Перейти к контенту
  • 0

Взломал какой то гад :(

borchuk

Спросил borchuk,

 Поделиться

Вопрос

borchuk

borchuk

Опубликовано
Опубликовано

Стоит 2.0.0

 

Были замечены факты мелкого хулиганства. Одному из админов подменили аватар, подпись... отредактирован 1 пост..

 

 

Полез в админку.

Первое что заметил, что появились два "лишних" админа.

Первый - юзер который был пару дней в статусе Валидейтинг (с явно невалидным мылом, но я пока не стирал его)

Второй - одна девушка, которую я знаю достаточно чтоб утверждать что ничего злостного она сделать не могла...

 

Кто сделал их админами?

В админлогах на эту тему чисто. Все записи там идут подряд - т.е. даже ничего не потёрто.

 

Вывод: кто то писал запросы с апдейтами в базу напрямую.

Тут два варианта: хмырь узнал данные доступа к БД или каким то образом влез в админку и оттуда запросы посылал.

 

В таблице inf_members у второй "лишней" админки (невиновной девушки) - в поле legacy_password стояли несколько цифр. У всех остальных юзеров - пусто. Вот это меня настораживает....

 

 

А теперь вопрос:

Что такое legacy_password и каким образом было свершено вышеописанное...?

 

 

Поиск на эту тему ничего дельного не дал.

 

Заранее благодарен

Ссылка на комментарий
Поделиться на других сайтах

22 ответа на этот вопрос

Рекомендуемые сообщения

  • 0
David

David

Опубликовано
Опубликовано
Версия 2.0.0 имеет несколько уязвимостей, но писали же, что они исправлены в последубщих версиях и апдейтах.
Ссылка на комментарий
Поделиться на других сайтах
  • 0
borchuk

borchuk

Опубликовано
  • Автор
Опубликовано

David

 

Сменить файл index.php на тот что идёт в русской админке от Cepera - этого достаточно?

 

Там вроде как исправлено что то и доведено до 2.0.1....

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Iris

Iris

Опубликовано
Опубликовано

borchuk, дело в том, что могут залезать через пхпМойАдмин и через панель хостинга.

Надо связатьяс с хостером, сменить все пароли и поставить защиту на разделы и на админку.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
borchuk

borchuk

Опубликовано
  • Автор
Опубликовано

Iris

пароль на фтп и на панель хостинга (Мажордомо) я сменил ещё вчера

и на БД тоже...

 

не помогло однако...

 

Ещё не исключаю версию что у одного из админов сидит кейлоггер или ещё какая то дрянь и тогда сколько пароли не меняй - бесполезно

 

ставить 2.0.3 не особо хочется

Хочу честно юзать триал и мне не мешает что внизу написано триал...

 

Задаю ещё раз вопрос: что такое legacy_password и каким макаром этот гад используя его нагадил?

 

И есть ли среди пофиксенных багов в 2.0.2 и 2.0.3 - баги относящиеся к секюрити?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Iris

Iris

Опубликовано
Опубликовано

IPB 2.x Обновление безопасности

 

Invision Power Board v2.0.1 (security update)

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Наблюдатель

Наблюдатель

Опубликовано
Опубликовано
что такое legacy_password
Это скорее всего, юзер на старой версии конфы просил восстановление пароля, но так его и не провёл, а ты в этот момент поставил новую версию - двушку... и экспортировал базу в новый формат (в формат двушки). Можешь смело забить эти цифры... Пусть юзер из новой версии конфы запрашивает восстановление пароля...

 

Здесь самое простое - у тебя на сервере лежит некий скрипт-дырка, через которую злоумышленник получает доступ к conf_global и выдирает оттуда пароль к базе данных, которую и изменяет. Это может быть не обязательно скрипт конфы... Проверь наличие посторонних файлов - сделай ревизию на сервере... Хм... всегда полезно иметь полную копию сервера у себя на винте и делать время от времени СИНХРОНИЗАЦИЮ. При этом ВСЕ лишние, пропавшие или изменённые файлы, будут выявлены...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
loosingar

loosingar

Опубликовано
Опубликовано

Могу поздравить - СекьюритиЛаб спасет отцов русской демократии и т.п.

http://www.securitylab.ru/49632.html

http://www.securitylab.ru/49631.html

http://www.securitylab.ru/49630.html

 

Или даже так - поиск по слову:

http://www.securitylab.ru/?ID=1671&Search_String=invision

Ссылка на комментарий
Поделиться на других сайтах
  • 0
borchuk

borchuk

Опубликовано
  • Автор
Опубликовано

loosingar

Спасибо, но ничего нового в тех ссылках.

 

Описанные там уязвимости были пофиксены мной по мере их появления, о чём я уже писал выше отвечая Iris.

 

 

Наблюдатель

 

Старых версий не стояло.

Двушка с нуля.

И нафига ему делать админом ещё кого то.... ? Типа подставить хотел её? Детский сад ёлки палки..

 

На сервере чисто...

Основная версия о которой размышляю щас - это кейлоггер у кого то из остальных админов....

А если окажется что нет....? Что тогда? :D

Ссылка на комментарий
Поделиться на других сайтах
  • 0
d1pro

d1pro

Опубликовано
Опубликовано

borchuk

Поставь хук н а драйвер :D. Правда боюсь может притормаживать начать. А ты логи админов смотрел? Может там есть инфа, кто мог менять? Поставь мод, который о каждом доступе в админке тебе мыло шлет, может и получишь инфу, имеет ли чел доступ в ACP или инъекцию использует?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
David

David

Опубликовано
Опубликовано
просил уже у хостера.

не даёт он логи потому что не сохраняет их

а хостер-то хоть проверенный?

а то, может это он и играет от нечаделать...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Valera

Valera

Опубликовано
Опубликовано

Запаролить .htaccess oм, доступ к админке...

Так же давать доступ к админке только с определенных ip.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
warteam

warteam

Опубликовано
Опубликовано

поставь доп пасс на админку в самый верх admin.php добавь

 

function authenticate() {

 

header('WWW-Authenticate: Basic realm="Admin Area"');

 

header('HTTP/1.0 401 Unauthorized');

 

echo "Введи правильный пароль!!!\n";

 

exit;

 

}

 

if( !isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW']) )

 

authenticate();

 

if( !(($_SERVER['PHP_AUTH_USER'] == "тут логин") && ($_SERVER['PHP_AUTH_PW'] == "тут пароль")) ){

 

authenticate();

 

}

Ссылка на комментарий
Поделиться на других сайтах
  • 0
loosingar

loosingar

Опубликовано
Опубликовано

borchuk

Спасибо, но ничего нового в тех ссылках.

Описанные там уязвимости были пофиксены мной по мере их появления, о чём я уже писал выше отвечая Iris.

Это оптимизм, или я чего-то не понял? На странице http://www.securitylab.ru/49630.html дословно написано "Способов устранения обнаруженной уязвимости не существует в настоящее время". Правда здесь - http://www.securitylab.ru/49632.html - ни слова о багфиксе, а в третьей - http://www.securitylab.ru/49631.html - все пофиксено. СекьюЛабу, в плане закрытия багов, я верю больше чем ИнвизБорду.

 

В общем - попробуй сам себя ломануть вот этим - http://www.securitylab.ru/49632.html - чтобы убедиться, что пофиксено...

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен