заражён бэкап БД

[VVK]

Ситуация такая. Форум хакнули. За день до хака делал бекап. Решил восстановить форум, установить по новой и восстановить бэкап. Закачивал на сервак через файловый менеджер спанели и тут выдаёт что закачка невозможна, т.к. в бэкапе БД обнаружен вирус (видимо форум был сломан чуть раньше, но не проявлялось)

Что делать? Как восстановить БД?? На данный момент форум функционирует со старой заражённой БД, есть ли какой способ вылечить форум???

[VVK]

что никто способ не знает?

[Dekker]

а кто тебе сказал что там вирус ? тятя Каспер ?

[Fisana]

Небольшая работёнка

Видимо тот, кто на работенку согласился.

[Destruction]

Не совсем, предполагалось, что у него есть бекап БД до взлома, а что там после взлома - одному богу известно, а ручками всю БД не проверишь.

 

Я мог бы установить под текущую, но ко мне будут претензии, что что-то не то творится с форумом.

 

Что же может быть в БД? Представьте себе, пользователь в скин дописал сниффер или в БД, в подпись воткнул?... То-то же..

 

Я автору того топика сказал, что я не согласен так работать, тем более, за ту сумму.

[Fisana]

Снифферы ищутся.

Я после обновления с 1.3 вычислила и вычистила сниффер с форума.

На первое время засунула в антимат

[VVK]

ну и как его искать то?

[Fisana]

По-моему, запрос в базу делала. Нашла сниффер в одном посте...

Давно это было, в мае. Следовала советам с этого форума, кажется в теме про уязвимости вычитала способ...

[Destruction]

Понимаешь, Fisana, тут какое дело, посты, подписи и прочая хрень в БД хранятся в отпарсеном виде - в виде HTML.

 

Если я туда встрою сниффер - поверь, ты его найдёшь, либо полным перебором, либо зная, как он выглядит.

[Fisana]

Некому мне тогда было советы давать..

Я даже на этом форуме постить стеснялась..

Только читала и как ни странно справилась с этой и многими другими проблемами.

Ошибок и багов после обновления вылезло море + последствия взлома...

Кстати 15 марта будет ровно год как я поставила сервер на компе и локальный форум переехал ко мне..

Год назад я даже не знала, что такое IPB.

[Destruction]

А какие тут могут быть советы?

 

Максимум - попортить ХТМЛ-тэги везде, скриптом, но результат будет ужасный или же самому править, но это долго.

 

ЗЫ: IPB это такая штука ©.

[xRay]

Берем дапм базы "в руки" и вперед поиском ищем скрипты (с оглядкой на список уязвимостей чтобы более эфективно поиск продвигался)

руки и глаза лучший инструмент

[Dr.Freddy]

Можно попробовать так:

SELECT * FROM ibf_posts WHERE post LIKE '%document.cookie%';
SELECT * FROM ibf_skin_templates WHERE section_content LIKE '%document.cookie%';
SELECT * FROM ibf_skin_templates_cache WHERE template_group_content LIKE '%document.cookie%';

Глядишь, что и найдётся. Если не найдётся — пересоздать кэш скина, на всякий случай.

 

Другое дело, что анивирус такие вещи не найдёт. Скорее всего внутри архива ещё что-нибудь есть, нужно распаковать и пройтись по всем файлам.

 

P.S. «Работёнку», кстати, выполнял я. На тот момент были установлены все известные заплатки и троянов/сниффером в базе не лежало (я такие вещи с некоторых пор почти на автомате проверяю). Но с тех пор я тем форумом не занимался и кто там чего напихал, сказать, естественно, не могу.

[Destruction]

Я знаю еще огромное количество способов стырить кукисы.

[Dr.Freddy]

Я знаю еще три милиона способов стырить кукисы.

Отлично, пиши сюда, сколько вспомнишь. Будем пополнять копилку знаний!

 

Форум, кстати, скорее всего был взломан через уязвимость, появившуюся в конце января этого года, судя по периодике. Так что, скорее всего, нужно просто как следует уделить внимания безопастности. Первое — заплатки, второе... Методы уже много раз рассмтаривались — создать второй пароль / проверку на IP на входе в админку / при логине админа, например.

[Destruction]

Я знаю еще три милиона способов стырить кукисы.

Отлично, пиши сюда, сколько вспомнишь. Будем пополнять копилку знаний!

 

Форум, кстати, скорее всего был взломан через уязвимость, появившуюся в конце января этого года, судя по периодике. Так что, скорее всего, нужно просто как следует уделить внимания безопастности. Первое — заплатки, второе... Методы уже много раз рассмтаривались — создать второй пароль / проверку на IP на входе в админку / при логине админа, например.

Я свой пост через 15 секунд отредактировал, не гони.

 

Информация стоит денег, давай по баксу за каждый?

[Dr.Freddy]

Информация стоит денег, давай по баксу за каждый?

Понятно. Короче, если нечего сказать по делу, т.е. топику — молчи.

[Destruction]

Информация стоит денег, давай по баксу за каждый?

Понятно. Короче, если нечего сказать по делу, т.е. топику — молчи.

Есть :-)

eval("document"+"."+"cookie");

 

Переведи бакс, еще скажу

[Dr.Freddy]

Блин, тяжёлый случай Это не мне нужно, а автору топика. Он, заметь, просил безвозмездной помощи. Если ты максимум, на что тебя хватает — трясти понтами и требовать денег, встревать в тему смысла нет. Что я, впрочем, уже говорил.

 

Тысячу и один способ украсть кукисы действительно можно при вдумчивом изучении материалов / мануалов набросать (что мне в своё время и пришлось сделать, спасибо кулхацкерам ), но, повторяясь, я не думаю, что это в данном случае нужно. Характер взлома говорит не о краже куков, а о юзании уязвимости в сценарии. Да и не даст ничего этот перечень: чтобы искать, нужен нормальный опыт, а не мануал ткни-сюда-ткни-туда.

 

В общем:

• Делаем поиск в базе (и по тому, что указал Destruction в т.ч. — то есть для личного спокойствия парсим по отдельным словам Java-конструкции). Если скин дефолтный — от греха подальше перезагружаем его из чистой копии форума.
  
• Ставим все текущие на момент заплатки. Просим кого-нибудь из знакомых клиентов IBR сообщить последние новости клиент-форума — там, как правило, информация появляется быстрее, чем здесь.
  
• Защищаем админку вторым паролем, по возможности — по IP через .htaccess (примеры тут на форуме были).
  
• Ставим мод проверки входящих данных от Vi'сer'а (есть тут в архиве).
  

Для начала хватит.

Изменено 11 Марта 2006 пользователем Dr.Freddy

[Destruction]

Чтобы всё перечислить - уйдёт много времени, у меня не всё на слуху сейчас.

 

Отпарсим - не надо парсить, запустим поиск по БД на слово script и на moz-binding, так же неплохо бы проверить все картинкы, фреймы и прочую пакость, чтобы не ссылались на неизвестные сайты.

 

Найденное править по обстанке.

[Dr.Freddy]

В стандартной skin_templates 2.0.x «script» матчится 319 раз. Не думаю, что это метод, а туда снифферы частенько пихают.