С начала смотрели профайлы потом вошли в админку под пользователем номер 1.
Мы заметили после того, как перестали авторизироваться все пользователи, кроме тех, кто не выходил из форума и не перелогинивался.
Проапдейтили "_members_converge",просто в тупую в converge_pass_salt прописали одно и то-же всем. По логам апача видно, что слили себ всю "_members_converge".
Восстановил из бакапа.
Через несколько часов опять, с того-же IP уже грамотнее, попробовали слить дамп базы, но видать обломались, т.к. трафик был около 5 метров, а база в сжатом состоянии до 100 метров, в несжатом больше 300. Слили опять "_members_converge" и "_members", нагадили по другому - заменили converge_email на всякую фигню, соответственно пользователи обломались при входе и при попытке восстановить пароль.
Опять восстановил с бакапа, забанил IP, забанил пользователя номер 1. Через полчаса зашли в админку под другим пользователем и поправили шаблоны, прописали фрейм-вирус. Перенёс админку, поставил на неё ограничение по IP.
Пока тишина. Жаль только что слили базу e-mail, уже начали приходить запросы на регистрацию в других форумах под нашими мылами.
Чем они воспользовались? Маловероятно, что пароли были скомпроментированы.
Версия "почти" последняя, заплатки безопасности все установлены.
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
Skiw
Первый взлом спустя полтора года после запуска.
Вошли через админку, под пользователем номер 1.
С начала смотрели профайлы потом вошли в админку под пользователем номер 1.
Мы заметили после того, как перестали авторизироваться все пользователи, кроме тех, кто не выходил из форума и не перелогинивался.
Проапдейтили "_members_converge",просто в тупую в converge_pass_salt прописали одно и то-же всем. По логам апача видно, что слили себ всю "_members_converge".
Восстановил из бакапа.
Через несколько часов опять, с того-же IP уже грамотнее, попробовали слить дамп базы, но видать обломались, т.к. трафик был около 5 метров, а база в сжатом состоянии до 100 метров, в несжатом больше 300. Слили опять "_members_converge" и "_members", нагадили по другому - заменили converge_email на всякую фигню, соответственно пользователи обломались при входе и при попытке восстановить пароль.
Опять восстановил с бакапа, забанил IP, забанил пользователя номер 1. Через полчаса зашли в админку под другим пользователем и поправили шаблоны, прописали фрейм-вирус. Перенёс админку, поставил на неё ограничение по IP.
Пока тишина. Жаль только что слили базу e-mail, уже начали приходить запросы на регистрацию в других форумах под нашими мылами.
Чем они воспользовались? Маловероятно, что пароли были скомпроментированы.
Версия "почти" последняя, заплатки безопасности все установлены.
Изменено пользователем ArharСсылка на комментарий
Поделиться на других сайтах
24 ответа на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.