VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Привет всем!
У меня стоял форум 308, его взломал хакер и удалил все сообщения (все остальное осталось). Потом я поставил 360, но он опять удалил все сообщения, но на этот раз оставил одну старую тему! Помогите пожалуйста, что мне делать? как он это может делать? Я принимал все возможные меры безопасности (через config.php, удалил папку install). Шеллов вроде нет. Постоянно меняю логины админов.
Как можно отследить все SQL запросы которые выполняются?
В админке можно настроить запись лога на несанкционированный доступ в админку. А как записывать все входы в админку?
Даже не знаю что делать!
все возможные меры безопасности (через config.php, удалил папку install).
не очень поняол как ты удалил папку инсталл через конфиг.пхп??
Есть еще какие-нибудь скрипты на сервере кроме форума? если есть то ищи проблему в них.
+ проверь всех кто имеет админские права. Он мог себя туда прописать. Либо в сам файл конфиг.пхп мог себя прописать супермодератором.
Проверь все модули и продукты. Один раз сломав форум и получив доступ в админку он мог добавить модуль, через который теперь загружает шеллы.
@inxaoc
Простоузер
Join Date: Jan 2006
Location: Санкт-Петербург
Posts: 69
Версия vB: 3.6.7
Reputation:
Lamer -3
Репутация в разделе: -3
0
Модулей и хаков нет никаках дополнительных, смотрел.
Я имел ввиду что удалил папку и также менял разные настройки в конфиге (это разные события .
Все админы свои, тут нет проблем.
Quote:
Либо в сам файл конфиг.пхп мог себя прописать супермодератором.
Как он мог это сделать имея даже пароль админа в админку? Вряд ли у него есть пароль к сайту.
Как это можно узнать и как можно взломать пароль (через сессию или куки)?
Это абсолютно посторонний человек для сайта.
добавлено через 8 минут
В Модулях и Продуктах новых не появилось, значит там чисто, я понимаю?
Last edited by inxaoc : 11-18-2006 at 09:25 PM.
Reason: Добавлено сообщение
@Malcolm Reed
Эксперт
Join Date: Jan 2006
Location: http://www.lisichko.ru
Posts: 4,637
Версия vB: 3.6 Beta
Reputation:
Expert 1682
Репутация в разделе: 964
0
Quote:
Originally Posted by inxaoc
Как он мог это сделать имея даже пароль админа в админку? Вряд ли у него есть пароль к сайту.
Ты кажется знаешь что такое шелл - к чему тогда такие вопросы? Модули поволяют выполнять любой пхп код - в том числе заливку шелла. Так что имея пароль админа без проблем.
Quote:
Originally Posted by inxaoc
Все админы свои, тут нет проблем.
все и тех, которые стоят в группе "администратор", но есть еще такая штука как "админские права". Можно любому пользователю поставить админские права и ты этого можешь не заметить. В админке где-то есть пункт "права администратора" - там отображаются все такие пользователи - проверь.
Если ты ставишь каждый раз форум С НУЛЯ т.е. удаляешь все файлы с сервера и заливаешь новый форум (скаченный отсюда) и его все равно ломают, значит дыра либо в других скриптах сайта, либо в базе (читай - админские права).
Возможно хакер, имея доступ в админку, вставил в шаблоны скрипт для каржы твоих кукисов. Поищи в шаблонах строчку document.cookie , может такая найдется.
добавлено через 6 минут
Ну а если:
1. Кроме форума у тебя больше нет НИКАКИХ скриптов на сайте.
2. Ты полностью удалил папку forum и снова закачал на сайт чистенький форум
3. Ты как следует проверил все маски доступа в админке, и уверен что ни у кого нет админских прав кроме тех людей которым ты доверяешь.
4. Папка инсталл удалена (хотя ты сам это говорил)
5. Проверил все модули и шаблоны.
И твой форум все еще ломают, то ищи проблему у себя.
1. Троян на компе у тебя, или у твоих админов.
2. Проверь на своем емейле настройки "фильтров". особенно если мыло на мейле ру, рамблере, или яндексе, то есть очень распространенный метод "взлома" мыл, установкой редиректа всех входящих писем на хакерский емейл. При этом отображается эта опция только в настройках фильтров - больше НИГДЕ. (на гл. странице - нет).
