Сегодня какие-то шведские ребята взломали наш форум и поставили вместо главной страницы забавный видео ролик.
Сейчас вроде все восстановили. Дыру ищем, как найдем - будем ее латать.

Взломали не очень серьезно: помимо видео на главной поменяли всем пользователям статусы. Статусы сейчас у всех стандартные (в зависимости от количества сообщений).
Поэтому всем пользователям, у кого был особенный статус - пишите мне в личку, поменяю.

Так особый статус в личном кабинете меняется вроде без проблем...

Да, похоже, что можно :)

Юные хакеры тренируются.

Найти и всем поставить 6ки по информатике!

Мдя, прыщавые очкастые ананисты не дремлят...

а нече такая музычка была :-)

а нече такая музычка была :-)

И ролик прикольный... :)
Только вот не пойму, зачем...? Комплексы, ИМХО, мучают.
Форум наш не капиталистический, на Асанжа не наезжали... :)

Нас не хакнули, а "зашли в открытую дверь, не постучавшись".
Если нужна помощь в поиске этой самой "дыры", могу помочь.
Скиньте мне в личку или на мыло логи апача и/или нгинкса (если стоит), в архиве с макс. степенью сжатия.

Добавлено через 1 минуту
Да и советую воблу обновить до последней версии, соловей не много, с шаблоном возиться не надо, не так уж много времени займет апдейт.

какие-то шведские ребята взломали наш форум


Юные хакеры тренируются

ну ващето шведская хакерская группа "Анонимус" достаточно известна :) в определенных кругах :)
в частности их подозревают в краже персональных данных с Сониплейстейшен :)

то, что почтили вниманием наш форум сильно поднял его в моих глазах :)

зы: спасиб сисадминам за оперативный ремонт :) в Гандурасе вам гарантировано по бутылке пыва :)

Только школота так балуется, "взламывая" забугорные ресурсы, из которых мало что можно выжать.
Были бы поумнее чуток - не палили бы себя, а поставили к примеру скрытую рекламу, ссылки или троянчики. Или написали письмо админу с предложением помочь закрыть дыру за небольшое вознаграждение.
Кстате хорошо проверили файлы и бд или не стали париться и восстановили бэкап?

то, что почтили вниманием наш форум сильно поднял его в моих глазах :)

Дык, они мож не целенаправленно форум хакали. Просто часто слово Секс повторялось, вот и хакнули :laugh2::laugh2::laugh2:

Просто часто слово Секс повторялось,

это еще больше поднимает его :)

Добавлено через 26 секунд
зы: а то они по-русски слово секс знают :)

это еще больше поднимает его :)

его это кого? :laugh2::laugh2::laugh2:


Добавлено через 26 секунд
зы: а то они по-русски слово секс знают :)
Ну если в зоне RU шарились, значит знают :sm_dymat: Это ж не китайский все-таки :sm_lol:

его это кого?

авторитет :) короче то, что у тя на аватарке не видно :) стыдливо обрезано :)

авторитет :) короче то, что у тя на аватарке не видно :) стыдливо обрезано :)
:laugh2::laugh2::laugh2:Ну у меня на аватарке хоть что-то поднимаецо, руки например :laugh2: А у тебя кроме торчащего уха и фингала больше ничаво :laugh2::laugh2::laugh2:

И чем наш форум шведам приглянулся?

И чем наш форум шведам приглянулся?
Я ж выше написал:

Просто часто слово Секс повторялось, вот и хакнули
Вот этим и приглянулсо :sm_lol:

kirill1978,

В домене,к-й юзает наш форум,секаса нету в DNS.:sm_net:

kirill1978,

В домене,к-й юзает наш форум,секаса нету в DNS.:sm_net:
Есть SX :laugh2:

WhyMax, просто бэкап не восстанавливал, т.к. оказалось он у меня месячной давности был.
Файлы смотрел вручную, удалил пару закодированных левых файлов, плюс проверил на бэкдоры (ни я, ни суппорт хостинга их не нашел).
Базу сравнивал со старой. У всех скинули права администраторов, они были только у недавно зарегистрированного пользователя TeamAnonymus или как его там. Плюс всем поменяли статусы на "Hacked by Team Anonymus".
Левых ссылок и троянчиков больше не замечено.

По поводу перехода на новую версию уже задумались.

Ну, за встречу снова! :) Все джазом насладились?:D

Все джазом насладились?
Джаза там и близко не было:)..

Джаза там и близко не было:)..
Ну не важно... труба, значит джаз или блюз или... вообщем "дело - труба"...:)

kirill1978Правда я сначала подумал-Кирилл1978 прикалывается,перед продажей своего авто:laugh2:

WhyMax, просто бэкап не восстанавливал, т.к. оказалось он у меня месячной давности был.
Файлы смотрел вручную, удалил пару закодированных левых файлов, плюс проверил на бэкдоры (ни я, ни суппорт хостинга их не нашел).
Базу сравнивал со старой. У всех скинули права администраторов, они были только у недавно зарегистрированного пользователя TeamAnonymus или как его там. Плюс всем поменяли статусы на "Hacked by Team Anonymus".
Левых ссылок и троянчиков больше не замечено.

По поводу перехода на новую версию уже задумались.
Хм, а хостер услугу ежедневного бэкапа не предоставляет? Советую не экономить на дисковом пространстве, я храню бэкапы за каждые 7 дней + каждую неделю + месяц (это конечно слишком, просто места дофига).
Посмотри IP адреса этого пользователя и поищи в логах апача (нгинкса) каким образом он назначил себе права администратора.
Информация о уязвимости уже в паблике, ломай нехочу))

Кстате хак Advanced Forum Rules ни о чем не говорит? Снеси нафиг, пока наша школота не полезла :) Или обнови его до последней версии.
Наш форум уже не первый, вчера-сегодня ломали массово кучу форумов, все это можно сделать за пару минут написав простенький скриптик ;)
Закодированные файлы скорее всего шелл, интересная штука, масса возможностей, которые не доступны даже из панели управления хостингом :D

И обрати внимание, что автоинкремент у таблицы юзеров сбился: http://forum.clubsx4.ru/member.php?u=13371343 (http://forum.clubsx4.ru/member.php?u=13371343) поправь это в базе.
Посмотри папки /includes/ или /includes/xml/ на наличие шеллов vba.php, имена могут быть любые, дату последнего изменения файла можно легко изменить.

Ну не важно... труба, значит джаз или блюз или... вообщем "дело - труба"...:)
Не труба, а SXафон :sm_lol::sm_lol::sm_lol:

WhyMax, пока не прочитал про хак Advanced Forum Rules, все так и сделал, кроме изменения AUTO_INCREMENT. Временно отключил этот модуль.


Не труба, а SXафон :sm_lol::sm_lol::sm_lol:
верно подмечено ))))

WhyMax, пока не прочитал про хак Advanced Forum Rules, все так и сделал, кроме изменения AUTO_INCREMENT.
Открой БД (зайди через phpMyAdmin), открывай таблицу юзеров (users), переходи по ссылке Операции и меняй значение AUTO_INCREMENT на ID последнего зарегистрированного юзера плюс 1, если не ошибаюсь вот он: http://forum.clubsx4.ru/member.php?u=6259
т.е. значение авто инкремента 6260, если к этому моменту не зарегистрируется еще пару юзеров.

http://i063.radikal.ru/1105/eb/59de4ebf722d.png

Добавлено через 1 минуту
Вот еще полезная ссылка: http://vbsupport.org/forum/showthread.php?t=39872
На форуме воблы уже обсуждают эту новость))))

WhyMax, да поменял уже давно :) Я имел в виду, что все кроме автоинкримента сделал еще до прочтения про этот хак. И последним зарегистрированным пользователям ID тоже изменил.

Последний юзер какой-то странный, его первая тема: http://forum.clubsx4.ru/showthread.php?t=4798

А слежу за новостями тут - http://www.vbulletin.com/forum/showthread.php/379072-Site-hacked-can-someone-please-help?p=2154348&viewfull=1#post2154348 :)

Последний юзер какой-то странный, его первая тема: http://forum.clubsx4.ru/showthread.php?t=4798
Нормальный юзер, диваны толкает :laugh2:

Нормальный юзер, диваны толкает :laugh2:
Ага, жалко нету теперь его с нами, и темы его тоже :)

Теперь будет толкать на других форумах)))
Kalian, правильно сделал :D

Ага, жалко нету теперь его с нами, и темы его тоже :)
Блин, хотел диван заказать - не успел :laugh2::laugh2::laugh2:

Добавлено через 49 минут
Что-то в последнее время частенько стали региться юзеры с подозрительными никами. Вот к примеру last - http://forum.clubsx4.ru/member.php?u=6261

Что-то в последнее время частенько стали региться юзеры с подозрительными никами. Вот к примеру last - http://forum.clubsx4.ru/member.php?u=6261

Возможно один и тот же бот, а может кому-то не лень регаться и оставлять сообщения ручками.
Надо систему антиспама какую-нибудь поставить без особых наворотов, например чтобы сразу банила юзеров, которые оставляют внешнюю ссылку в своих первых 1-3 сообщениях (ставил себе такое на IPB, очень здорово помогает).
Еще можно изменить имена у полей для ввода email и капчи и т.д.

Похоже, вторично хакнули...:shocked:

Rzyx, не похоже, а точно!

Что-то зачастили нас хакать... :aq:

Куда смотрит администрация!!! :sm_zdesya::jester::laugh2:

блин, как тренировочная площадка стали...((

надо думать - это был не последний раз :) нравицца швецким подросткам слово секс :)

зы: еще и темы пропадают :(

нравицца швецким подросткам слово секс
надо модераторам заменить по всему форуму слово секс на *бип*)))))


зы: еще и темы пропадают
ничего, у тебя их наверняка еще много в запасе;)

И зарегистрированных ботов на форуме больше, чем реальных пользователей.
У многих в подписях ссылки, чтобы поисковики их скушали)
Мод хоть навсегда снесли?)) А это эксплоит уже в паблике на забугорных сайтах валяется.

