ВЗЛОМАЛИ ФОРУМ

[tym]

Блин, я в шоке... Мне нужна помощь специалиста - без неё, я обречён.

Постараюсь рассказать всё по порядку и без матов.

 

Жил был у меня в локальной сети собственный форум версии Invision Power Board v2.2.2 IBR NULL-Sanyk36

 

Всё работало нормально, я был "Главным администратором", назначал себе модеров и просто администраторов... было зарегено уже около 30 пользователей. Я буду говорить все ники действую щих лиц - всё равно это ничего не изменит.

 

Итак, сижу я себе в админке... (1 страница в админке, вторая на главной - я так всегда делаю - удобно) Смотрю. появился обычный стандартный пользователь (именно пользователь!!!).

Я захотел через админку посмотреть его профиль (просто так): нажимаю на меню "Добавить\просмотреть пользователя" - а мне форум в админке пишет сообщение, похожее на это: "Вы не имеет прав". Я НЕ ВЫХОДЯ из админки посмтрел, что твориться на гоавной странице: смотрю - а там этот самый пользователь (у него ник Seno)уже светиться как Главный администратор (у меня для этой групы красный цвет) - я онемел... Пытаюсь зайти в "Личные данные" - мне говорит, что какоя-то проблема... думаю:"Странно"ю Решил выйти\зайти на форум... пишу свой ник и пароль - мнеговорит -- что НЕТ ТАКОГО. Я в шоковом состоянии регестрируюсь заного с таим же ником и паролем (1 нюанс - когда писал свои данные для регистрации: написало, что мой е-маил уже занят (ведь странно - такого пользователя НЕТ)). Захожу на форум как обычный "смертный", обращаюсь к этому новому "администратору" - на мою прозьбу дать мне его личные данные -- он меня БАНИТ. Я в страшно сердитом состоянии вырубаю форум (он находиться на мом кампе).

 

 

Вот такая вот бредовая история... Без совета профессионала никак. Это очень важно, ведь с Вашим форумом в любой момент может случиться также!!! Прошу помощи!!

 

У меня есть все файлы форума. Если надо, могу прислать или выложить некоторые из них, для ДЕТАЛЬНОЙ Помоши... БУДУ ВСЮ ЖИЗНЬ БЛАГОДАРЕН!!!

 

Можно ли как-то ручками, редактируя пшп файлы избавиться от этого администратора, узнать его айпи, восстановить форум (он там успел чего-то натворить...)

 

ПОМОГИТЕ!

[coguar]

1. Ты сказал форум на твоем компе? Как ты настраивал Мускл защиту?

По умолчанию там нет никаких паролей.

Потому полный идиот, зная адресс форума может соедениться к твоей БД и изменить ВСЕ что ему надо.

 

Это первое что пришло в голову.

Если уязвимость в самом коде форума, тогда тут сложно дать какой-то анализ.

 

2. Избавиться то можно, работая напрямую с базой данных.

Но сначала надо понять в чем дыра. Иначе он - пользователь, повторит операцию и все

Будешь все время от него избавляться а он как мазоль на пятке будет тебе мешать

[Kenny]

Прикольно, ты бы ещё написал, от куда "нулёвую" версию скачал =))

[absolvo]

Помогать тебе с нулленой версией, рискуя получить здесь бан - это просто верх безумия. Ровно как и просить оказать эту помощь.

[SomehaiN]

Invision Power Board v2.2.2 IBR NULL-Sanyk36

 

Вот и вся проблема

[Song]

2tym

 

Очень часто варезятники оставляют в форумах, которые они распространяют со своих сайтов, бэкдоры - скрипты через которые они могут взять такой форум на управление и сделать всё что угодно.

Вот такой же вопрос с 2.1.7: http://forum.sysman.ru/index.php?showtopic=10640

 

Поэтому ну что здесь посоветовать.. ищите дыру или устанавливайте хороший форум.

[tym]

1. Ты сказал форум на твоем компе? Как ты настраивал Мускл защиту?

По умолчанию там нет никаких паролей.

Потому полный идиот, зная адресс форума может соедениться к твоей БД и изменить ВСЕ что ему надо.

 

Это первое что пришло в голову.

Если уязвимость в самом коде форума, тогда тут сложно дать какой-то анализ.

 

2. Избавиться то можно, работая напрямую с базой данных.

Но сначала надо понять в чем дыра. Иначе он - пользователь, повторит операцию и все

Будешь все время от него избавляться а он как мазоль на пятке будет тебе мешать

1) Да, зашиты нет! Как её можно настроить? Пожалуйста, по точнее...

О уязвимости - врядли...

 

2) Пользуюсь я PHPMyAdmin. Как можно именно избавиться? Удалить базу? Кстати, похоже так и сделали... её можно как-то восстановить?

 

И, как насчёт восстановления? Можно восстановить(извлечь) темы, категории, форумы, список пользователей (зарегеных), ну и прочие данные???

 

Мне очень хотелось бы узнать айпи адрес этого "главного администратора"... можно ли о этом узнать из каких-то пшп файлов? Или ещё каким-то образом?

 

Помогать тебе с нулленой версией, рискуя получить здесь бан - это просто верх безумия. Ровно как и просить оказать эту помощь.

А в чём проблема? Что-то я не понимаю... Расскажи подробней!

 

Invision Power Board v2.2.2 IBR NULL-Sanyk36

 

Вот и вся проблема

А что именно не устраивает??? Это что, хуже чем Бета-версия?

 

2tym

 

Очень часто варезятники оставляют в форумах, которые они распространяют со своих сайтов, бэкдоры - скрипты через которые они могут взять такой форум на управление и сделать всё что угодно.

Вот такой же вопрос с 2.1.7: http://forum.sysman.ru/index.php?showtopic=10640

 

Поэтому ну что здесь посоветовать.. ищите дыру или устанавливайте хороший форум.

Насчёт варезятников - исключено!

 

А что для тебя "устанавливайте хороший форум"? Обоснуй, приведи примеры, посоветуй!

[Arhar]

Насчёт варезятников - исключено

да что вы говорите)))

а какже

NULL-Sanyk36

?

что это такое по вашему?

[tym]

Насчёт варезятников - исключено

да что вы говорите)))

а какже

NULL-Sanyk36

?

что это такое по вашему?

Ну, не знаю... Я видел и разные надписи (концовочки).. был уверен, что это псевдоним разработчика...

 

Это исключено, потому что доступ в инет мне закрыт, а в сети именно этого "Санька" - 100% нет...

[Sannis]

псевдоним разработчика

Пиип...

Разработчик - http://www.invisionpower.com/

А Sanyk36 - "варезятник"

[akura]

ищите дыру или устанавливайте хороший форум.

а вот просто интересно, каким образом можно/нужно искать дыры? тупо просматривать все сорцы, так это надо конструкцию форума знать как таблицу умножения.. или есть еще способ?

 

зы: ну чисто как технарь могу предположить поставить форум в локал и посмотреть, хотя бы, тем же файерволом не лезит ли что-нибудь куда-нибудь...

 

а если не лезит, а просто ждет запроса, тогда как?

[Song]

Есть проверка "антивирусом". Но не знаю насколько она действенна.

[tym]

Мне так никто внятно и не ответил... ладно, спрошу то, что меня сейчас больше всего интересует:

1) Можно ли восстановить информацию с форума, т.е. "взять" от туда темы, пользователей, иконки и т.д.???

2) Как узнать айпи адрес, пользуясь логами пшп???

[Valera]

1)

Можно есть ли есть бекапы или в текущей базе данных данная информация не разрущена.

 

2)

Некогда читать весь топик, то кто тебе мешает посмотреть логи пхп и самому посмотреть что там пишется? Что ты имеешь в виду под логами пхп? Если это записи об ошибках в скриптах, то найти ип адрес "кого?" скорее всего нереально.

[tym]

1)

Можно есть ли есть бекапы или в текущей базе данных данная информация не разрущена.

 

2)

Некогда читать весь топик, то кто тебе мешает посмотреть логи пхп и самому посмотреть что там пишется? Что ты имеешь в виду под логами пхп? Если это записи об ошибках в скриптах, то найти ип адрес "кого?" скорее всего нереально.

БД у меня нет. Есть только все файлы пшп.

Я имею ввиду записи. В данном случае, я хочу увидеть в каком-то пхп файле надпись, что типо "Ник - айпи - дата". Похожего ничего нет?

 

П.С. Раз дошло до такого, то посоветуйте нормальный ипб форум (чем новее, тем лучше)!

[Valera]

В данном случае, я хочу увидеть в каком-то пхп файле надпись, что типо "Ник - айпи - дата". Похожего ничего нет?

 

П.С. Раз дошло до такого, то посоветуйте нормальный ипб форум (чем новее, тем лучше)!

1. эти записи скрипт форума хранит в базе данных (в не в пхп скрипте)

 

2. "бесплатный" ipb 1.3 (где скачать на вскидку не помню)

[Mvo]

Сегодня Хакнули!

 

Хм.. В логах хацгера нет. Зато фтп:

 

< >alexd73 < >89-109-39-22.uac.dynamic.mts-nn.ru < > < > Disconnect

< >tipuss < >84.94.36.105.cable.012.net.il < > < > Disconnect

< >tipuss < >ip171-76.baltnet.ru < > < > Disconnect

 

http://forum.ru-board.com/topic.cgi?forum=28&topic=3003

http://tsbs.ru/forum/index.php?showtopic=2924

[Inkvezitor]

долой варезников! а те кто юзает нуль бан + штраф!

[milc]

а разве не могут взломать нормальный форум?

[idTails]

а разве не могут взломать нормальный форум?

Взломать можно всё!

Вот только уровень знаний тут варьируется.

Если ты себе обеспечил максимум безопасности, то взломать будет крайне трудно.

А если ты разъ*бай, имеешь один единственный трёхсимвольный пароль на всех ресурсах, где ты зарегин, то поломать тебя может любой недокулхацкер.

Изменено 8 Марта 2008 пользователем idTails

[milc]

и самое главное чаще делать бэкап базы данных

[Sannis]

И как верно процитировал тот кого взломали, зашли на FTP, т.е. имеем обычный случай хищения паряля от FTP с помощью трояна, IPB как всегда не при чём

[idTails]

И как верно процитировал тот кого взломали, зашли на FTP, т.е. имеем обычный случай хищения паряля от FTP с помощью трояна, IPB как всегда не при чём

А потом начинается ор, что ИПБ во всём виноват.

 

Очередная криворукость админа:

***** (13:54:58 7/03/2008)

меня долго в инете не было и мой форум загнулся...

 

-

id_Hydra (13:55:14 7/03/2008)

да лан загнулся?

он работает

 

-

***** (13:55:24 7/03/2008)

его ламали...

 

-

***** (13:55:28 7/03/2008)

но при мне

 

-

id_Hydra (13:55:39 7/03/2008)

Оо

х*я се

 

-

***** (13:55:54 7/03/2008)

а я тебе не говориЛ?

 

-

***** (13:56:28 7/03/2008)

а скиняра то супер...

 

-

id_Hydra (13:56:57 7/03/2008)

> а я тебе не говориЛ?

неа.

тока щас впервые слышу.

а как хакнули то?

 

-

***** (13:57:35 7/03/2008)

базу снесли... но мне повезло бекап был

 

-

***** (13:58:46 7/03/2008)

я переехал но блин этот форум все нервы мне измотал и сейчас он полуживой

 

-

id_Hydra (13:59:53 7/03/2008)

ясна.

а кто хакнуть то мог? не знаешь?

форум то тока зачаточное состояние проходит

 

-

***** (14:00:46 7/03/2008)

я трекерами занимаюсь сижу на форуме одном там люди не лохи может кто с форрума

 

-

***** (14:01:05 7/03/2008)

даже скорее всего

 

-

***** (14:02:56 7/03/2008)

поэтому больше IPB не ставлю vB рулит...

 

-

id_Hydra (14:03:11 7/03/2008)

))))

и вб хакнут

 

-

***** (14:03:29 7/03/2008)

я на том форуме больше не сижу..

 

-

***** (14:03:37 7/03/2008)

с трекерами завязал

 

-

id_Hydra (14:03:41 7/03/2008)

ясна

не нужно ставить бл*дский пиратский ипб с шеллами и хакать не будут!

90% даю, что хакнули через шел.

+хоть минимум нужно обеспечить безопасность в админке, ибо инструменты там все для этого есть.

твоя проблема - голова и руки.

 

поэтому больше IPB не ставлю vB рулит...

Т.е. из-за своей тупой башки он сделал такой вывод. =/

Ага, А Булка всё за него сделает. И от хацкеров сама отбиваться будет.

Изменено 8 Марта 2008 пользователем idTails

[milc]

за булку тоже платить придётся)))