Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBSupport.ru > Безопасность

[Админам] Атака хакеров Team Animus и ликвидация последствий | Elimination of hacker attack ...

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 4 1 23 Last »
 
 
 
хрюк
Гость
Default Атака хакеров Team Animus и ликвидация последствий | Elimination of hacker attack ...
Сегодня ночью около 03:00 по Киевскому времени, произошла массовая атака хакерами Team Animus на форумы, которые использовали хак Cyb - Advanced Forum Rules (версии 4.0.4 и 5.0.4 и ниже).

Один из кусков кода из-за которого хакеры имели возможность выполнить SQL инъекцию.
Code:
$vbulletin->db->query_write("UPDATE " . TABLE_PREFIX . "forum SET cyb_frules = '" . $vbulletin->GPC['rules_id'] . "' WHERE forumid IN ($cfrules_forums) ");

Анамнез и симптоматика:
(может быть так, что какой-то из пунктов вы не найдёте на своём форуме. Хакеры действовали по-разному. На одном форуме вставляли видео-заглушку, на другом не ставили её)
  1. Вы зашли на форум и увидели такое видео (см. скриншот выше)
  2. Вы зашли на форум, а он отключен и вы не можете попасть в админку (вы уже не админ)
  3. На форуме пропали все админы и появился новый с никнеймом Team Animus
  4. На FTP появились новые файлы, которые вы не заливали
  5. У всех пользователей красуется в статусе "Hacked by Team Animus"

Как ликвидировать последствия взлома:
1. Для начала нам нужно сделать себя администратором форума. Есть несколько способов, предлагаю один из них (желательно всё делать быстро, не отвлекаясь):
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) ищем свой аккаунт и меняем ему группу пользователей на 6 (администраторы)


2. Теперь удаляем хак Cyb - Advanced Forum Rules

3. Затем нам нужно удалить хакера
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) ищем аккаунт хакера (у него стоит группа с ID 6 - администраторы)
г) удаляем его аккаунт

4. На всякий случай перезаливаем все файлы форума (кроме графики, фавикона).
На некоторых форумах эти хакеры редактировали индексные файлы.

5. Теперь нам нужно поменять статус всем пользователям, ибо он таков:


Хочу сразу предупредить, что просто отключив у группы пользователей возможность установки своего статуса вы никак не удалите статусы (см. скриншот).
Потому как после взлома у каждого пользователя установлена опция "Особый статус: Да, установки администратора (HTML разрешён)"

Делаем следующий SQL запрос:
Code:
UPDATE user SET prefix_customtitle = 0 WHERE usergroupid = 'X';
где prefix_ - это префикс таблиц базы форума, если вы его используете. Если не используете, то запрос будет такой:
Code:
UPDATE user SET customtitle = 0 WHERE usergroupid = 'X';
где X - это ID группы пользователей.

Сделать столько запросов сколько групп пользователей на вашем форуме. То есть для каждой группы 1 запрос.

6. Теперь обновите счётчики.
Идём в админку > Обслуживание > Обновление счётчиков > Обновить статусы пользователей

7. Хакеры могли залить шелл на FTP. Чаще всего имя файла vba.php и находится он в папке /includes/ или /includes/xml/
Но я настоятельно рекомендую "прошерстить" весь FTP на наличие новых файлов, потому как файл могли залить с другим названием и залить его в другую папку.

8. Измените автоинкремент. ID аккаунта хакера скорей всего был на вашем форуме 13371337, в связи с этим все последующие юзеры будут с ID 13371338, 13371339 и так далее.
Исправляем эту ситуацию таким образом:
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) нажимаем "Операции"
г) идём в админку форума > пользователи > поиск > последние регистрации > смотрим какой ID у последнего зарегистрированного пользователя (например 657), затем возвращаемся в PMA к таблице: user > операции
и заменяем 13371338 на число = ID последнего зарегистрированного юзера + 1
То есть если ID последнего юзера равен 657, то в поле ставим 658

PMA


SSH


Если после всех манипуляций на вашем форуме уже зарегистрированы новые пользователи, тогда меняем им ID отталкиваясь от последнего правильного ID и только потом меняем автоинкремент в настройке таблицы.
Видео смотреть тем, кто внимательно читал это сообщение http://www.youtube.com/watch?v=ZsXvdDIn-CQ
После изменения ID пользователям, которые были зарегистрированы после аккаунта хакера нужно выполнить следующее:

Админка > Обслуживание > Обновление счётчиков > Восстановить повреждённые профили пользователей

9. Перезалейте все файлы хаков, которые установлены на форуме и перезапишите xml файлы продуктов
10. Пересмотрите список модулей и продуктов. Удалите те, которые вы не ставили и которыми вы не пользуетесь
11. Измените пароли к базам данных, которые вы используете на своём сервере или хостинг аккаунте

=======================
Если кто-то ничего не понял или не может выполнить зачистку - мои контакты в подписи.
=======================
For English users

1. Go in PMA (phpMyAdmin) or SSH connecting
2. Open table user
3. Search your account in forum database and change usergroupid for your account (set ID 6)

4. Go in Admin CP and delete product Cyb - Advanced Forum Rules
5. Delete administrator Team Animus
6. Reupload forum files
7. Run SQL query
Code:
UPDATE user SET prefix_customtitle = 0 WHERE usergroupid = 'X';
Because all users have option "Can Use Custom Title" - Hacked by Team Animus

8. Update the counters - Update User Titles and Ranks
9. Search vba.php or another new files that you have not added to the ftp
/includes/xml/... or another directory
10. Changed autoincrement value in USER table to {LatestUserID} +
more ... http://www.vbulletin.org/forum/showp...81&postcount=1
===================
© TAIFUN
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
AntiPiton
Эксперт
 
AntiPiton's Avatar
Default
0
Что-то я даже сайта не могу найти этих хакеров ... я им пришлю пару тысяч писем в качестве аванса, но ДДОСА то никто не отменял.
 
 
M.C.
Продвинутый
Default
0
сам продукт обновили: http://www.vbulletin.org/forum/showthread.php?t=201312 нужен перевод! ;)
 
 
kerk
k0t
 
kerk's Avatar
Default
4
ежики кололись и плакали, но продолжали жрать кактус
печально...
 
 
syn
Эксперт
vBSNews
 
syn's Avatar
Default
0
Quote:
Originally Posted by kerk View Post
ежики кололись и плакали, но продолжали жрать кактус
фточку
 
 
KodeR
Простоузер
Default
0
Вот нашёл один форум хекнутый http://www.ellinforest.com/forum/
 
 
Gulia
Специалист
 
Gulia's Avatar
Default
0
Quote:
Originally Posted by KodeR View Post
Вот нашёл один форум хекнутый http://www.ellinforest.com/forum/
Оффтоп
 
 
Mile
Знаток
 
Mile's Avatar
Default
0
А как непосредственно ввели эту инъекцию?
 
 
kerk
k0t
 
kerk's Avatar
Default
0
подкожно
или внутремышечно
 
 
hoo
Гуру
 
hoo's Avatar
Default
0
M.C., с полпятого утра уже с переводом http://vbsupport.ru/forum/showthread...978#post348978
 
Page 1 of 4 1 23 Last »

Tags
team animus, взлом, защита

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 05:46 PM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.