сервере лежит некий скрипт-дырка, через которую злоумышленник получает доступ к conf_global и выдирает оттуда пароль к базе данных, которую и изменяет. Это может быть не обязательно скрипт конфы... Проверь наличие посторонних файлов - сделай ревизию на сервере... Хм... всегда полезно иметь полную копию сервера у себя на винте и делать время от времени СИНХРОНИЗАЦИЮ. При этом ВСЕ лишние, пропавшие или изменённые файлы, будут выявлены...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
loosingar

loosingar

Опубликовано
Опубликовано

Могу поздравить - СекьюритиЛаб спасет отцов русской демократии и т.п.

http://www.securitylab.ru/49632.html

http://www.securitylab.ru/49631.html

http://www.securitylab.ru/49630.html

 

Или даже так - поиск по слову:

http://www.securitylab.ru/?ID=1671&Search_String=invision

Ссылка на комментарий
Поделиться на других сайтах
  • 0
borchuk

borchuk

Опубликовано
  • Автор
Опубликовано

loosingar

Спасибо, но ничего нового в тех ссылках.

 

Описанные там уязвимости были пофиксены мной по мере их появления, о чём я уже писал выше отвечая Iris.

 

 

Наблюдатель

 

Старых версий не стояло.

Двушка с нуля.

И нафига ему делать админом ещё кого то.... ? Типа подставить хотел её? Детский сад ёлки палки..

 

На сервере чисто...

Основная версия о которой размышляю щас - это кейлоггер у кого то из остальных админов....

А если окажется что нет....? Что тогда? :D

Ссылка на комментарий
Поделиться на других сайтах
  • 0
d1pro

d1pro

Опубликовано
Опубликовано

borchuk

Поставь хук н а драйвер :D. Правда боюсь может притормаживать начать. А ты логи админов смотрел? Может там есть инфа, кто мог менять? Поставь мод, который о каждом доступе в админке тебе мыло шлет, может и получишь инфу, имеет ли чел доступ в ACP или инъекцию использует?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
David

David

Опубликовано
Опубликовано
просил уже у хостера.

не даёт он логи потому что не сохраняет их

а хостер-то хоть проверенный?

а то, может это он и играет от нечаделать...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Valera

Valera

Опубликовано
Опубликовано

Запаролить .htaccess oм, доступ к админке...

Так же давать доступ к админке только с определенных ip.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
warteam

warteam

Опубликовано
Опубликовано

поставь доп пасс на админку в самый верх admin.php добавь

 

function authenticate() {

 

header('WWW-Authenticate: Basic realm="Admin Area"');

 

header('HTTP/1.0 401 Unauthorized');

 

echo "Введи правильный пароль!!!\n";

 

exit;

 

}

 

if( !isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW']) )

 

authenticate();

 

if( !(($_SERVER['PHP_AUTH_USER'] == "тут логин") && ($_SERVER['PHP_AUTH_PW'] == "тут пароль")) ){

 

authenticate();

 

}

Ссылка на комментарий
Поделиться на других сайтах
  • 0
loosingar

loosingar

Опубликовано
Опубликовано

borchuk

Спасибо, но ничего нового в тех ссылках.

Описанные там уязвимости были пофиксены мной по мере их появления, о чём я уже писал выше отвечая Iris.

Это оптимизм, или я чего-то не понял? На странице http://www.securitylab.ru/49630.html дословно написано "Способов устранения обнаруженной уязвимости не существует в настоящее время". Правда здесь - http://www.securitylab.ru/49632.html - ни слова о багфиксе, а в третьей - http://www.securitylab.ru/49631.html - все пофиксено. СекьюЛабу, в плане закрытия багов, я верю больше чем ИнвизБорду.

 

В общем - попробуй сам себя ломануть вот этим - http://www.securitylab.ru/49632.html - чтобы убедиться, что пофиксено...

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен