Арабы взломали всю хостинговую компанию из-за моего форума

[mxdd]

Рассказываю всё по порядку у меня IPB 1.3.1 FINAL Cо всеми апдэйтами что я нашёл на ibresource. То есть 5 которые включены в final версию и ещё 3 которые я нашёл здесь. Я так понимаю это всё? Никакие моды кроме русского языка я не ставил если память не изменяет.

 

Я не знаю взломали ли они меня вначале а потом через меня весь хост или наоборот. Думаю что хост небыло смысла ломать если бы они смогли сломать меня.

 

Какие советы будут? Я просто в ауте.

 

Что делать чтобы это не повторилось?

 

Был один юзер (новеньки) открыл тему ждал ответа админа то есть меня я ему ответил в эту тему через какое то время всё и произошло. Совпадение? Или есть такой метод?

[First]

1 Сменить такую хостинговую компанию!

2 Поставить свежую версию форума

[mxdd]

1 Сменить такую хостинговую компанию!

2 Поставить свежую версию форума

 

 

легче сказать чем сделать. Вы конечно же извините меня за наглость. Возможно сменю хостинг. Но как мне узнать что именно они сломали в начале. Хост а потом через хост меня или на оборот.

 

Сnоит ли винить мою версию IPB ? Есть люди кто разберается в хакерстве и может дать мне ответы на эти вопросы?

 

Вы представляете на сколько важно знать ответ для всех кто пользуется ipb? Устоял ли форум перед ними что это разозлило их настолько что они ломанули весь хост с тысячами аккаунтов?

 

У меня корявый враппер - может взломали через него?

 

 

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xml:lang="en" lang="en" xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<title><% TITLE %></title> 
<meta http-equiv="content-type" content="text/html; charset=windows-1251"/>
<% GENERATOR %> 
<% CSS %> 
<% JAVASCRIPT %> 
</head> 
<body>
<div align="center">
<table width="992" height="100%" border="0" cellpadding="0" cellspacing="0">
<tr>
<td width="86" valign="top" background="style_images/MB-704/bgl.jpg"></td>
<td width="820" align="center" valign="top" background="style_images/MB-704/bgm.jpg"><img src="style_images/MB-704/logo.jpg" width="820" height="155" alt="IPB" />
<div id="ipbwrapper">
<% BOARD HEADER %> 
<% NAVIGATION %> 
<% BOARD %> 
<% STATS %> 
<div align="center"><img src="style_images/MB-704/tf.gif" width="420" height="144" alt="IPB" /></div>
<% COPYRIGHT %>
</div>
</td>
<td width="86" valign="top" background="style_images/MB-704/bgr.jpg"></td>
</tr>
</table>
</div>
</body> 
</html>

 

Я понимаю что я сейчас говорю как полный ламер - но я пытаюсь указать на все возможные варианты о которых мне известно.

 

Может хоть кто-то в этом разбирается?

 

Я в ауте из-за того что мне надо открывать заново форум (Слава БОГУ что всё есть в бэкапе) и юзеры ждут - но нет смысла открывать до тех пор пока не будешь уверен в том из-за чего это произошло.

 

Я ничего не имею против Арабов - или пророка Мухаммада, благословенно имя его.

 

Но "прогибатся под изогнутый мир" я не собираюсь. И не хочу чтобы с кем нибудь из юзеров IPB повторилось что либо подобное что произошло сегодня со мной.

[Valera]

может взломали через него?

 

Скачай все логи со своего сайта(сервера) хттп, фтп, ссн и проанализируй их.

99% - там будет полная картина взлома

[yarweb]

Возможно сломали через старую XSS уязвимость

<title><% TITLE %></title>

<meta http-equiv="content-type" content="text/html; charset=windows-1251"/>

Здесь можно внедрить javascript в заголовок темы в кодировке UTF-7/8. Поэтому видимо и дожидался ответа в эту тему, потом кража куки и пошло поехало...

[mxdd]

может взломали через него?

 

Скачай все логи со своего сайта(сервера) хттп, фтп, ссн и проанализируй их.

99% - там будет полная картина взлома

 

Я не могу зайти даже в cpanel на хосте. к фтп могу. То есть логи ни как не могу скачать.

 

Уменя есть бэкам инвижиновский базы где-то за минуту то этого. По идее там есть нон исэншл дата. Может там есть айпишники этих гостей? В админ панэль мою вроди бы никто не залезал - хотя я не уверен. Япробил этого юзера который открыл тему. Айпишник "America Online".

