Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBSupport.ru > Безопасность

Сломали форум 4.2.0

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 9 1 23 Last »
 
 
 
OlegSm
Продвинутый
Unhappy Сломали форум 4.2.0
0
Доброго всем и бодрого дня!
В пятницу 13-ого :-) злые хакеры сломали и сайт и форум. До того (месяц назад) наш хостер лежал почти сутки под ДДОС-атакой. Так что до конца пока неясно: то ли хостера взломали и пошли уже шерстить сайты, то ли сайт наш через форум хакнули.

Собственно, форум работал как бы нормально (если лазить в глубине топиков), но вот на главной висела красивая картинка арабского Че Гевары и играла музычка из фильма "Убить Билла".
В общем, через три часа после заражения я нашел модернизированный файлы и заменил их из бэкапа. Форум работает, могу ходить по нему, куда вздумается, читать чего хочу,но...
Не могу залогиниться. Не могу зарегистрироваться. причем ничего не пишет, а просто перенаправляет на главную страницу.
Вчера ночью перезалил все файлы из бэкапа (он точно чистый) - никакого эффекта.
При этом, если заходить с запомненным паролем, то все нормально - юзер проходит и даже вроде может что-то писать.

Кто-нить сталкивался с подобной бедой?
Можете что-то посоветовать?
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
kerk
k0t
 
kerk's Avatar
Default
1
отключить все хаки через конфиг и искать в модулях какирские вставки кода
 
 
Luvilla
Гость
Default
Quote:
Originally Posted by OlegSm View Post
Вчера ночью перезалил все файлы из бэкапа (он точно чистый) - никакого эффекта.
перезалили только файлы? бэкап БД не поднимали?
и в админку залогиниться не можете?
отключайте все хаки через конфиг - добавить строку
define('DISABLE_HOOKS', true);
заходите в админку и проверяйте модули
особое внимание обратите на модули без продуктов, те, что висят на vBulletin
какиры особо полюбляют хуки фак_комплит, аякс_комплит... реже - инит_стартап
 
 
Luvilla
Гость
Default
@OlegSm, отдельное спасибо за тему... я ждала, кто из хозяев вломанных четвёрок наконец-то отпишется

По моим данным с начала сентября участились случаи взлома форумов, причём именно четвёртой линейки
буквально на днях обратился администратор форума 4.2.0 с аналогичной проблемой, и взлом был тоже в пятницу, 13го
по другим (разным) каналам знаю, что таких взломов было много, и это не только дырявые как решето 4ки сборки 4.0.х, но и последние, 4.2.0 с патчами и 4.2.1

и это уже не совпадение... сегодня с утра обратились ещё двое, и это тоже 4.2.0

поэтому...
Дамы и господа четвёрошники!
у кого до сих пор валяется папка инсталл - немедленно удаляйте
закрывайте админку, как угодно, по .хттпасс, по .хтаксесс, разрешая только свои ИП
ставьте все варианты инспекторов файлов
включайте логи
проверяйте, получаете ли вы отчёты про ошибки БД
не держите бэкапы под корнем!!!
регулярно меняйте пароли! - надеюсь, о важности сложного пароля отдельно напоминать не надо?

4ка, даже без хаков, до сих пор реально уязвима

Не ждите, пока очередь дойдёт до вас!

===
отдельная просьба...
если кто из присутствующих здесь вхож в приватные-вип-прочие закрытые разделы хакерских форумов
и если где-то там проскочило что-то новое про уязвимость последних версий 4ки
очень прошу: скиньте инфо мне в личку
конфиденциальность гарантирую
 
 
IgorGabrielan
На доске почёта
а иди ка ты, рагуль, на цензор.нет
 
banned nax
Default
0
А можно расшифровать это для совсем несведущих?

Quote:
закрывайте админку, как угодно, по .хттпасс, по .хтаксесс, разрешая только свои ИП
ставьте все варианты инспекторов файлов
включайте логи
 
 
Luvilla
Гость
Default
Quote:
Originally Posted by IgorGabrielan View Post
А можно расшифровать это для совсем несведущих?
можно...
Ставим пароль на директорию
[FAQ] .htaccess .htpasswd
AntiShell - скрипт для предупреждения взлома сайта. и там в теме есть ещё ссылки

про логи: ведение логов, прежде всего, аксесс.лог и еррор.лог должно быть настроено как часы
 
 
OlegSm
Продвинутый
Default
0
Странности продолжаются...

