Перейти к контенту
  • 0

Взломали форум

frosha

Спросил frosha,

 Поделиться

Вопрос

frosha

frosha

Опубликовано
Опубликовано

Захожу утром на свой форум, вместо главной страницы надпись, что меня взломали и вообще, что любую систему безопасности можно взломать. Всё по английски. В конце дана почта ля контактов

 

Админка работает, пароль админа тоже работает, но вместо главной страницы мерзкий чёрный фон с аглийскими ругательствами.

 

Помогите, что делать?

Форум версии 2.2.1

Ссылка на комментарий
Поделиться на других сайтах

15 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
FatCat

FatCat

Опубликовано
Опубликовано

Классика. Залили шелл и модифицировали index.php. Или увели пароль ФТП и перезалили индекс.

Если угонщики с головой, могли еще и десяток других шеллов накидать; могли и из conf_global.php логин/пароль БД списать.

 

ИМХО, оптимальный вариант действий:

поменять пароль ФТП и пароль на БД; удалить под ноль все с хоста; залить файлы форума из бекапа (если есть) или установить заново форум; затем залить БД из бекапа.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
frosha

frosha

Опубликовано
  • Автор
Опубликовано
Классика. Залили шелл и модифицировали index.php. Или увели пароль ФТП и перезалили индекс.

Если угонщики с головой, могли еще и десяток других шеллов накидать; могли и из conf_global.php логин/пароль БД списать.

 

ИМХО, оптимальный вариант действий:

поменять пароль ФТП и пароль на БД; удалить под ноль все с хоста; залить файлы форума из бекапа (если есть) или установить заново форум; затем залить БД из бекапа.

 

Бэкап базы у меня есть. Но более безболезненно всё нельзя сделать? Как найти файлы шелл на сервере? В папке emotion/default ничего нет.

 

Сам же хакнутый форум находиться по адресу forum.myski.info

Ссылка на комментарий
Поделиться на других сайтах
  • 0
FatCat

FatCat

Опубликовано
Опубликовано
Как найти файлы шелл на сервере? В папке emotion/default ничего нет.

Если хакер не совсем детка, он может и не оставлять файлов, а модифицировать несколько имеющихся, добавив строку include $inc; и затем инклайдить и запускать с твоего хоста то, что ему вздумается.

Найти все возможные дыры, которые могли тебе наделать - даже и не представляю как.

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Nutsyy

Nutsyy

Опубликовано
Опубликовано
У меня абсолютно такаяже ситуация, тоже самое поменяли index.php, вставили фоновую картинку и создали папку 1, в которую и влили эту картинку!
Ссылка на комментарий
Поделиться на других сайтах
  • 0
frosha

frosha

Опубликовано
  • Автор
Опубликовано
У меня абсолютно такаяже ситуация, тоже самое поменяли index.php, вставили фоновую картинку и создали папку 1, в которую и влили эту картинку!

 

В главной директории или где?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
frosha

frosha

Опубликовано
  • Автор
Опубликовано
Классика. Залили шелл и модифицировали index.php. Или увели пароль ФТП и перезалили индекс.

Если угонщики с головой, могли еще и десяток других шеллов накидать; могли и из conf_global.php логин/пароль БД списать.

 

ИМХО, оптимальный вариант действий:

поменять пароль ФТП и пароль на БД; удалить под ноль все с хоста; залить файлы форума из бекапа (если есть) или установить заново форум; затем залить БД из бекапа.

 

Всё так и сделал. Без изменений. Выходит взлом был где в самой sql.

Я просто в отчании...

Что делать???

Ссылка на комментарий
Поделиться на других сайтах
  • 0
frosha

frosha

Опубликовано
  • Автор
Опубликовано
меня при том 2 раза так ломали!

 

И что ты делал? Как выходил из ситуации?

Я переписал форум (единственное, я не стал всё стирать под ноль, может в этом мой просчёт?) и восстановил бекап базы. Ничего не изменилось.

 

Я вот думаю, они же могли и базу наверно переделать. И наверно это связано с таблицами, отвечающими за скины...

Ссылка на комментарий
Поделиться на других сайтах
  • 0
Borland_delphi_6

Borland_delphi_6

Опубликовано
Опубликовано
Могли изменения в БД внести запросто. Так что либо ищи их, либо бекап заливай, второе предпочтительней на мой взгляд. Ну и патчись, патчись, свежую версию PHP, Apache, MySQL.
Ссылка на комментарий
Поделиться на других сайтах
  • 0
Nutsyy

Nutsyy

Опубликовано
Опубликовано
И что ты делал? Как выходил из ситуации?

Я переписал форум (единственное, я не стал всё стирать под ноль, может в этом мой просчёт?) и восстановил бекап базы. Ничего не изменилось.

 

Я вот думаю, они же могли и базу наверно переделать. И наверно это связано с таблицами, отвечающими за скины...

 

Ничгео я не делал, я так и не понял как ломали, и это проблема сервера или движка?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
abatsk

abatsk

Опубликовано
Опубликовано
Скорее всего эт отвоя проблемма. Может где то и на пинч напоролся. Да много ведь "добра" по инету болтается, сам понимаешь. Сносить нужно абсолютно все. Заново ставить.
Ссылка на комментарий
Поделиться на других сайтах
  • 0
Relicious

Relicious

Опубликовано
Опубликовано
Держу такой же форум IPB 2.3.3 + Apache. Слава богу таких оказий не приключалось пока (тьфу-тьфу-тьфу). Возможно кто-то поделится соображениями насчет защиты от подобных взломов? Ведь как известно профилактика гораздо лучше, чем лечение.
Ссылка на комментарий
Поделиться на других сайтах
  • 0
nalssur

nalssur

Опубликовано
Опубликовано (изменено)

Тоже взломали, похоже. Симптомы: при попытке захода на форум - ошибка 502 bad gateway.

Хостеру звонил, он говорит - у нас всё ок, зайдите говорит по ssh и дайте команду top - там куча процессов.

Я так и сделал, и эту кучу увидел... так вот вопрос собственно - как это дело починить.

Удалить этот вирус или что там... пароли я уже сменил.

Перезаливать заново весь форум? А хотя бы скин, аватарки можно со старого взять?

 

Да, к слову - форум не нуленный. Обновление безопасности последнее сделал вчера, но проблемы начались на прошлой неделе ещё...

Изменено пользователем nalssur
Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен