Перейти к контенту
  • 0

Взлом 2.3.x (неизвестный способ получения пароля)


Skiw

Вопрос

Первый взлом спустя полтора года после запуска.

Вошли через админку, под пользователем номер 1.

С начала смотрели профайлы потом вошли в админку под пользователем номер 1.

Мы заметили после того, как перестали авторизироваться все пользователи, кроме тех, кто не выходил из форума и не перелогинивался.

Проапдейтили "_members_converge",просто в тупую в converge_pass_salt прописали одно и то-же всем. По логам апача видно, что слили себ всю "_members_converge".

Восстановил из бакапа.

Через несколько часов опять, с того-же IP уже грамотнее, попробовали слить дамп базы, но видать обломались, т.к. трафик был около 5 метров, а база в сжатом состоянии до 100 метров, в несжатом больше 300. Слили опять "_members_converge" и "_members", нагадили по другому - заменили converge_email на всякую фигню, соответственно пользователи обломались при входе и при попытке восстановить пароль.

Опять восстановил с бакапа, забанил IP, забанил пользователя номер 1. Через полчаса зашли в админку под другим пользователем и поправили шаблоны, прописали фрейм-вирус. Перенёс админку, поставил на неё ограничение по IP.

Пока тишина. Жаль только что слили базу e-mail, уже начали приходить запросы на регистрацию в других форумах под нашими мылами.

 

Чем они воспользовались? Маловероятно, что пароли были скомпроментированы.

Версия "почти" последняя, заплатки безопасности все установлены.

Изменено пользователем Arhar
Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0
Первый взлом спустя полтора года после запуска.

Вошли через админку, под пользователем номер 1.

С начала смотрели профайлы потом вошли в админку под пользователем номер 1.

Мы заметили после того, как перестали авторизироваться все пользователи, кроме тех, кто не выходил из форума и не перелогинивался.

Проапдейтили "_members_converge",просто в тупую в converge_pass_salt прописали одно и то-же всем. По логам апача видно, что слили себ всю "_members_converge".

Восстановил из бакапа.

Через несколько часов опять, с того-же IP уже грамотнее, попробовали слить дамп базы, но видать обломались, т.к. трафик был около 5 метров, а база в сжатом состоянии до 100 метров, в несжатом больше 300. Слили опять "_members_converge" и "_members", нагадили по другому - заменили converge_email на всякую фигню, соответственно пользователи обломались при входе и при попытке восстановить пароль.

Опять восстановил с бакапа, забанил IP, забанил пользователя номер 1. Через полчаса зашли в админку под другим пользователем и поправили шаблоны, прописали фрейм-вирус. Перенёс админку, поставил на неё ограничение по IP.

Пока тишина. Жаль только что слили базу e-mail, уже начали приходить запросы на регистрацию в других форумах под нашими мылами.

 

Чем они воспользовались? Маловероятно, что пароли были скомпроментированы.

Версия "почти" последняя, заплатки безопасности все установлены.

на чате уже давно обсуждают какую-то дыру в форуме, но никто не палится какая именно, которая позволяет сломать любой форум. самое главное админку спрячь и запароль на уровне http. но все равно смогут воспользоваться функциями глобалмодератора.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

в общем отчет о взломе не дает никаких наводок о способе взлома, только говорится о действиях после получения пароля, а это нам не интересно, нам интересно - СПОСОБ ПОЛУЧЕНИЯ ПАРОЛЯ

а для этого надо сменить ВСЕ пароли

после чего отслеживать на уровне апача все запросы к сайту

Ссылка на комментарий
Поделиться на других сайтах

  • 0

надо запросы к базе некоторые отслеживать и писать например в файл или в базу. Через пару недель идёшь собирать урожай.

А по запросу поймёшь как ломали.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Ещё неплохо поставить блокирование учётной записи после первой же неудачной попытки авторизироватся. И повторную разрешить лишь через 5 минут. За...тся пароль подбирать.
Ссылка на комментарий
Поделиться на других сайтах

  • 0

Угу. Ставишь бота, чтобы он ломился под админом - и админ не может зайти на свою борду. Т.к. лок.

 

Шоколадно.)

Ссылка на комментарий
Поделиться на других сайтах

  • 0
А как он узнает логин админа?
посмотреть в списке администрация, редко у кого отображаемое имя и логин разные :D

 

Skiw а можешь показать access.log по этому ip?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
А как он узнает логин админа?

Эммм...зайдёт на форум и посмотрит...

Как правило админ это юзер с ID 1. Это технический момент....

Ссылка на комментарий
Поделиться на других сайтах

  • 0
редко у кого отображаемое имя и логин разные :D

Если так, то тогда попал ...

 

Вообще у админа знаний может не быть, но голову на плечах, желательно иметь.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
а что мешает вообще вырезать из админки панель управления мускулом(бекап, запросы)? думаю будет безопасней в этом плане, и работать постоянно с пхпмайадмин
Ссылка на комментарий
Поделиться на других сайтах

  • 0
на чате уже давно обсуждают какую-то дыру в форуме, но никто не палится какая именно, которая позволяет сломать любой форум. самое главное админку спрячь и запароль на уровне http. но все равно смогут воспользоваться функциями глобалмодератора.

 

админку спрятал, доступ к ней теперь только по определённым ИП.

"но все равно смогут воспользоваться функциями глобалмодератора" - это о чом ?

 

в общем отчет о взломе не дает никаких наводок о способе взлома, только говорится о действиях после получения пароля, а это нам не интересно, нам интересно - СПОСОБ ПОЛУЧЕНИЯ ПАРОЛЯ

а для этого надо сменить ВСЕ пароли

после чего отслеживать на уровне апача все запросы к сайту

 

если б я знал, как они это сделали, я б написал.

смысл пароли менять, если тут не в пароле дело - на второй день зашли под логином, у которого пароль был изменён перед этим.

 

надо запросы к базе некоторые отслеживать и писать например в файл или в базу. Через пару недель идёшь собирать урожай.

А по запросу поймёшь как ломали.

 

логов апача не достаточно ?

 

Skiw а можешь показать access.log по этому ip?

 

щас

Ссылка на комментарий
Поделиться на других сайтах

  • 0

если я сказал, значит так надо!

если он может украсть пароль, то он мог украсть все пароли, а это значит, что их пора менять.

после чего он не сможет войти под готовым паролем и СНОВА ПРОВЕДЕТ НАБОР ДЕЙСТВИЙ ПО УГОНУ ПАРОЛЯ

только мы будем готовы вести логи и вычислим как

а вычислить это можно логируя запросы к серверу, принимаемые от клиента данные типа QUERY_STRING или POST данных тоже было бы неплохо видеть

 

а проще как сказал Сонг, логировать все запросы в ips_kernel/class_db*

Ссылка на комментарий
Поделиться на других сайтах

  • 0
А как он узнает логин админа?
посмотреть в списке администрация, редко у кого отображаемое имя и логин разные :D

 

Skiw а можешь показать access.log по этому ip?

 

файл - РАР архив

 

если я сказал, значит так надо!

если он может украсть пароль, то он мог украсть все пароли, а это значит, что их пора менять.

админовские пароли сменены, пользователей менять не заставишь ;)

после чего он не сможет войти под готовым паролем и СНОВА ПРОВЕДЕТ НАБОР ДЕЙСТВИЙ ПО УГОНУ ПАРОЛЯ

только мы будем готовы вести логи и вычислим как

может быть, только после блокировки ИП и переноса админки он не появляется, как вариант он уже получил что хотел.

