взломали PM ?

[rocket1]

Сегодня ночью произошел странный хак. Всем юзерам через PM пришло письмо со сылкой на троян. Письма PM пришли от ника 'admin', хотя я этот ник удалил на форуме давно. Т.е. произошла подстава.

 

Смотрю по логам апача - сначала очень много подряд запросов вида

GET /forums/?act=Members&name_box=all&max_results=50&filter=ALL&sort_order=asc&sort_key=name&st=0
GET /forums/?act=Members&name_box=all&max_results=50&filter=ALL&sort_order=asc&sort_key=name&st=50

(видимо хакер считывает базу ников на форуме)

 

потом много подряд запросов вида:

POST /forums/ HTTP/1.0" 200 8689

Вот в этом месте злоумышленник видимо вызывает процедуру отправки PM сообщения. Сообщений было отослано подряка 1500.

 

Ах, да... в самом начале логов было парочка обращений вида:

POST /forums/?act=Login&CODE=01 HTTP/1.0" 200 8702

Видимо хакер пытается авторизоваться на форуме/подобрать пароль? Как определить чью учетку пытались взломать и взломали ли?

По "пользовательским средствам" данный IP никак не пробивается.

 

Всё утро копаюсь в сырцах, мои мозги уже кипят - как можно такое осуществить? Неужели дыра на форуме IPB с отправкой PM?

Форум отключил до выяснения обстоятельств. Может посоветуете, как закрыть дыру?

[Song]

Простой бот, который считывает имена юзеров, регистрирует юзера, логинится под ним и отсылает PM'ки юзерами, имена которых взял.

[rocket1]

Ну-ну, бот зарегил ник 'admin' (от этого имени отсылались PM'ки)...

На самом деле никаких новых регистраций ночью не было, и ник 'admin' до сих пор свободный, незарегистрированный.

[Song]

2rocket1

 

такого не может быть, т.к. PM'ки не могут слать гости.

PM должна быть отослана от имени мембера, который должен присутствовать раньше или должен быть создан.

[rocket1]

Я догадываюсь, что PM'ки отсылать могут только зарегистрированные юзеры. Но как он отправил PM'ки от имени 'admin'? Вот в чем вопрос.

 

Может используется какой-то хитрый POST-запрос с нужными параметрами... Эксплоитов не нашёл.

[FatCat]

Посмотрел HTML-код страницы отправки сообщений, насторожил один инпут:

<input type='hidden' name='OID'  value='' />

Есть смутные подозрения, что если он будет непустым, в нем и передается ник отправителя.

[M-K]

Мне кажется это ПМ-спам. Если есть другие подозрения, то объясните назначение такого странного бота.

[Song]

Ты крайне проницателен

[emvader]

Есть такая заветная комбинация клавиш, которая ставит невидимый пробел (для некоторых браузеров), возможно, что перед словом (или в середине слова) "admin" есть этот невидимый символ...

[Jax]

Есть такая заветная комбинация клавиш, которая ставит невидимый пробел (для некоторых браузеров), возможно, что перед словом (или в середине слова) "admin" есть этот невидимый символ...

Отключи в именах коды chr(0xCA).

[Arhar]

там же сказано, что в рус-кодировках это не будет правильно обрабатыватся

[Jax]

Так и решение этой буквы "К" писали тоже где-то...

 

Если ты это имеешь ввиду.

[Arhar]

да, это

вот что нашел Уязвимости форумов Invision Power Board

оффтопик: Кошмар, сколько одинаковых вопросов.. люди не умеют пользоватся поиском

[Jax]

А тут юзеры шибко умные есть, так часто пользуются поиском... что даже и сказать нечего.

 

Arhar, спасибо за ссылку.

 

На самом деле там проблема не только с буквой "К", еще есть какая-то... решается аналогично.