надо модераторам заменить по всему форуму слово секс на *бип*)))))
По умолчанию слово "секс " должно превращаться в миниатюру эмблемы "SX4" :07:
Интересно, так можно сделать?

По умолчанию слово "секс " должно превращаться в миниатюру эмблемы "SX4" :07:
Интересно, так можно сделать?

Очень просто, пишется скрипт, который просматривает каждое сообщение и делает замену, затем обратно вставляет в БД.
Сообщений мало, так что пару минут и все готово.
Да и в новых сообщениях реализуется через стандартные замены.
Хакнули не из-за секса, ищут через гугл сайты с узвимым скриптом и добавляют их в список.
Дальше делов на пару минут и скрипт проходит пару сотен форумов (можно собрать больше).

По умолчанию слово "секс " должно превращаться в миниатюру эмблемы "SX4"

Угу: правописание - параметры автозамены :)

И зарегистрированных ботов на форуме больше, чем реальных пользователей.
Согласен... ботов много....
Может почистить неактивных (например с 0 сообщений и не появляющихся в течении месяца двух)....
Да и процедуру регистрации усложнить наверное надо (я ее уже и не помню если честно).....

Безобразие, деградация... Джаз я еще могу терпеть, но это... фу, смотреть противно. Что будет дальше - кони-лошади? Страшно подумать.

Dear swedish hackers!
If you have so strong demand to apply your abilities on our site please change repertoire!
No jazz but industrial or punk-rock, no ebony, no plump but only old good swedish new-year classic.
Sincerely yours, Dmitry.

Надо сказать им спасибо за то, что всего-лишь отключили форум и заменили главную страницу форума и админки. Наша школота давно бы слила БД и посносила бы все нафик (или по тихому разместили бы ифреймовых троянов и рекламу).

....
Может почистить неактивных (например с 0 сообщений и не появляющихся в течении месяца двух)...
Такая "охота на ведьм" уже как-то проводилась, только тогда: пол года был критерий, по моему...
На мой взгляд это не связанные вещи: Боты и взлом

Вещи не связанные, но на форуме нет никакой защиты ни от взломов, ни от ботов + сторонний модуль с уязвимостями.

Поскольку это не первый раз,мож пора обратиться в Отдел "К" (http://www.kguvd.ru/)?

Поскольку это не первый раз,мож пора обратиться в Отдел "К"?Сперва скинемся на лицензию vbulletin :D

WhyMax,

Сначала надо знать,что у нас: Forum Classic или Publishing Suite.
Вполне адекватная цена за 1 лицензию:
http://pics4u.ru/image-D3BB_4DDCAEB8.jpg (http://pics4u.ru/share-D3BB_4DDCAEB8.html)

Вот мне лично джаз как-то больше нравился....

Сначала надо знать,что у нас: Forum Classic или Publishing Suite.
Вполне адекватная цена за 1 лицензию:Publishing Suite - это сам движок форума + CMS, у нас только форум (начиная с 4 версии воблы).
Поскольку отдел "К" не прикрыл наш форум, вдаделец которого находится в России и данные достать как нефик делать, то шведских хакеров они искать не будут)))

Сегодня какие-то шведские ребята взломали наш форум и поставили вместо главной страницы забавный видео ролик.
Сейчас вроде все восстановили. Дыру ищем, как найдем - будем ее латать.

Взломали не очень серьезно: помимо видео на главной поменяли всем пользователям статусы. Статусы сейчас у всех стандартные (в зависимости от количества сообщений).
Поэтому всем пользователям, у кого был особенный статус - пишите мне в личку, поменяю.

Так может начать с усложнения политики паролей. А то прописные буквы и цифры дюже несекурно.

Друзья, меня осенило!:)
Как говорил Шерлок Холмс? "Хотите найти преступника - ищите мотив".
Теперь обратимся к дедуктивному методу:
1) Факты - шведские хакеры взломали сайт Suzuki SX4.
2) Кому это нужно? - Конкурентам. Кто конкурент в швеции - Volvo.
Все сходится. Администрация может смело писать жалобу. :D

WhyMax,

Ошибаешься.Есть Интерпол и Европол.Они имеют право задерживать/арестовывать по всей Европе.

Natz72,

Забыл еще про SAAB.:laugh2:

WhyMax,

Ошибаешься.Есть Интерпол и Европол.Они имеют право задерживать/арестовывать по всей Европе.

удачи им в поиске :)

какой там нах Интерпол?! :) чем докажете факт правонарушения? :) да и какого именно? :) статья, ссцылки и т.п.? :)

Да ладно вам, у деток может олимпиада была :sm_lol:

А как происходит восстановление хакнутово форума, а и почему?

А как происходит восстановление хакнутово форума, а и почему?Никак, на форуме просто заменили главную страничку (ну и может быть сменили звания юзеров).
Если удалят файлы и почистят БД, то и это не проблема, нормальные хостеры делают ежедневные бэкапы.