а вычислить это можно логируя запросы к серверу, принимаемые от клиента данные типа QUERY_STRING или POST данных тоже было бы неплохо видеть

 

а проще как сказал Сонг, логировать все запросы в ips_kernel/class_db*

я логи апача выложил, остальное пока не логируется

access_log.rar.txt

Изменено пользователем Skiw
Ссылка на комментарий
Поделиться на других сайтах

  • 0

как вариант, его спугнули

не нашел ничего нереального

он почему-то посмотрел вкладку темы в профиле админа (id=1), а потом уже входит в ац

есть подозрение, что пароль он уже знал, либо в файлах, связанных со вкладкой тем при просмотре профиля есть шелл, меняющий пароль на известный фиксированный

 

что за файл /vote/test.php , что там

 

потом он тоже посмотрел вкладку тем у пользователя id=887, потом тоже оказался в админке

 

там делает запрос в таблицу ibf_members_converge

 

между этим мусор из главной страницы сайта

 

потом через пару часов форум 31, тема 8, страница (540 делить на количество сообщений на странице)

 

потом снова админцентр (между темой 8 и следующим входом в ац прошло 10 часов)

 

в админцентре управление sql, таблица ibf_members_converge, там пост запрос в нее, неизвестно какой

 

89.232.124.193 - - [17/Feb/2009:00:04:39 +0200] "GET /forum/admin/index.php?adsess=692cb2371b2cb554d38366a3379d1c03&section=admin&act=sql&code=export_tbl&tbl=ibf_members_converge HTTP/1.1" 200 273944 "http://www.mysite.ua/forum/admin/index.php?adsess=692cb2371b2cb554d38366a3379d1c03&section=admin&act=sql" "Opera/9.63 (Windows NT 5.1; U; ru) Presto/2.1.1"
89.232.124.193 - - [17/Feb/2009:00:04:48 +0200] "GET /forum/admin/index.php?adsess=692cb2371b2cb554d38366a3379d1c03&section=admin&act=sql&code=export_tbl&tbl=ibf_members HTTP/1.1" 200 681248 "http://www.mysite.ua/forum/admin/index.php?adsess=692cb2371b2cb554d38366a3379d1c03&section=admin&act=sql" "Opera/9.63 (Windows NT 5.1; U; ru) Presto/2.1.1"
89.232.124.193 - - [17/Feb/2009:00:05:00 +0200] "GET /forum/admin/index.php?adsess=692cb2371b2cb554d38366a3379d1c03&section=admin&act=sql&code=export_tbl&tbl=ibf_member_extra HTTP/1.1" 200 149517 "http://www.mysite.ua/forum/admin/index.php?adsess=692cb2371b2cb554d38366a3379d1c03&section=admin&act=sql" "Opera/9.63 (Windows NT 5.1; U; ru) Presto/2.1.1"

скачаны таблицы пользователей, в том числе все пароли, успешно

 

ну и попытка дампа всей бд, возможно отменено самим пользователем

все

Ссылка на комментарий
Поделиться на других сайтах

  • 0
как вариант, его спугнули

не нашел ничего нереального

он почему-то посмотрел вкладку темы в профиле админа (id=1), а потом уже входит в ац

есть подозрение, что пароль он уже знал, либо в файлах, связанных со вкладкой тем при просмотре профиля есть шелл, меняющий пароль на известный фиксированный

 

что за файл /vote/test.php , что там

 

потом он тоже посмотрел вкладку тем у пользователя id=887, потом тоже оказался в админке

 

там делает запрос в таблицу ibf_members_converge

 

между этим мусор из главной страницы сайта

 

потом через пару часов форум 31, тема 8, страница (540 делить на количество сообщений на странице)

 

потом снова админцентр

 

в админцентре управление sql, таблица ibf_members_converge

 

там пост запрос в нее, неизвестно какой

 

ну и попытка дампа бд

все

 

 

форум 31, тема 8 это "Баги, глюки и предложения по работе ФОРУМА" - тема, в которой говорилось о том, что на форуме происходит

 

/vote/test.php - показывает результаты опроса, который есть на сайте, там ничего военного

 

"в файлах, связанных со вкладкой тем при просмотре профиля есть шелл" - если и заливали, то давно, т.к. с 12-го мы поменяли хостинг, а на новом хостинге проверили и никаких изменений в файлах после начальной заливки небыло, сейчас сверю файлы наши с начальной поставкой, может чего найду.

 

дамп ему не удался, это 100%

проверяли трафик за это время, пока он был.

 

"не нашел ничего нереального" я тоже не нашёл, но факт есть - чувак зашёл в админку

 

скачаны таблицы пользователей, в том числе все пароли, успешно

 

т.е. зная хэш пароля и соль можно зайти под любым пользователем ?

Ссылка на комментарий
Поделиться на других сайтах

  • 0

зная хеш и соль можно попробовать забрутфорсить или найти предопределенный готовый пароль, но это уже не совсем айс

почему то в запросах к админцентру часто есть ссылка, заканчивающаяся на &member_id=1&password=ok

вот это тоже надо проверить, поискать в коде с помощью утилиты типа ScannerUS такие вещи, как "input['password'] == 'ok'"

или возможно непонятные фрагменты с base64_decode

Ссылка на комментарий
Поделиться на других сайтах

  • 0

&member_id=1&password=ok

 

это нормальное окончание адресной строки при входе в админку.

 

По теме: я бы поставил на шелл. Причем залитый не через форум, а через глюки сайта, хостинга, через украденный пароль от ФТП и т.п.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
а что мешает вообще вырезать из админки панель управления мускулом(бекап, запросы)? думаю будет безопасней в этом плане, и работать постоянно с пхпмайадмин

Кстати, а ведь ничего вариант человек предлагает... Конечно, к выяснению способа взлома это отношения не имеет, но предотвратить подобные ситуации в будущем поможет. Не имея возможности что-либо сделать с базой через админку, злоумышленник не сможет ничего скачать, изменить. Разве устроить какие-нибудь пакости более низкого уровня типа удалить пользователей, темы, форумы и т. д.

Только вот вопрос: как сие реализовать?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
зная хеш и соль можно попробовать забрутфорсить или найти предопределенный готовый пароль, но это уже не совсем айс

почему то в запросах к админцентру часто есть ссылка, заканчивающаяся на &member_id=1&password=ok

вот это тоже надо проверить, поискать в коде с помощью утилиты типа ScannerUS такие вещи, как "input['password'] == 'ok'"

или возможно непонятные фрагменты с base64_decode

 

 

&member_id=1&password=ok

 

это нормальное окончание адресной строки при входе в админку.

+1

По теме: я бы поставил на шелл. Причем залитый не через форум, а через глюки сайта, хостинга, через украденный пароль от ФТП и т.п.

хостинг новый, ФТП контроллируется, сайт - вариант, был писан третьими лицами и периодически находим и исправляем баги

один минус - после переноса Админки попытки прекратились

 

а что мешает вообще вырезать из админки панель управления мускулом(бекап, запросы)? думаю будет безопасней в этом плане, и работать постоянно с пхпмайадмин

Кстати, а ведь ничего вариант человек предлагает... Конечно, к выяснению способа взлома это отношения не имеет, но предотвратить подобные ситуации в будущем поможет. Не имея возможности что-либо сделать с базой через админку, злоумышленник не сможет ничего скачать, изменить. Разве устроить какие-нибудь пакости более низкого уровня типа удалить пользователей, темы, форумы и т. д.

Только вот вопрос: как сие реализовать?

 

фигня, тогда всё надо из админки отрезать.

ИМХО достаточно её спрятать и htaccess

Ссылка на комментарий
Поделиться на других сайтах

  • 0

В логах нет самого взлома. Т.е. пароль он уже знает.

Смени пароль и снова логгируй. Рано или поздно залогируешь нужный запросик.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

причем верни админку и отпишись, мол хакер ушел, все нормально

сделай ловушку, сострой дурачка

может поймаем его за яйца

Ссылка на комментарий
Поделиться на других сайтах

  • 0
ХЕз меня за эти 2 дня пользователи достали, к тому-же каждый раз "он" делал больше чем перед этим.
Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.