 

Писать ли мне им в abuse? Или попробовать взять этого юзера на понт? Написав ему в его хотмэйловский ящик?

 

Возможно сломали через старую XSS уязвимость

<title><% TITLE %></title>

<meta http-equiv="content-type" content="text/html; charset=windows-1251"/>

Здесь можно внедрить javascript в заголовок темы в кодировке UTF-7/8. Поэтому видимо и дожидался ответа в эту тему, потом кража куки и пошло поехало...

 

Чо мне надо поменять чтобы это нельзя было сделать?

 

Ещё такой вопрос: если я скачиваю config_global через ftp на комп с сервера и вижу в нём свои скул пороли итп это нормально?

[Firewalll]

mxdd, признайся что там у тебя было стратегически важного, что разбойники пошли на такое убийство ради наживы. Можно в личку

 

Советую не игнорить мой пост к тебе.

[mxdd]

Написал в приват.

 

Ни чего связанного с деньгами там небыло.

[Song]

Рассказываю всё по порядку у меня IPB 1.3.1 FINAL Cо всеми апдэйтами что я нашёл на ibresource.

если вы искали тщательно, то наверно все поставили, но я например, когда поставил цель их все здесь найти, нашёл далеко не все.

Я чего хочу сказать, что если Вы поставили всё что здесь есть, это не значит, что ваш форум защищён полностью, т.к. официальная поддержка по версиям меньше 2.1.х практически не поддерживается. Может только на уровне критических уязвимостей.

[mxdd]

Рассказываю всё по порядку у меня IPB 1.3.1 FINAL Cо всеми апдэйтами что я нашёл на ibresource.

если вы искали тщательно, то наверно все поставили, но я например, когда поставил цель их все здесь найти, нашёл далеко не все.

Я чего хочу сказать, что если Вы поставили всё что здесь есть, это не значит, что ваш форум защищён полностью, т.к. официальная поддержка по версиям меньше 2.1.х практически не поддерживается. Может только на уровне критических уязвимостей.

 

 

Song,

 

Огромное спасибо всем за поддержку. Я сейчас уже перехожу на новый хост. На старом - остоватся не буду. Я полазил в сети скорее всего это их уязвимость.

 

Сейчас просто на последок мне нужно стереть базу (с хоста) на прощания не знаю чем и как (встроеный пхпадмин их не работает). Я рассказал хосту обо всём так они на меня погнали мол не фиг постить линки на сво сайт на непонятных форумах. Причём все юзеры на их саппортовом форуме меня поддержали и не винят меня. только их модэр погнал на меня. не важно, всё это мелочи.

[Firewalll]

mxdd, ты не виноват.

 

Дай теперь линк на тему на форуме сапорта в приват.

 

Не удевлюсь если после этой темы взломают Rusonyx-хостинг, где Ай-Би-Ресурс хостится

[mxdd]

Я подумал а не будет ли проблем у ibresource из-за этой темы может название этой национальности стоит заменить на какую нибудь более норктическую? А то мало ли что. Это вопрос к модэраторам.

[dimitry]

официальная поддержка по версиям меньше 2.1.х практически не поддерживается. Может только на уровне критических уязвимостей.

Ну и что же это получается, чтобы все переходили как можно скорее на платную версию 2.1.7 ?

[vasyast]

Ну и что же это получается, чтобы все переходили как можно скорее на платную версию 2.1.7 ?

И да и нет.

 

Хотите, сидите на 1.3 сколь угодно долго. Делайте бекапы базы каждый день и всё будет хорошо, бомбите интернет в поисках солюшин по заклейке дыр в 1.3.

 

Сабж улыбнул. Ждём 2.2.

[Lera]

А ты на каких хостах сидишь? На израильских ли случайно? тогда чего удивляешься? Их ломают с периодичностью, но никто тебе при покупке хоста этого не скажет. Хотя арабы часто бомбят хаками все израильские хосты. Изменено 9 Октября 2006 пользователем Lera

[Song]

vasyast

 

там нет дыр. В отличие от 2.х кстати.

[mxdd]

А ты на каких хостах сидишь? На израильских ли случайно? тогда чего удивляешься? Их ломают с периодичностью, но никто тебе при покупке хоста этого не скажет. Хотя арабы часто бомбят хаками все израильские хосты.

 

Lera,

 

Почти угадали. Только всё наоборот. Хост не израильский. Эти умельцы полазив по нашему форуму подумали что хост на котором мы сидим израильский и что хостит он израильские сайты. Это долгая история. тем более что адрес был *****.имя хоста.com. тк домэйн ещё не успели купить.

 

Я ещё там открыл тему о том какой у нас класный сервак с дуал ксеоновским процессором они наверное подумали что я тут блатной. Кароче пройти мимо и не нагадить для них было просто недопустимо. я думаю форум они таки не сломали- всем пользователям ipb можно спать спокойно. думаю они пытались но всё же решили взятся за хост в начале. Я как раз в то время сидел на форуме. Как только увидел их поздравления - снёс ререз фтп всё что было и заменил индэкс на новый. Админы хоста тем временем спали литоргическим сном в своей австралии или где-там. А умельцы решив что я ещё тут выпендриваюсь стерая их поздравления - да ктому же за серваком никто не смотрит. сменили поздравления уже на более грозные с рекламой чёрного чая " акбар" ну а дальше не трудно догадатся что там ещё им пишло в голову.

[Lera]

mxdd, не повезло, сочувствую. Арабы они и в Африке арабы.

[vasyast]

там нет дыр. В отличие от 2.х кстати.

Не будем лукавить, дыры в IPB 1.3 есть, если их не залатать. Как залатать - вопрос другой. Кстати сказать, дистрибутив с 1.3 дистрибутиву рознь. Даже у меня, далеко не корифея в этом деле, три разных дистрибутива с 1.3.

[mxdd]

Интуиция меня не подвела.

 

Вовремя ушёл с хоста. Хост опять взломали но уже без меня. Мой аккаунт пуст и база тоже скинута. хост опять взломан. Про админа молчу - он опять спит.

[Firewalll]

mxdd, не повезло, сочувствую. Арабы они и в Африке арабы.

+1. ЩАс прибегут и этот форум сломают. Я же папа римский.

[Song]

Не будем лукавить, дыры в IPB 1.3 есть, если их не залатать.

Ну они были. И конечно их латали.

Но уже очень давно нет ни одной критической уязвимости. Возможно, что-то находится из XSS.

А sql-inj по 2.1 прут постоянно. И будут переть.

 

Всё от того, что код 1.3 давно уже изучен, и там просто нигде ничему выпереть. А для 2.х появилось очень много фич, которые ещё не все изучены хакерами и можно ожидать, что их изучат.

[Garret]

Да, террористы не дремлют

 

Если через форум поломали весь хост, то от такого хостера нужно просто убегать.

[Firewalll]

Если через форум поломали весь хост, то от такого хостера нужно просто убегать.

Насколько я понял, наоборот. Через хостинг взломали форум.

[Denny]

Как раз через форум имеют весь хост Меня улыбнула тема, мдя, хостер отстойный походу. Уязвимости есть всегда, кто-то всё равно найдёт и это только вопрос времени. В 1.3 критических уязвимостей меньше, чем в 2.0 и 2.1 и это факт!

 

P.S. не обижайте талантливых людей, между хакерами и уголовниками (а взломщики сайтов являетются именно преступниками или уголовниками) нет ничего общего

[Destruction]

Не будем лукавить, дыры в IPB 1.3 есть, если их не залатать.

Ну они были. И конечно их латали.

Но уже очень давно нет ни одной критической уязвимости. Возможно, что-то находится из XSS.

А sql-inj по 2.1 прут постоянно. И будут переть.

 

Всё от того, что код 1.3 давно уже изучен, и там просто нигде ничему выпереть. А для 2.х появилось очень много фич, которые ещё не все изучены хакерами и можно ожидать, что их изучат.

Приватный SQL-Injection для 1.3 есть, точно говорю. Мне на моём тестовом форуме показывали (меня в группу забаненных перевели, в течении 3ёх секунд.. полюбому инъекция..), надо будет как-нибудь в логах покапаться, посмотреть, что к чему - всё лениво..

 

Суть не в том - есть уязвимости или их нет, суть в том, что для 1.3 их больше не оглашают, а 2.1 - новый продукт, народ выпендривается.

 

Сам имею достаточно тёмное прошлое, и могу заверить - взломщики оставляют некоторые уязвимости для персонального пользования, но впринципе - это не опасно.