Техническая поддержка форумов vBulletin
  форум vBSupport.ru > vBulletin > vBulletin 3.8.x > Вопросы по vBulletin 3.8

Взломан форум 3.8.7 PL2. Требуется помощь.

Register Меню vBsupport Изображения Files Manager О рекламе Today's Posts Search
  • Родная гавань
  • Блок РКН снят
  • Premoderation
  • For English speaking users
  • Каталог Фрилансеров
  • If you want to buy some product or script
  • Администраторам
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже:
Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
 
Page 1 of 2 1 2
 
 
 
Apache
Простоузер
Default Взломан форум 3.8.7 PL2. Требуется помощь.
0
Всем доброго времени суток. Очень прошу писать только по делу.

Взломан форум версии 3.8.6. Дыра преславутая через faq пресутствовала. Движок был установлен не особо акуратно.

После взлома было сделано.

1. Все атачи абсолютно и даже аватары перемещены в базу данных.
2. Сняли дамп базы, перенесли на недоступный Интернету сервер.
3. Залили форум (3.8.7 PL2 DGT), зилили базу старую, сделали обновление.
4. Удилили все атачи, тоисть 3 папки, в которых хранятся файлы.
5. Удалили лишние файлы, которые проверяют контрольную суммы, ну в корне их там два.
6. Снесли абсолютно все хаки, которые числились в базе данных.
7. Снесли все пароли, сделали чтоб запросило смену пароля.
8. Смена всех абсолютно паролей к хостингу.
9. Выгрузили на сервер. Папку админки переименовали, запаролили. Папку include сакрыли наглухо. Дампер снесли

На сервере, самый последний php v 5.3.8, MySQL Версия сервера: 5.5.19. Извне порт 3306 закрыт
Из доступных сервисов. ProFTPD Version 1.3.3f, phpmyadmin 3.4.9.
Apache Apache/2.2.21 как бекенд, nginx фронтед 1.0.8.

Примерно в обед, мне человек сообщил, что логин одного из администраторов, который почемуто любит исопльзовать
взломщик, был сегодня на форуме в 18.00. Логин адменистративный. Пароли к админке никому кроме нас 2х не разглашались.
В логах видно упорное сканирование. Я не буду сюда их вам передавать.

Если вы обладатете любой полезной информацией, я готов с вами связаться, предоставить все доступы к хосту и все что нужно.
Я с этим форумом слабо знаком. А человек хороший. Хочу просто помочь по дружески.

Готовы внести вознаграждение (тоисть обладатель форума), мы заплатим за любую реальную помощь.
Проэкт не комерческий, поэтому особо много денег не будет.
Хотя я в надежности нуленных, и вообще булки разуверился напрочь.

В логах постоянно наблюдается ошибка.

[Sat Dec 24 18:01:35 2011] [error] [client 91.124.93.157] PHP Parse error: syntax error, unexpected $end, expecting T_VARIABLE or T_DOLLAR_OPEN_CURLY_BRACES or T_CURLY_OPEN in /home/xxx/data/www/xxx/includes/init.php(308) : eval()'d code on line 120, referer: http://хххх/showthread.php?t=158

В этой строке 308 управление передается функции eval на сколько я понял, гдето тут и есть уязвимость.

($hook = vBulletinHook::fetch_hook('init_startup')) ? eval($hook) : false;
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
kerk
k0t
 
kerk's Avatar
Default
0
Quote:
Originally Posted by Apache View Post
($hook = vBulletinHook::fetch_hook('init_startup')) ? eval($hook) : false;
смотри какие модули висят на этом хуке
модули, нЕ продукты!
 
 
хрюк
Гость
Default
Quote:
Originally Posted by Apache View Post
5. Удалили лишние файлы, которые проверяют контрольную суммы, ну в корне их там два
md5... .php и validator.php ? Правильно сделали. Их там не должно быть после установки форума.

Так какая помощь необходима? Если есть бекап базы и файлов, то всё очень просто.
 
 
mcrf
Простоузер
Default
0
Таблица системы модулей пустая, равно, как и список продуктов, то есть после восстановления базы на установленный движок ничего из продуктов и модулей не устанавливалось. Взломщик однозначно имеет доступ к базе. Админка закрыта .htaccess и была закрыта до взлома. Завладев аккаунтом одного из админов злоумышленник пытался получить доступ к .htaccess, но был изобличен.

mcrf добавил 25.12.2011 в 01:55
TAIFUN, сорри, нет кнопки "правка"! Непонятно как избавиться от навязчивого присутствия нежелаемого гостя, который регулярно овладевает аккаунтом одного и того же админа и портит базу данных. Делать дампы каждый час нет возможности.
Last edited by mcrf : 12-25-2011 at 03:55 AM. Reason: Добавлено сообщение
 
 
kerk
k0t
 
kerk's Avatar
Default
0
сменить пароли админу, аккаунтом которого "овладевают" (какие ассоциации не хорошие)
проверить комп этого админа на наличие троянов
 
 
mcrf
Простоузер
Default
0
Дык, это было сделано в первую очередь. Более того, он в данный момент временно не имеет доступа на форум в своем статусе админа до окончания разбора полетов. Взломщик имеет доступ на форум через стыренный аккаунт (вот нам интересно почему именно этот аккаунт, кстати не суперадмина), но не имеет доступа в админку. Все манипуляции им производятся именно с БД. Напрашивается вопрос логичный, куда этот негодяй залил свою бяку? Ведь кроме БД все на форуме было переустановлено с нуля.
 
 
Apache
Простоузер
Default
0
Quote:
Originally Posted by TAIFUN View Post
md5... .php и validator.php ? Правильно сделали. Их там не должно быть после установки форума.

Так какая помощь необходима? Если есть бекап базы и файлов, то всё очень просто.
Есть бекап базы, есть все. Требуется установить все так чтобы взломщик более не смог пробраться. Либо в настройках сервера есть дыра либо в самом движке форума. Мы можем даже сделать эксперимент. Будут закрыты все службы кроме 80 порта. И результат будет тот-же.

Apache добавил 25.12.2011 в 15:21
Собственно говоря, на больше я и не рассчитывал. Тему можно закрывать. Всем кто откликнулся спасибо.
Last edited by Apache : 12-25-2011 at 05:21 PM. Reason: Добавлено сообщение
 
 
хрюк
Гость
Default
Если есть бекап БД и файлов, которые были сделаны до взлома:

1. Удалите все файлы на FTP
2. Удалите базу данных и пользователя(ей) базы данных
3. Поменяйте все пароли к хостингу, FTP и т.п.
4. Залейте на FTP файлы из чистого дистрибутива 3.8.7 PL2. Никаких говно-сборок. Качайте с vbsupport.ru или на сайте Финтмакса
5. Поменяйте название папок admincp и modcp
6. Защитите админку с помощью htaccess
7. Создайте базу данных и пользователя БД
8. Импортируйте бекап базы
9. Отредактируйте config.php
10. Проверьте на компьютере папки attachments, customavatars, customgroupicons, customprofilepics и другие папки у которых был CHMOD 777. Нужно проверить на наличие шеллов
11. Если шеллов нет, то заливайте эти папки на FTP форума
12. Отключите все хаки прописав в config.php
Code:
define('DISABLE_HOOKS', true);
13. Смените пароли всем админам на сложные пароли
14. Зайдите в админку и откройте список хаков
15. Залейте файлы хаков из чистых архивов. НЕ из резервной копии файлов форума. Я думаю что все установленные на форуме хаки вы сможете найти на этом форуме. А вообще нужно держать на компе архив с хаками, которые ставили на форум
16. Закомментируйте строку в config.php
Code:
define('DISABLE_HOOKS', true);
Заменить на:
Code:
// define('DISABLE_HOOKS', true);
P.S. Логины и пароли к FTP, базе и т.п. придумайте новые. Не повторяйте.
P.P.S. Также рекомендую залить htaccess во все папки у которых CHMOD 777
Содержимое этого файла должно быть таким:
Code:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.shtml">
Order allow,deny
Deny from all
В корневой htacces добавьте в самый конец:
Code:
<Files config.php>
deny from all
</Files>
Если что забыл - другие дополнят.

---
И всегда следите за актуальными версиями vB.
Успехов.
 
 
Apache
Простоузер
Default
0
Quote:
Originally Posted by TAIFUN View Post
define('DISABLE_HOOKS', true);
Я не понял сымсла в этой манипуляции. Отключить потом опять включить. В чем мудрость?
 
 
Luvilla
Гость
Default
Quote:
Originally Posted by Apache View Post
Я не понял сымсла в этой манипуляции. Отключить потом опять включить
отключить
перезалить файлы хаков
включить
 
Page 1 of 2 1 2

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is Off



All times are GMT +4. The time now is 07:33 PM.

Contact Us - vBSupport.ru - Top

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.