Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » IkonBoard и другие форумы » Другие форумы » юзер грозит взломать форум - нужен совет

Модерирует : Antuan, Dekker

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет
Я админю на одном форуме на vBulletin.
 
Форум не мой, я просто админю там.
 
Вчера ночью ко мне обратился хозяин сайта и сказал, что один из юзеров, у которого был какой то конфликт с модераторами - каким то образом стал админом и стал самовольничать.
 
Пришлось зайти и первым делом просто забанил юзера. Через 2 мин. смотрю кто то бан снял и он опять админ и даже вешает какие то объявления на форуме и успел удалить пару девочек, с которыми у него вроде и был конфликт. Пришлось просто удалить этого юзера. Тогда мне в голову не пришло как он это сделал, просто старался как то его обезвредить. Но через 5 минут мне всё таки в голову пришло посмотреть логи админки и заметил, что поднять до админа; снять бан; заново создать акк и сразу же сделать админом - делается через одного из админов на форуме (но с его Айпи). Т.е. у него есть доступ или пасс этого админ акк-а.
 
Пришлось снизить этого администратора и поменять пасс (на всякий случай).
После этого вроде все успокоилось.
 
На всякий случай удалил всех админов (живых и мертвых) и единственное что мне пришло в голову, что он каким то образом достал или взломал пасс этого админ акк-а.
 
Оставил 2 акк-а - для меня и для хозяина.
 
С утра хозяин опять меня тревожит, что этот юзер опять на форуме и опять что то пишет (я ещё делал такую фичу, что юзеры первые 10 дней не могут открыть посты и все такое ). Получается, что ему кто то помог. Смотрю логи он зашел через админ акк хозяина сайта.
 
Опять поменял пасс, снизил до юзера и всё такое. Но уже на думаю, что по второму разу он взломал пасс. Тут всё таки другое.
 
Даже поговорил с ним по Айсикю - какой то подросток, кто в обыде на модера и хочет доказать, что он такой крутой -сякой, говорит что может залить шелл, за 5 мин взломать сайт ... итд
 
Впечетление, что есть знания, но не из продвинутых и почти не опыта, зато очень наглый и самоуверенный.
 
Пока что закрыл доступ его Айпи с сервера, но понятное дело, что - это фигня если знаешь что такой прокси.
 
Версия Форума vBulletin 3.7.3 Patch Level 1, понимаю, что надо сделать апдейт, но всё таки для меня вопрос как он 2 раза взломал или достал пассы к акк-ам остался открытым.
 
Пока всё тихо, но мало верится, что на долго.
 
Подскажите, что может быть причиной.
 
Надо ли мне в быстро обновить версию форума или всё таки вопрос в другом.
 
Спасибо

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 17:29 22-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
но всё таки для меня вопрос как он 2 раза взломал или достал пассы к акк-ам остался открытым.

ну так просмотрите логи.. делов то, блин..
+ смотрите
http://secunia.com/advisories/search/?search=vbulletin

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 18:09 22-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ну так просмотрите логи.. делов то, блин..  

 
о каких логах идет речь ?
 
по "Записям панели управления" можно только видеть какими файлами он работал и Айпи, или вы имели что то другое.

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 19:29 22-04-2009 | Исправлено: yeros, 19:30 22-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
о каких логах идет речь ?  

о вебсерверных.. посмотрите логи и будет очевидно как "сломал"

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 19:56 22-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
о вебсерверных.. посмотрите логи и будет очевидно как "сломал"  

к сожалению форум на дримхост - максимум есть Аналог для статистики
 

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 21:47 22-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
к сожалению форум на дримхост - максимум есть Аналог для статистики

тогда обновляйте скрипт.
либо просите логи у поддержки

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 07:16 23-04-2009
Vasya Pupkin



Мракобес
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros, если на твоей площадке есть еще какие-нить скрипты помимо форума, то мог запросто залезть через них. Но даже одного раза достаточно для того, чтобы оставить для себя дыру. Залив шел или модифицировав скрипты борды.
План действий таков:
- раздобыть логи. без них ничего серьезного не получится, а с ними будет гораздо проще.
- залезть на серв и проверить каждый файл на предмет недавних изменений, а также обратить внимание не появились ли бонусные.
- обновить все скрипты до последних версий.

----------
я не люблю людей

Всего записей: 7062 | Зарегистр. 24-02-2001 | Отправлено: 14:42 23-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
залезть на серв и проверить каждый файл на предмет недавних изменений, а также обратить внимание не появились ли бонусные.  

 
Прошу прошения, а что значит бонусные файлы ?
 
Спасибо большое

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 02:51 24-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
Прошу прошения, а что значит бонусные файлы ?  

дополнительные.. просмотрите файлы по дате создания/изменения

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 03:29 24-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
обновил скрипт, поставил htpasswd, все пассы поменял, прошел по форуму в поисках подозрительных файлов, закрыл его Айпи (знаЮ, что это ничего не даст) .... но к сожалению, этот мудак опять зашел на форум - и на этот раз через акк другого юзера и через Anonymizer сервис.
 
Ничего не сделал - так как статус -всего лишь advanced user (простой юзер), но вот открыть пост и сказать, что он тут - у него хватило наглости.
 
Плюс ко всему достал логи его захода и надеюсь действии, но если честно мало что понял из логов, что и как он сделал.
 
