Перейти к контенту
  • 0

ВЗЛОМ ФОРУМА


Вопрос

С форума версии 2.1.7 откуда-то пропали все сообщения и темы, доступ к админке только у меня, пользователи сохранились.

 

Захожу в логи ДЕЙСТВИЯ МОДЕРАТОРОВ: и вижу, что под моим акком но под другим IP (76.114.116.185) были удалены все темы. Пароль к админке измененм не был.

С IP 76.114.116.185 сегодня в 14:06 был зарегистрирован пользователь Smoshi, его мыло - jaywalker920@yahoo.com, если это чем-то может помочь. Темы были удалены с 14:42 по 14:46

 

На форуме одно сообщение с моего акка: YOU'VE BEEN HACKED by Smoshi и фотка какого-то урода неформала.

 

Но что самое интересное, бэкап базы данных через Sypex Dumper за 20 число весит 11 442 754 байт, а за сегодняшенее 9 819 499, то бишь вроде бы сообщения на месте, но чего-то все же не хватает. Кто-то вырезал часть базы?

 

Вопрос вечный: что делать? Восстанавливать за 20 число базу? Но как защитить акк свой админский, при том он изменен не был, не уверен что он вообще смог его увести.

 

 

ХЭЛП!!!!!!!!!!!!

 

 

 

У этого ублюдка есть даже сайт по ходу: http://hackedbysmoshi.webs.com/ и страничка на MySpace http://profile.myspace.com/index.cfm?fusea...endID=425835120

 

А вот видео на YouTUbe: http://www.youtube.com/watch?v=VUCtUSUiF44 и его профиль там же: http://www.youtube.com/user/SmoshiYashi

Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0
С форума версии 2.1.7 откуда-то пропали все сообщения и темы, доступ к админке только у меня, пользователи сохранились.

 

Захожу в логи ДЕЙСТВИЯ МОДЕРАТОРОВ: и вижу, что под моим акком но под другим IP (76.114.116.185) были удалены все темы. Пароль к админке измененм не был.

С IP 76.114.116.185 сегодня в 14:06 был зарегистрирован пользователь Smoshi, его мыло - jaywalker920@yahoo.com, если это чем-то может помочь. Темы были удалены с 14:42 по 14:46

 

На форуме одно сообщение с моего акка: YOU'VE BEEN HACKED by Smoshi и фотка какого-то урода неформала.

 

Но что самое интересное, бэкап базы данных через Sypex Dumper за 20 число весит 11 442 754 байт, а за сегодняшенее 9 819 499, то бишь вроде бы сообщения на месте, но чего-то все же не хватает. Кто-то вырезал часть базы?

 

Вопрос вечный: что делать? Восстанавливать за 20 число базу? Но как защитить акк свой админский, при том он изменен не был, не уверен что он вообще смог его увести.

 

 

ХЭЛП!!!!!!!!!!!!

 

 

 

У этого ублюдка есть даже сайт по ходу: http://hackedbysmoshi.webs.com/ и страничка на MySpace http://profile.myspace.com/index.cfm?fusea...endID=425835120

 

А вот видео на YouTUbe: http://www.youtube.com/watch?v=VUCtUSUiF44

 

Его профиль там же: http://www.youtube.com/user/SmoshiYashi

 

Во прикол, на рекламу смахивает. А свой форум что не показал?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Разделом вы случайно ошиблись?
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Разделом вы случайно ошиблись?

 

Каюсь. Писал в состоянии стресса. Перенесите, пожалуйста. Очень надеюсь на Вашу помощь. Что за дырку он использовал и как ее закрыть. =(

 

Возможно, что этот эксплоит:

 

Invision Power Board v2.1 <= 2.1.6 sql injection exploit by RST/GHC

## Based on LOCAL_IP bug, more info in RST/GHC Advisory#41

## http://rst.void.ru/papers/advisory41.txt

## tested on 2.1.3, 2.1.6

 

http://www.sendspace.com/file/iny0qq - ссылка с его профиля на Youtube

 

Uzer

 

Вот чтобы за рекламу не сочли, поэтому и не дал. Дам линк человеку, который может чем-то помочь, а уж мысль о том, что я буду рекламить того, кто меня взломал, крайне абсурдна.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
бэкап базы данных через Sypex Dumper за 20 число весит 11 442 754 байт, а за сегодняшенее 9 819 499, то бишь вроде бы сообщения на месте, но чего-то все же не хватает. Кто-то вырезал часть базы?

Вероятно запустил запрос

TRUNCATE ibf_topics

 

В этом случае можно восстановить новые сообщения в топиках, созданных до 20-го, и можно восстановить более поздние топики без названий, привязки к подфоруму и т.д.

 

Аська есть в профиле, если нужна помощь - стучитесь.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Сказать, что именно он использовал без логов затруднительно будет, разве что посмотреть своими глазами где и какие следы остались.

 

А если не все заплатки стояли, то ставьте и далее по обстоятельствам. FatCat дело говорит, судя по всему так.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Увы, удалено качественно: в ibf_posts и ibf_topics всего по одной строке. И 35 Мб логов поисковых ботов - потому и дамп такой тяжелый.

 

Хорошо, что хоть трехдневный нормальный дамп есть.

 

Что касается методики взлома, не вникал. Каким-то образом угнали админский пароль, но каким - не понял...

Ссылка на комментарий
Поделиться на других сайтах

  • 0
пароль никто не угонял, просто через пляски с кукисами зашли, с таким взломом даже в админку невозможно зайти или пароль сменить, ибо его знать надо. Что бы такого не было в будущем переименовал папку @admin@ и убрал ссылку на админцентр из шапки форума. И лишил себя администраторских возможностей на форуме. Мне не в падлу зайти в админку дать самому себе права супермодератора и потом убрать их опять. И потом сделал корзину для удаления тем с форума, к ней ни кто не имеет доступа на форуме. Вот вроде и все привинтивные меры. Изменено пользователем milc
Ссылка на комментарий
Поделиться на других сайтах

  • 0

Через "пляски с кукисами" в АЦ зайти нельзя :D Правда тут это и не требовалось.

 

А закрыть АЦ в другой папке, да ещё и с помощью .htaccess никогда не помешает.

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Так и есть. Он угнал мой пароль админа и через панель модератора удалил все темы, а потом почистил корзину. А к админке доступ получить не смог, ибо она у меня перемещена, а также стоит мод с дополнительным вопросом и ответом.

 

Так как, говорите, с кукисами и хэшами эту уязвимость удалить, использование которой описывается в этом видео:

 

Мм?

Ссылка на комментарий
Поделиться на других сайтах

  • 0

автор видео пользует http://www.securitylab.ru/poc/extra/270626.php

защита - http://www.sysman.ru/index.php?showtopic=5497

там вообще в проге несколько експлоитов

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Похоже на http://wiki.iblink.ru/security/2.x.x/modcritical/25.04.2006. Не, не похоже :D

 

Кстати этого нет в вики, забиваю на него. Лучше действительно пройтись по Сисману и закрыть всё описанное там.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
автор видео пользует http://www.securitylab.ru/poc/extra/270626.php

защита - http://www.sysman.ru/index.php?showtopic=5497

там вообще в проге несколько експлоитов

 

Покорнейше благодарю. А в чем разница между исправлением для 2.1 и официальным патчем IPS? То бишь, что применять?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
официальным патчем IPS

АйБиРесурс про него просто не писала :D

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.