ВЗЛОМ ФОРУМА

[TIER_FOREVER]

С форума версии 2.1.7 откуда-то пропали все сообщения и темы, доступ к админке только у меня, пользователи сохранились.

 

Захожу в логи ДЕЙСТВИЯ МОДЕРАТОРОВ: и вижу, что под моим акком но под другим IP (76.114.116.185) были удалены все темы. Пароль к админке измененм не был.

С IP 76.114.116.185 сегодня в 14:06 был зарегистрирован пользователь Smoshi, его мыло - jaywalker920@yahoo.com, если это чем-то может помочь. Темы были удалены с 14:42 по 14:46

 

На форуме одно сообщение с моего акка: YOU'VE BEEN HACKED by Smoshi и фотка какого-то урода неформала.

 

Но что самое интересное, бэкап базы данных через Sypex Dumper за 20 число весит 11 442 754 байт, а за сегодняшенее 9 819 499, то бишь вроде бы сообщения на месте, но чего-то все же не хватает. Кто-то вырезал часть базы?

 

Вопрос вечный: что делать? Восстанавливать за 20 число базу? Но как защитить акк свой админский, при том он изменен не был, не уверен что он вообще смог его увести.

 

 

ХЭЛП!!!!!!!!!!!!

 

 

 

У этого ублюдка есть даже сайт по ходу: http://hackedbysmoshi.webs.com/ и страничка на MySpace http://profile.myspace.com/index.cfm?fusea...endID=425835120

 

А вот видео на YouTUbe: http://www.youtube.com/watch?v=VUCtUSUiF44 и его профиль там же: http://www.youtube.com/user/SmoshiYashi

[Uzer]

С форума версии 2.1.7 откуда-то пропали все сообщения и темы, доступ к админке только у меня, пользователи сохранились.

 

Захожу в логи ДЕЙСТВИЯ МОДЕРАТОРОВ: и вижу, что под моим акком но под другим IP (76.114.116.185) были удалены все темы. Пароль к админке измененм не был.

С IP 76.114.116.185 сегодня в 14:06 был зарегистрирован пользователь Smoshi, его мыло - jaywalker920@yahoo.com, если это чем-то может помочь. Темы были удалены с 14:42 по 14:46

 

На форуме одно сообщение с моего акка: YOU'VE BEEN HACKED by Smoshi и фотка какого-то урода неформала.

 

Но что самое интересное, бэкап базы данных через Sypex Dumper за 20 число весит 11 442 754 байт, а за сегодняшенее 9 819 499, то бишь вроде бы сообщения на месте, но чего-то все же не хватает. Кто-то вырезал часть базы?

 

Вопрос вечный: что делать? Восстанавливать за 20 число базу? Но как защитить акк свой админский, при том он изменен не был, не уверен что он вообще смог его увести.

 

 

ХЭЛП!!!!!!!!!!!!

 

 

 

У этого ублюдка есть даже сайт по ходу: http://hackedbysmoshi.webs.com/ и страничка на MySpace http://profile.myspace.com/index.cfm?fusea...endID=425835120

 

А вот видео на YouTUbe: http://www.youtube.com/watch?v=VUCtUSUiF44

 

Его профиль там же: http://www.youtube.com/user/SmoshiYashi

 

Во прикол, на рекламу смахивает. А свой форум что не показал?

[Sannis]

Разделом вы случайно ошиблись?

[TIER_FOREVER]

Разделом вы случайно ошиблись?

 

Каюсь. Писал в состоянии стресса. Перенесите, пожалуйста. Очень надеюсь на Вашу помощь. Что за дырку он использовал и как ее закрыть. =(

 

Возможно, что этот эксплоит:

 

Invision Power Board v2.1 <= 2.1.6 sql injection exploit by RST/GHC

## Based on LOCAL_IP bug, more info in RST/GHC Advisory#41

## http://rst.void.ru/papers/advisory41.txt

## tested on 2.1.3, 2.1.6

 

http://www.sendspace.com/file/iny0qq - ссылка с его профиля на Youtube

 

Uzer

 

Вот чтобы за рекламу не сочли, поэтому и не дал. Дам линк человеку, который может чем-то помочь, а уж мысль о том, что я буду рекламить того, кто меня взломал, крайне абсурдна.

[FatCat]

бэкап базы данных через Sypex Dumper за 20 число весит 11 442 754 байт, а за сегодняшенее 9 819 499, то бишь вроде бы сообщения на месте, но чего-то все же не хватает. Кто-то вырезал часть базы?

Вероятно запустил запрос

TRUNCATE ibf_topics

 

В этом случае можно восстановить новые сообщения в топиках, созданных до 20-го, и можно восстановить более поздние топики без названий, привязки к подфоруму и т.д.

 

Аська есть в профиле, если нужна помощь - стучитесь.

[Sannis]

Сказать, что именно он использовал без логов затруднительно будет, разве что посмотреть своими глазами где и какие следы остались.

 

А если не все заплатки стояли, то ставьте и далее по обстоятельствам. FatCat дело говорит, судя по всему так.

[FatCat]

Увы, удалено качественно: в ibf_posts и ibf_topics всего по одной строке. И 35 Мб логов поисковых ботов - потому и дамп такой тяжелый.

 

Хорошо, что хоть трехдневный нормальный дамп есть.

 

Что касается методики взлома, не вникал. Каким-то образом угнали админский пароль, но каким - не понял...

[milc]

пароль никто не угонял, просто через пляски с кукисами зашли, с таким взломом даже в админку невозможно зайти или пароль сменить, ибо его знать надо. Что бы такого не было в будущем переименовал папку @admin@ и убрал ссылку на админцентр из шапки форума. И лишил себя администраторских возможностей на форуме. Мне не в падлу зайти в админку дать самому себе права супермодератора и потом убрать их опять. И потом сделал корзину для удаления тем с форума, к ней ни кто не имеет доступа на форуме. Вот вроде и все привинтивные меры. Изменено 23 Марта 2009 пользователем milc

[Sannis]

Через "пляски с кукисами" в АЦ зайти нельзя Правда тут это и не требовалось.

 

А закрыть АЦ в другой папке, да ещё и с помощью .htaccess никогда не помешает.

[TIER_FOREVER]

Так и есть. Он угнал мой пароль админа и через панель модератора удалил все темы, а потом почистил корзину. А к админке доступ получить не смог, ибо она у меня перемещена, а также стоит мод с дополнительным вопросом и ответом.

 

Так как, говорите, с кукисами и хэшами эту уязвимость удалить, использование которой описывается в этом видео:

 

Мм?

[Arhar]

автор видео пользует http://www.securitylab.ru/poc/extra/270626.php

защита - http://www.sysman.ru/index.php?showtopic=5497

там вообще в проге несколько експлоитов

[Sannis]

Похоже на http://wiki.iblink.ru/security/2.x.x/modcritical/25.04.2006. Не, не похоже

 

Кстати этого нет в вики, забиваю на него. Лучше действительно пройтись по Сисману и закрыть всё описанное там.

[TIER_FOREVER]

автор видео пользует http://www.securitylab.ru/poc/extra/270626.php

защита - http://www.sysman.ru/index.php?showtopic=5497

там вообще в проге несколько експлоитов

 

Покорнейше благодарю. А в чем разница между исправлением для 2.1 и официальным патчем IPS? То бишь, что применять?

[Sannis]

официальным патчем IPS

АйБиРесурс про него просто не писала