Слили базу данных с паролями

[Fox Mulder]

В общем есть факт, мне показали мою же БД слитую, и мой пароль.

 

Вопрос как это могли сделать? Стоит 2.3.6. Ответы типа хостер продал им базу не устраивают

 

или возможно слили ibf_members_converge

[FatCat]

Ключевые слова здесь:

и мой пароль.

Угнали пароль, а спаролем залезли в админку и слили.

 

Если бы просто угнали базу, расшифровать пароль все равно практически нереально, если он не "123".

[Fox Mulder]

Ключевые слова здесь:

и мой пароль.

Угнали пароль, а спаролем залезли в админку и слили.

 

Если бы просто угнали базу, расшифровать пароль все равно практически нереально, если он не "123".

ну пароль был типа fg9731

 

по логам доступа в админку левых Ип адресов с которых "я" заходил нету...

+админка у меня защищена htaccess на мой диапазон Ип адресов

[ENFIX]

мб получили доступ к ПУ хостингом. Возможно, просто удалили за собой логи.

Меняйте все пароли, проверьте ПК на комп гадость

[alexei1966]

В общем есть факт, мне показали мою же БД слитую, и мой пароль.

 

Вопрос как это могли сделать? Стоит 2.3.6. Ответы типа хостер продал им базу не устраивают

 

или возможно слили ibf_members_converge

На этом хостинге вы один или есть еще другие клиенты? Если PHP не в safe mode, то и ломать ничего особенно не надо: дядя пишет скрипт PHP:

 

<?php

$hack=file_get_contents('/path_to your/conf_global.php');

echo '<pre>' .htmlspecialchars($hack) .'</pre>';

?>

 

и замечательно видит все нужные данные:

 

$INFO['sql_driver'] = 'mysql';

$INFO['sql_host'] = 'localhost';

$INFO['sql_database'] = 'myforum';

$INFO['sql_user'] = 'forumuser';

$INFO['sql_pass'] = 'mypass';

 

После чего стягивает базу. Поскольку доступ к конфигурационному файлу идет средствами файловой системы, то никакие ограничения, прописанные в .htaccess, не срабатывают.

 

Как проверить, что так и было: в этой ситуации у кракера есть логин/пароль от БАЗЫ, но нет ни одного пароля пользователя, в том числе ПАРОЛЯ АДМИНИСТРАТОРА. Впрочем, пароль fg9731 - некриптостойкий, т.к. всего 6 символов, буквы в нижнем регистре. Элементарно ломается грубой атакой.

 

Как лечить: покупайте у провайдера тариф с отдельной Апачей под отдельным пользователем, если таковой тариф предоставляется. На худой конец попросите его включить safe_mode (только директива должна быть включена для ВСЕХ хостов, которые запускаются под тем же пользователем, что и ваш хост). Директива open_basedir иногда не работает, увы.

 

ЗЫ. Надеюсь этот пост будет рассматриваться не как пособие по краку, а как пособие по элементарной безопасности.

[Fox Mulder]

хостер сказал что

Для всех доменов в вашем аккаунте safe mode включен.

[alexei1966]

хостер сказал что

Для всех доменов в вашем аккаунте safe mode включен.

Это значит только, что вы со своего аккаунта к соседям не заберетесь. Однако из этого не следует, что соседи не заберутся к вам. Реальная провайдерская машина - это 100-200 пользователей на 2-4 адреса IP. Через несколько лет жизни провайдера и смены нескольких сисадминов уже никто толком и не помнит, какие домены как настроены.

 

В общем, для серьезных проектов на PHP - только отдельная Апача на отдельном IP под отдельным пользователем. Или, еще лучше - виртуальный выделенный сервер (VPS). Вообще - извините, не хочу обидеть - но тарифы с PHP под safe mode обычно самые начальные.

 

А то, что у вас подсмотрели конфиг через локальную файловую систему, у меня никаких сомнений не вызывает. Сам работал у Интернет-провайдера средней руки (около 4 тысяч доменов), на похожие ситуации насмотрелся.

[Sannis]

Продолжение темы защиты.

Засим [X].