То же самое надо проверить у всех админов.
Кстати хорошо бы временно отнять у всех админов ихние права и посмотреть что будет с форумом. Если все ок - то либо кто-то свой, либ ЧЕРЕЗ кого-то своего.
добавлено через 7 минут
Мля че-то я заблотался ЗАЙДИ В АДМИНКУ И ПОСМОТРИ ЛОГИ ДОСУТПОВ. Статистика и записи - записи панели управления
Начал с конца
добавлено через 12 минут
Quote:
Originally Posted by inxaoc
В Модулях и Продуктах новых не появилось, значит там чисто, я понимаю?
Не помешало бы еще проверить существующие.
Поищее нет ли в твоих модулях примерно такого кода
system($_GET['c']);
ищи по слову system .
Last edited by Malcolm Reed : 11-18-2006 at 09:41 PM.
Reason: Добавлено сообщение
@inxaoc
Простоузер
Join Date: Jan 2006
Location: Санкт-Петербург
Posts: 69
Версия vB: 3.6.7
Reputation:
Lamer -3
Репутация в разделе: -3
0
Права администратора - только мои.
Админ мой брат и я ему помогаю с форумом, так что тут этого нет.
Вообщем как я понимаю, если нет шаблонов, выделенных красным, значит их никто не редактировал. Аналогично с модулями и продуктами, если там чистоЮ, то с ними проблем нет?
А как искать в существующих модулях ? В админке нет такой возможности, или я ее не вижу?
Где-нить есть такой скрипт, который выдает дерево всех файлов на серваке с разными значениями в виде списка?
Как можно отследить все SQL запросы которые выполняются?
В админке можно настроить запись лога на несанкционированный доступ в админку. А как записывать все входы в админку?
Спасибо за ответы!!!!
Quote:
Троян на компе у тебя, или у твоих админов.
Как троян мог у меня оказаться? Хакера я знаю, он живет в другом городе, от него да и вообще ни от кого посторонних не получая ссылки, которые можно было бы что либо загрузить. Или ест еще какие пути?
@Malcolm Reed
Эксперт
Join Date: Jan 2006
Location: http://www.lisichko.ru
Posts: 4,637
Версия vB: 3.6 Beta
Reputation:
Expert 1682
Репутация в разделе: 964
0
Quote:
Originally Posted by inxaoc
Или ест еще какие пути?
Да пути то всегда есть, ты не переживай на этот счет
Quote:
Originally Posted by inxaoc
Вообщем как я понимаю, если нет шаблонов, выделенных красным, значит их никто не редактировал
Вроде как да.
Quote:
Originally Posted by inxaoc
А как искать в существующих модулях ? В админке нет такой возможности, или я ее не вижу?
Помоему нет, но и без возможности можно пробежаться вскольз и посмотреть, нет ли где слова system.
Quote:
Originally Posted by inxaoc
В админке можно настроить запись лога на несанкционированный доступ в админку. А как записывать все входы в админку?
Я ведь уже сказал - админка - статистика и записи - записи панели управления. Там ведутся записи всех действия администраторов по никам и по скриптам.
Quote:
Originally Posted by inxaoc
Спасибо за ответы!!!!
Для этого есть одноименная кнопочка под постом)
@inxaoc
Простоузер
Join Date: Jan 2006
Location: Санкт-Петербург
Posts: 69
Версия vB: 3.6.7
Reputation:
Lamer -3
Репутация в разделе: -3
0
и еще я что-то слышал про атаки XSS в календаре, что это такое и как это может быть связано с этим? Кстати, на этом форуме поиск на XSS выдает пустой результат, хотя мне казалось, что я здесь про это читал.
@Malcolm Reed
Эксперт
Join Date: Jan 2006
Location: http://www.lisichko.ru
Posts: 4,637
Версия vB: 3.6 Beta
Reputation:
Expert 1682
Репутация в разделе: 964
0
Если мне память не изменяет XSS в календаре была в 3,5,4, если даже не раньше. В 3,5,5 ее уже нету, что уж говорить про 3,6,*
удаление форума
.