Если кто то понимает логи, просьба помогите (на форуме моя позиция - потянуть время - т.е. я даже не забанил его)
 
----
оставил только его логи -
сейчас сброшу на какой то файл обменник
 
Название: log.rar
Размер: 4.48 кб
Доступен до: 2009-05-24 21:48:44
Ссылка для скачивания файла: хттп://ifolder.ru/11794723
или тот же файл
Название: log.txt
Размер: 66.82 кб
Доступен до: 2009-05-24 21:49:57
Ссылка для скачивания файла: хттп://ifolder.ru/11794770

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 21:46 24-04-2009 | Исправлено: yeros, 21:51 24-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
но к сожалению, этот

фильтруйте речь, не на базаре

Цитата:
и на этот раз через акк другого юзера и через Anonymizer сервис

ну увел его пароль или был у него ранее к нему доступ.  
это же не говорит, что дыра теперь есть и логи, ессно, это не покажут.
и в приведенных логах не видно попытки доступа куда то или взлома.  
 
 
насчет анонимайзеров - легко вырезать по User-Agent
в .htaccess
 
SetEnvIfNoCase User-Agent "Anonym" anonym
Order Allow,Deny
Allow from all
Deny from env=anonym
 
 

Цитата:
обновил скрипт

версия теперь какая? и если установлены хаки какие то, то тоже версии?

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 21:58 24-04-2009 | Исправлено: Cheery, 22:15 24-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ну увел его пароль или был у него ранее к нему доступ.  

акк не его - увел
 

Цитата:
насчет анонимайзеров - легко вырезать по User-Agent  

закрою этот Айпи тоже, но никто не отменял прокси
 

Цитата:
версия теперь какая? и если установлены хаки какие то, то тоже версии?

 
vBulletin      3.8.2               
Cyb - Advanced Forum Statistics     5.8.1     Cyb - Продвинутая статистика форума (Перевод: Romchik® - v.1.19)     
 
Cyb - ChatBox     2.2     Cyb - Чат (Перевод: Romchik® - v.1.12)     
 
NoSpam!     3.0     "NoSpam!" позволяет Вам определять ряд вопросов, на которые пользователи обязаны правильно ответить при регистрации, устраняя способность спамящих ботов регистрироваться на ваших форумах и оставлять нежелательные сообщения (Перевод: Romchik® v.1.0.3)     
 
Хак Фу! за собщения для 3.6.8     3.3     Перевод осуществил "FintMax"     
 
Post Thank You Hack     7.7     Post Thank You Hack
 

Цитата:
фильтруйте речь, не на базаре  

прошу прошения, не сдержался

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 22:06 24-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
акк не его - увел  

значит ранее.. нет попыток взлома в логах - сразу зашел
 

Цитата:
vBulletin      3.8.2

а была какая?  
дело в том, что если ранее была уязвимость позволяющая получить информацию о юзверях, то он мог сразу увести много паролей.
и надо просить юзверей сменить пароли
например вот..
http://secunia.com/advisories/32775/
когда был администраторский пароль, то можно было получить инфу из базы


----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 22:08 24-04-2009 | Исправлено: Cheery, 22:09 24-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
дело в том, что если ранее была уязвимость позволяющая получить информацию о юзверях, то он мог сразу увести много паролей.  

 
просто, после последнего взлома - я проверил все ip, через что он заходил и при поиске нашел 5-6 акк-ов (и сам же поменял их пассы)
 
Этого акк-а не было в том списке.
 

Цитата:
а была какая?    

последный год -стоял vBulletin 3.7.3 Patch Level 1
 

Цитата:
когда был администраторский пароль, то можно было получить инфу из базы  

странно, если у него все таки был доступ, тогда нафига он ждал столько времени после последнего взлома (захода -> Ban) 3-4 дня.
 

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 22:16 24-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros

Цитата:
последный год -стоял vBulletin 3.7.3 Patch Level 1  

ну.. дыр там было полно..

Цитата:
странно, если у него все таки был доступ, тогда нафига он ждал столько времени после последнего взлома (захода -> Ban) 3-4 дня

может занят был.. в логах лишнего не видно - сразу зашел, значит пароль был.
ну, либо, если пароли хранятся в базе в виде хэша, то локальный подбор тоже может занять какое то время.

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 22:19 24-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
скажите плж как можно менять паспорта всех юзеров одним махом, чтобы не сидеть и руками менять >6000 пасспортов.
 
под руками Table: user, выжу там password филд, могу отдельно бекап сделать, потом после востановить, но не знаю как можно это сделать скриптом или как то автоматом.
 
Увидел какой то платный мод ""Force New Password"" но кажется это для 2й версии

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 02:05 26-04-2009 | Исправлено: yeros, 02:22 26-04-2009
Andrey_Wlodimirovich



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
как можно поменять юзер пасспорта одним махом
не верю, что можно такую ахинею нести на полном серьезе.. может паспорт юзера?

Всего записей: 1773 | Зарегистр. 15-11-2003 | Отправлено: 02:10 26-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Andrey_Wlodimirovich

Цитата:
не верю, что можно такую ахинею нести на полном серьезе.. может паспорт юзера?  

речь о паролях

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 02:28 26-04-2009
yeros

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
имею ввиду паспорта (passwords all of users) всех юзеров сразу
 
Ладно по другому поставлю вопрос - есть база, в нем таблица, в нем field (passwords)
 
так как я не вижу другого пути как можно менять через админку или базу, то думаю скачать только этот field (passwords), пройти по нему (к примеру через find-replace) и заново restore
 
Есть вожможность сделать бекап только один field таблицы ?

Всего записей: 34 | Зарегистр. 09-01-2007 | Отправлено: 02:33 26-04-2009
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yeros
я, все же, думаю дело в старых emailах..
ну хорошо, смените все пароли, а как они войдут после этого?


----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 02:34 26-04-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » IkonBoard и другие форумы » Другие форумы » юзер грозит взломать форум - нужен совет


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru