Просмотр полной версии : Хакнули нас
Сегодня какие-то шведские ребята взломали наш форум и поставили вместо главной страницы забавный видео ролик.
Сейчас вроде все восстановили. Дыру ищем, как найдем - будем ее латать.
Взломали не очень серьезно: помимо видео на главной поменяли всем пользователям статусы. Статусы сейчас у всех стандартные (в зависимости от количества сообщений).
Поэтому всем пользователям, у кого был особенный статус - пишите мне в личку, поменяю.
ThinkPad
06.05.2011, 01:55
Так особый статус в личном кабинете меняется вроде без проблем...
Найти и всем поставить 6ки по информатике!
@lex@nder
06.05.2011, 05:20
Мдя, прыщавые очкастые ананисты не дремлят...
а нече такая музычка была :-)
а нече такая музычка была :-)
И ролик прикольный... :)
Только вот не пойму, зачем...? Комплексы, ИМХО, мучают.
Форум наш не капиталистический, на Асанжа не наезжали... :)
Нас не хакнули, а "зашли в открытую дверь, не постучавшись".
Если нужна помощь в поиске этой самой "дыры", могу помочь.
Скиньте мне в личку или на мыло логи апача и/или нгинкса (если стоит), в архиве с макс. степенью сжатия.
Добавлено через 1 минуту
Да и советую воблу обновить до последней версии, соловей не много, с шаблоном возиться не надо, не так уж много времени займет апдейт.
Канаи Ацуда
06.05.2011, 08:58
какие-то шведские ребята взломали наш форум
Юные хакеры тренируются
ну ващето шведская хакерская группа "Анонимус" достаточно известна :) в определенных кругах :)
в частности их подозревают в краже персональных данных с Сониплейстейшен :)
то, что почтили вниманием наш форум сильно поднял его в моих глазах :)
зы: спасиб сисадминам за оперативный ремонт :) в Гандурасе вам гарантировано по бутылке пыва :)
Только школота так балуется, "взламывая" забугорные ресурсы, из которых мало что можно выжать.
Были бы поумнее чуток - не палили бы себя, а поставили к примеру скрытую рекламу, ссылки или троянчики. Или написали письмо админу с предложением помочь закрыть дыру за небольшое вознаграждение.
Кстате хорошо проверили файлы и бд или не стали париться и восстановили бэкап?
kirill1978
06.05.2011, 09:37
то, что почтили вниманием наш форум сильно поднял его в моих глазах :)
Дык, они мож не целенаправленно форум хакали. Просто часто слово Секс повторялось, вот и хакнули :laugh2::laugh2::laugh2:
Канаи Ацуда
06.05.2011, 10:14
Просто часто слово Секс повторялось,
это еще больше поднимает его :)
Добавлено через 26 секунд
зы: а то они по-русски слово секс знают :)
kirill1978
06.05.2011, 10:16
это еще больше поднимает его :)
его это кого? :laugh2::laugh2::laugh2:
Добавлено через 26 секунд
зы: а то они по-русски слово секс знают :)
Ну если в зоне RU шарились, значит знают :sm_dymat: Это ж не китайский все-таки :sm_lol:
Канаи Ацуда
06.05.2011, 10:26
его это кого?
авторитет :) короче то, что у тя на аватарке не видно :) стыдливо обрезано :)
kirill1978
06.05.2011, 12:08
авторитет :) короче то, что у тя на аватарке не видно :) стыдливо обрезано :)
:laugh2::laugh2::laugh2:Ну у меня на аватарке хоть что-то поднимаецо, руки например :laugh2: А у тебя кроме торчащего уха и фингала больше ничаво :laugh2::laugh2::laugh2:
dragon772
06.05.2011, 12:17
И чем наш форум шведам приглянулся?
kirill1978
06.05.2011, 12:20
И чем наш форум шведам приглянулся?
Я ж выше написал:
Просто часто слово Секс повторялось, вот и хакнули
Вот этим и приглянулсо :sm_lol:
dragon772
06.05.2011, 12:57
kirill1978,
В домене,к-й юзает наш форум,секаса нету в DNS.:sm_net:
kirill1978
06.05.2011, 13:31
kirill1978,
В домене,к-й юзает наш форум,секаса нету в DNS.:sm_net:
Есть SX :laugh2:
WhyMax, просто бэкап не восстанавливал, т.к. оказалось он у меня месячной давности был.
Файлы смотрел вручную, удалил пару закодированных левых файлов, плюс проверил на бэкдоры (ни я, ни суппорт хостинга их не нашел).
Базу сравнивал со старой. У всех скинули права администраторов, они были только у недавно зарегистрированного пользователя TeamAnonymus или как его там. Плюс всем поменяли статусы на "Hacked by Team Anonymus".
Левых ссылок и троянчиков больше не замечено.
По поводу перехода на новую версию уже задумались.
Ну, за встречу снова! :) Все джазом насладились?:D
MrAlexnord
06.05.2011, 15:30
Все джазом насладились?
Джаза там и близко не было:)..
Джаза там и близко не было:)..
Ну не важно... труба, значит джаз или блюз или... вообщем "дело - труба"...:)
MrAlexnord
06.05.2011, 15:39
kirill1978Правда я сначала подумал-Кирилл1978 прикалывается,перед продажей своего авто:laugh2:
WhyMax, просто бэкап не восстанавливал, т.к. оказалось он у меня месячной давности был.
Файлы смотрел вручную, удалил пару закодированных левых файлов, плюс проверил на бэкдоры (ни я, ни суппорт хостинга их не нашел).
Базу сравнивал со старой. У всех скинули права администраторов, они были только у недавно зарегистрированного пользователя TeamAnonymus или как его там. Плюс всем поменяли статусы на "Hacked by Team Anonymus".
Левых ссылок и троянчиков больше не замечено.
По поводу перехода на новую версию уже задумались.
Хм, а хостер услугу ежедневного бэкапа не предоставляет? Советую не экономить на дисковом пространстве, я храню бэкапы за каждые 7 дней + каждую неделю + месяц (это конечно слишком, просто места дофига).
Посмотри IP адреса этого пользователя и поищи в логах апача (нгинкса) каким образом он назначил себе права администратора.
Информация о уязвимости уже в паблике, ломай нехочу))
Кстате хак Advanced Forum Rules ни о чем не говорит? Снеси нафиг, пока наша школота не полезла :) Или обнови его до последней версии.
Наш форум уже не первый, вчера-сегодня ломали массово кучу форумов, все это можно сделать за пару минут написав простенький скриптик ;)
Закодированные файлы скорее всего шелл, интересная штука, масса возможностей, которые не доступны даже из панели управления хостингом :D
И обрати внимание, что автоинкремент у таблицы юзеров сбился: http://forum.clubsx4.ru/member.php?u=13371343 (http://forum.clubsx4.ru/member.php?u=13371343) поправь это в базе.
Посмотри папки /includes/ или /includes/xml/ на наличие шеллов vba.php, имена могут быть любые, дату последнего изменения файла можно легко изменить.
kirill1978
06.05.2011, 16:53
Ну не важно... труба, значит джаз или блюз или... вообщем "дело - труба"...:)
Не труба, а SXафон :sm_lol::sm_lol::sm_lol:
WhyMax, пока не прочитал про хак Advanced Forum Rules, все так и сделал, кроме изменения AUTO_INCREMENT. Временно отключил этот модуль.
Не труба, а SXафон :sm_lol::sm_lol::sm_lol:
верно подмечено ))))
WhyMax, пока не прочитал про хак Advanced Forum Rules, все так и сделал, кроме изменения AUTO_INCREMENT.
Открой БД (зайди через phpMyAdmin), открывай таблицу юзеров (users), переходи по ссылке Операции и меняй значение AUTO_INCREMENT на ID последнего зарегистрированного юзера плюс 1, если не ошибаюсь вот он: http://forum.clubsx4.ru/member.php?u=6259
т.е. значение авто инкремента 6260, если к этому моменту не зарегистрируется еще пару юзеров.
http://i063.radikal.ru/1105/eb/59de4ebf722d.png
Добавлено через 1 минуту
Вот еще полезная ссылка: http://vbsupport.org/forum/showthread.php?t=39872
На форуме воблы уже обсуждают эту новость))))
WhyMax, да поменял уже давно :) Я имел в виду, что все кроме автоинкримента сделал еще до прочтения про этот хак. И последним зарегистрированным пользователям ID тоже изменил.
Последний юзер какой-то странный, его первая тема: http://forum.clubsx4.ru/showthread.php?t=4798
А слежу за новостями тут - http://www.vbulletin.com/forum/showthread.php/379072-Site-hacked-can-someone-please-help?p=2154348&viewfull=1#post2154348 :)
kirill1978
06.05.2011, 17:19
Последний юзер какой-то странный, его первая тема: http://forum.clubsx4.ru/showthread.php?t=4798
Нормальный юзер, диваны толкает :laugh2:
Нормальный юзер, диваны толкает :laugh2:
Ага, жалко нету теперь его с нами, и темы его тоже :)
Теперь будет толкать на других форумах)))
Kalian, правильно сделал :D
kirill1978
06.05.2011, 18:15
Ага, жалко нету теперь его с нами, и темы его тоже :)
Блин, хотел диван заказать - не успел :laugh2::laugh2::laugh2:
Добавлено через 49 минут
Что-то в последнее время частенько стали региться юзеры с подозрительными никами. Вот к примеру last - http://forum.clubsx4.ru/member.php?u=6261
Что-то в последнее время частенько стали региться юзеры с подозрительными никами. Вот к примеру last - http://forum.clubsx4.ru/member.php?u=6261
Возможно один и тот же бот, а может кому-то не лень регаться и оставлять сообщения ручками.
Надо систему антиспама какую-нибудь поставить без особых наворотов, например чтобы сразу банила юзеров, которые оставляют внешнюю ссылку в своих первых 1-3 сообщениях (ставил себе такое на IPB, очень здорово помогает).
Еще можно изменить имена у полей для ввода email и капчи и т.д.
Похоже, вторично хакнули...:shocked:
Andrew_spb
24.05.2011, 14:28
Rzyx, не похоже, а точно!
Что-то зачастили нас хакать... :aq:
Куда смотрит администрация!!! :sm_zdesya::jester::laugh2:
VredniyGad
24.05.2011, 15:30
блин, как тренировочная площадка стали...((
Канаи Ацуда
24.05.2011, 16:09
надо думать - это был не последний раз :) нравицца швецким подросткам слово секс :)
зы: еще и темы пропадают :(
нравицца швецким подросткам слово секс
надо модераторам заменить по всему форуму слово секс на *бип*)))))
зы: еще и темы пропадают
ничего, у тебя их наверняка еще много в запасе;)
И зарегистрированных ботов на форуме больше, чем реальных пользователей.
У многих в подписях ссылки, чтобы поисковики их скушали)
Мод хоть навсегда снесли?)) А это эксплоит уже в паблике на забугорных сайтах валяется.
надо модераторам заменить по всему форуму слово секс на *бип*)))))
По умолчанию слово "секс " должно превращаться в миниатюру эмблемы "SX4" :07:
Интересно, так можно сделать?
По умолчанию слово "секс " должно превращаться в миниатюру эмблемы "SX4" :07:
Интересно, так можно сделать?
Очень просто, пишется скрипт, который просматривает каждое сообщение и делает замену, затем обратно вставляет в БД.
Сообщений мало, так что пару минут и все готово.
Да и в новых сообщениях реализуется через стандартные замены.
Хакнули не из-за секса, ищут через гугл сайты с узвимым скриптом и добавляют их в список.
Дальше делов на пару минут и скрипт проходит пару сотен форумов (можно собрать больше).
@lex@nder
24.05.2011, 18:37
По умолчанию слово "секс " должно превращаться в миниатюру эмблемы "SX4"
Угу: правописание - параметры автозамены :)
ThinkPad
24.05.2011, 20:40
И зарегистрированных ботов на форуме больше, чем реальных пользователей.
Согласен... ботов много....
Может почистить неактивных (например с 0 сообщений и не появляющихся в течении месяца двух)....
Да и процедуру регистрации усложнить наверное надо (я ее уже и не помню если честно).....
Безобразие, деградация... Джаз я еще могу терпеть, но это... фу, смотреть противно. Что будет дальше - кони-лошади? Страшно подумать.
Dear swedish hackers!
If you have so strong demand to apply your abilities on our site please change repertoire!
No jazz but industrial or punk-rock, no ebony, no plump but only old good swedish new-year classic.
Sincerely yours, Dmitry.
Надо сказать им спасибо за то, что всего-лишь отключили форум и заменили главную страницу форума и админки. Наша школота давно бы слила БД и посносила бы все нафик (или по тихому разместили бы ифреймовых троянов и рекламу).
....
Может почистить неактивных (например с 0 сообщений и не появляющихся в течении месяца двух)...
Такая "охота на ведьм" уже как-то проводилась, только тогда: пол года был критерий, по моему...
На мой взгляд это не связанные вещи: Боты и взлом
Вещи не связанные, но на форуме нет никакой защиты ни от взломов, ни от ботов + сторонний модуль с уязвимостями.
dragon772
25.05.2011, 09:32
Поскольку это не первый раз,мож пора обратиться в Отдел "К" (http://www.kguvd.ru/)?
Поскольку это не первый раз,мож пора обратиться в Отдел "К"?Сперва скинемся на лицензию vbulletin :D
dragon772
25.05.2011, 10:25
WhyMax,
Сначала надо знать,что у нас: Forum Classic или Publishing Suite.
Вполне адекватная цена за 1 лицензию:
http://pics4u.ru/image-D3BB_4DDCAEB8.jpg (http://pics4u.ru/share-D3BB_4DDCAEB8.html)
Вот мне лично джаз как-то больше нравился....
Сначала надо знать,что у нас: Forum Classic или Publishing Suite.
Вполне адекватная цена за 1 лицензию:Publishing Suite - это сам движок форума + CMS, у нас только форум (начиная с 4 версии воблы).
Поскольку отдел "К" не прикрыл наш форум, вдаделец которого находится в России и данные достать как нефик делать, то шведских хакеров они искать не будут)))
Сегодня какие-то шведские ребята взломали наш форум и поставили вместо главной страницы забавный видео ролик.
Сейчас вроде все восстановили. Дыру ищем, как найдем - будем ее латать.
Взломали не очень серьезно: помимо видео на главной поменяли всем пользователям статусы. Статусы сейчас у всех стандартные (в зависимости от количества сообщений).
Поэтому всем пользователям, у кого был особенный статус - пишите мне в личку, поменяю.
Так может начать с усложнения политики паролей. А то прописные буквы и цифры дюже несекурно.
Друзья, меня осенило!:)
Как говорил Шерлок Холмс? "Хотите найти преступника - ищите мотив".
Теперь обратимся к дедуктивному методу:
1) Факты - шведские хакеры взломали сайт Suzuki SX4.
2) Кому это нужно? - Конкурентам. Кто конкурент в швеции - Volvo.
Все сходится. Администрация может смело писать жалобу. :D
dragon772
26.05.2011, 14:30
WhyMax,
Ошибаешься.Есть Интерпол и Европол.Они имеют право задерживать/арестовывать по всей Европе.
Natz72,
Забыл еще про SAAB.:laugh2:
WhyMax,
Ошибаешься.Есть Интерпол и Европол.Они имеют право задерживать/арестовывать по всей Европе.
удачи им в поиске :)
Канаи Ацуда
26.05.2011, 22:50
какой там нах Интерпол?! :) чем докажете факт правонарушения? :) да и какого именно? :) статья, ссцылки и т.п.? :)
Да ладно вам, у деток может олимпиада была :sm_lol:
vedmedushka
27.05.2011, 11:44
А как происходит восстановление хакнутово форума, а и почему?
А как происходит восстановление хакнутово форума, а и почему?Никак, на форуме просто заменили главную страничку (ну и может быть сменили звания юзеров).
Если удалят файлы и почистят БД, то и это не проблема, нормальные хостеры делают ежедневные бэкапы.
Powered by vBulletin® Version 4.2.1 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved. Перевод: zCarot