Взломали форум

[frosha]

Захожу утром на свой форум, вместо главной страницы надпись, что меня взломали и вообще, что любую систему безопасности можно взломать. Всё по английски. В конце дана почта ля контактов

 

Админка работает, пароль админа тоже работает, но вместо главной страницы мерзкий чёрный фон с аглийскими ругательствами.

 

Помогите, что делать?

Форум версии 2.2.1

[Brun_]

Проверяй null или покупай.

Если есть бэкап базы, то тебе поднимут и настроят.

[FatCat]

Классика. Залили шелл и модифицировали index.php. Или увели пароль ФТП и перезалили индекс.

Если угонщики с головой, могли еще и десяток других шеллов накидать; могли и из conf_global.php логин/пароль БД списать.

 

ИМХО, оптимальный вариант действий:

поменять пароль ФТП и пароль на БД; удалить под ноль все с хоста; залить файлы форума из бекапа (если есть) или установить заново форум; затем залить БД из бекапа.

[frosha]

Классика. Залили шелл и модифицировали index.php. Или увели пароль ФТП и перезалили индекс.

Если угонщики с головой, могли еще и десяток других шеллов накидать; могли и из conf_global.php логин/пароль БД списать.

 

ИМХО, оптимальный вариант действий:

поменять пароль ФТП и пароль на БД; удалить под ноль все с хоста; залить файлы форума из бекапа (если есть) или установить заново форум; затем залить БД из бекапа.

 

Бэкап базы у меня есть. Но более безболезненно всё нельзя сделать? Как найти файлы шелл на сервере? В папке emotion/default ничего нет.

 

Сам же хакнутый форум находиться по адресу forum.myski.info

[FatCat]

Как найти файлы шелл на сервере? В папке emotion/default ничего нет.

Если хакер не совсем детка, он может и не оставлять файлов, а модифицировать несколько имеющихся, добавив строку include $inc; и затем инклайдить и запускать с твоего хоста то, что ему вздумается.

Найти все возможные дыры, которые могли тебе наделать - даже и не представляю как.

[Nutsyy]

У меня абсолютно такаяже ситуация, тоже самое поменяли index.php, вставили фоновую картинку и создали папку 1, в которую и влили эту картинку!

[frosha]

У меня абсолютно такаяже ситуация, тоже самое поменяли index.php, вставили фоновую картинку и создали папку 1, в которую и влили эту картинку!

 

В главной директории или где?

[Nutsyy]

да, в главной дерриктории

[frosha]

Классика. Залили шелл и модифицировали index.php. Или увели пароль ФТП и перезалили индекс.

Если угонщики с головой, могли еще и десяток других шеллов накидать; могли и из conf_global.php логин/пароль БД списать.

 

ИМХО, оптимальный вариант действий:

поменять пароль ФТП и пароль на БД; удалить под ноль все с хоста; залить файлы форума из бекапа (если есть) или установить заново форум; затем залить БД из бекапа.

 

Всё так и сделал. Без изменений. Выходит взлом был где в самой sql.

Я просто в отчании...

Что делать???

[Nutsyy]

меня при том 2 раза так ломали!

[frosha]

меня при том 2 раза так ломали!

 

И что ты делал? Как выходил из ситуации?

Я переписал форум (единственное, я не стал всё стирать под ноль, может в этом мой просчёт?) и восстановил бекап базы. Ничего не изменилось.

 

Я вот думаю, они же могли и базу наверно переделать. И наверно это связано с таблицами, отвечающими за скины...

[Borland_delphi_6]

Могли изменения в БД внести запросто. Так что либо ищи их, либо бекап заливай, второе предпочтительней на мой взгляд. Ну и патчись, патчись, свежую версию PHP, Apache, MySQL.

[Nutsyy]

И что ты делал? Как выходил из ситуации?

Я переписал форум (единственное, я не стал всё стирать под ноль, может в этом мой просчёт?) и восстановил бекап базы. Ничего не изменилось.

 

Я вот думаю, они же могли и базу наверно переделать. И наверно это связано с таблицами, отвечающими за скины...

 

Ничгео я не делал, я так и не понял как ломали, и это проблема сервера или движка?

[abatsk]

Скорее всего эт отвоя проблемма. Может где то и на пинч напоролся. Да много ведь "добра" по инету болтается, сам понимаешь. Сносить нужно абсолютно все. Заново ставить.

[Relicious]

Держу такой же форум IPB 2.3.3 + Apache. Слава богу таких оказий не приключалось пока (тьфу-тьфу-тьфу). Возможно кто-то поделится соображениями насчет защиты от подобных взломов? Ведь как известно профилактика гораздо лучше, чем лечение.

[nalssur]

Тоже взломали, похоже. Симптомы: при попытке захода на форум - ошибка 502 bad gateway.

Хостеру звонил, он говорит - у нас всё ок, зайдите говорит по ssh и дайте команду top - там куча процессов.

Я так и сделал, и эту кучу увидел... так вот вопрос собственно - как это дело починить.

Удалить этот вирус или что там... пароли я уже сменил.

Перезаливать заново весь форум? А хотя бы скин, аватарки можно со старого взять?

 

Да, к слову - форум не нуленный. Обновление безопасности последнее сделал вчера, но проблемы начались на прошлой неделе ещё...

Изменено 3 Сентября 2008 пользователем nalssur