Я создал отдельную папку, куда скопировал бэкап всех файлов.
Кстати, у меня из доп.продуктов стоит только КейКапча и Юлогин.
Потом создал БД и залил туда бэкап, сохраненный до взлома.
И это все работает как часы. НО!

-------------------------
небольшое отступление.
в корне форума у меня лежит .htaccess. С его помощью ссылки на форум превращаются в forum.cfin.ru
------------------------

Как только я убираю папку со старым форумом и переименовываю папку, в которой все работает (ссылки типа cfin.ru/vb) в старую. Все повторяется... Так же не могу залогиниться... так же после попытки залогиниться перенаправляется на главную форума.

В Админку я могу попасть, если набираю адрес админки напрямую. Тогда и в форуме я легко оказываюсь залогиненым...


Вот такая беда...

OlegSm добавил 20.09.2013 в 13:14
Да, что еще я делал.

Старый нерабочий форум переименовал и пробовал заходить на него по прямой ссылке вида cfin.ru/vb_old.
Проблемы продолжались.
Хотя восстановленный форум в таком виде работал хорошо.
Вывод - бяка должна быть в БД. Потому как разница только в ней.

Но вот почему начинаются проблемы, как только восстановленный форум переименовываю в старый... Не понимаю...

Причем, если вернуть его обратно в тестовую зону, то он опять нормально работает...

OlegSm добавил 20.09.2013 в 13:23
Ой, нет, изменение вида ссылок не в htaccess, а в настройках сервера...

OlegSm добавил 20.09.2013 в 14:21
Quote:
Originally Posted by Luvilla View Post
@OlegSm, отдельное спасибо за тему... я ждала, кто из хозяев вломанных четвёрок наконец-то отпишется

По моим данным с начала сентября участились случаи взлома форумов, причём именно четвёртой линейки
буквально на днях обратился администратор форума 4.2.0 с аналогичной проблемой, и взлом был тоже в пятницу, 13го
по другим (разным) каналам знаю, что таких взломов было много, и это не только дырявые как решето 4ки сборки 4.0.х, но и последние, 4.2.0 с патчами и 4.2.1

и это уже не совпадение... сегодня с утра обратились ещё двое, и это тоже 4.2.0
Скажите, а эти обратившиеся не хостятся ли случайно на Зеноне?

Перед взломом за месяц где-то до того была серьезная атака на Зенон. Может быть уже тогда дырок нарыли...
У нас взломали ведь не только форум, но и сайт одновременно. К тому же характер странности работы может быть отчасти объяснен тем, что хакер не остановился на хаке форума, а пошел выше по уровню... Или наоборот спускался...
Или у меня уже голова настолько квадратная, что я уже ничего не понимаю...

OlegSm добавил 20.09.2013 в 14:34
Уважаемые коллеги.
Кажется починил я форум.
Сейчас все проверю и тогда расскажу (как бы не сглазить)...
Last edited by OlegSm : 09-20-2013 at 03:34 PM. Reason: Добавлено сообщение
 
 
Luvilla
Гость
Default
Quote:
Originally Posted by OlegSm View Post
Скажите, а эти обратившиеся не хостятся ли случайно на Зеноне?
нет

встречный вопрос, для статистики: у Вас была удалена вся папка /install/ или только некоторые файлы из неё?

Quote:
Originally Posted by OlegSm View Post
У нас взломали ведь не только форум, но и сайт одновременно. К тому же характер странности работы может быть отчасти объяснен тем, что хакер не остановился на хаке форума, а пошел выше по уровню... Или наоборот спускался...
выше?
малореально...
а на каком движке сайт?
 
 
OlegSm
Продвинутый
Default
0
Luvilla, Папка Инстал не была удалена, а только некоторые файлы.
Сейчас я ее удалил...

Форум я починил небольшой корректировкой настройки субдомена (перенаправления ссылкок)

но сейчас полный пушной зверек.
Буквально полчаса назад появился редирект /Install/install.php
С любой ссылки на форум... Теперь и в Админку не могу зайти по прямой ссылке.
перезалил БД и сам движок - редирект остается.
Где это может быть прописано?
Звонил хостеру - говорит, что него все нормально настроено, нет никаких редиректов...

Сайт не на движке, простой .shtml...
 
 
GiRassell
Эксперт
 
GiRassell's Avatar
Default
0
А в .htaccess.
ничего не прописано ?
 
Page 1 of 9 1 23 Last »

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 10:02 PM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version 3.6.3
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.