Появился чужак - администратор......

Автор Моника, 07 октября 2008, 21:52:48

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Моника

Здравствуйте! Зайдя на свой форум SMF 1.1.4  увидела нового пользователя с правами администратора. Я была в шоке...
Зашла в админ панель, удалила его с группы и забанила. Посмотрела логи ошибок форума, в течении 20 минут он посылал запросы какие то
.............action=theme;sa=admin;sesc..........
.............action=theme;sa=install;theme.......
..............action=theme;sesc..............
.............action=theme;sa=pick;u=-1;sesc..........
..............action=theme;sesc..............sa=edit;filename=index.php

На первый взгляд с форумом вроде все в порядке, я это обнаружила примерно час назад. Помогите пока не поздно, что мне делать и какая у него была цель?


Моника

Хорошо, а что это даст? А инфа сохранится?

Yworld_garry

Каждая последующая, устраняет баги пред идущей.
Инфа сохраниться.
Все действия из админки, форум напишет если что не так при обновлении.

Да и существует не один вариант получить то что у тебя вышло.
Так что начни с обновления.

Моника

Немного переживаю если что то пойдет не так. Я неумею сохранять данные. :-[ Нужно ли ставить форум на тех обслуживание при обновлении?

Yworld_garry

Обновление займёт 20 секунд, или чуть больше.
Поставь хуже не будет.
А вот бекап файлов и дамп базы,полезно иметь всегда.

Моника

Мне выдает ошибку

Некоторые файлы, которые менеджер пакетов должен изменить, не имеют прав на запись. Измените эти права, используя FTP.
550 Can't change directory to /forum: No such file or directory

Мне папку форум выставить 777 ?

digger®

Цитата: Моника от 07 октября 2008, 22:33:21
Мне выдает ошибку

Некоторые файлы, которые менеджер пакетов должен изменить, не имеют прав на запись. Измените эти права, используя FTP.
550 Can't change directory to /forum: No such file or directory

Мне папку форум выставить 777 ?
Вы когда по фтп заходите, ведь не сразу в папке форум оказываетесь. Вот и надо путь целиком указать.

Моника

#8
38 позиций успешно обновились, ошибок не было )) И форум теперь SMF 1.1.5 .

Что мне теперь делать, как узнать что изменял или делал на форуме чужак и какая у него была цель?




В логах ошибок форума он очень много отсылал запросы... Зашла на фтп в паку форум. В то время когда он был на форуме изменялась одна папка Themes, в этой папке были изминения в папке blackTed, она пустая... Не помню, должно так быть или нет


Моника

Спасибо, просто сейчас все мысли о том что произошло...
Без ошибок обновился форум до 1.1.6.


В общем на сколько я понимаю, он инсталировал что то action=theme;sa=install в папку Subs-Package.php    The script whose uid is 2381 is not allowed
Там много чего написано, просто мне кажется, что все это на форум выставлять нельзя.
Форум обновлен, ему уже ничего не грозит? Или чужак сможет как то управлять имея данные с той папки?

Yworld_garry

Всё что заливалось, изменялось не тобой, не имеет права на жизнь.
Если тебе залили шел или ещё какую гадость, нужно удалять.
Вообще-то не плохо сравнить код файликов с оригиналом если нет рабочего бекапа.
Посмотреть на хосте незнакомые файлики. Сменить пароли на фтп и форум.
Посмотреть хотя бы на взгляд в исходном коде незнакомые участки.
Чудес не бывает.

Моника

Всем большое спасибо за поддержку и помощь! :) Я так поняла, что форуму уже почти ничего не угрожает ) Бекапа нет, буду потихоньку смотреть что там и как.

Посмотрела информацию по этому человеку, в инете предлагает не совсем законные махинации. Завтра буду звонить его провайдеру, надеюсь примут меры если у них фиксируются что делают их пользователи. Странно, но он не через прокси был...

Avdenago

Цитата: Моника от 08 октября 2008, 00:08:00
Бекапа нет, буду потихоньку смотреть что там и как.

Ну так сделать.

Хотя бы базы форума. Про файлы и аватары не говорю - иногда их общий размер не позволяет сделать их бэкап. Хотя при должном старании можно и это.

А бэкап баз данных можно сделать через админку форума в Обслуживании.

Моника

Цитата: Avdenago от 09 октября 2008, 01:15:02

А бэкап баз данных можно сделать через админку форума в Обслуживании.

Сделала )) А в случае чего, как бэкап обратно залить?

Vysotnik

Цитата: Моника от 14 октября 2008, 22:40:52
Сделала )) А в случае чего, как бэкап обратно залить?
а обратно через сторонние инструменты для работы с БД,
стандартно для этого используется ПхпМайАдмин,
если же нет доступа к такому инструменту через хостинг-панель (бывает и такое), то можно его скачать с родного сайтика и поставить самостоятельно  O0

к стати, проблема взлома форума весьма вероятно была связана как раз с той проблемой, о которой ты до недавних пор не догадывалась, судя по твоему диалогу выше:
разрешения на файлы и папки выстави грамотно, чтоб туда всякую гадость не писали все кому не лень и грамотно .htaccess надо прописать опять же

888dobriy

нужно переходить на более новую версию, всегда.

новый админ на 95% появился из-за дыры версии 1.1.4.

digger®

Цитата: 888dobriy от 26 октября 2008, 16:21:34
нужно переходить на более новую версию, всегда.

новый админ на 95% появился из-за дыры версии 1.1.4.
В студию работающий вариант использования некой дыры в 1.1.4

Mavn

Digger
есть рабочий вариант только вот для этого нужна сессия админа чтобы добавить пользователя в нужную группу я не тестировал на последних версиях на судя по всему работает. Кинул в личку пример. Не для распространения
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Vysotnik

хуже, что какая то дыра есть и в последней версии 1.1.6  :-[

у меня в статусной странице периодически возникает такая странная картинка (во вложении)
и помоему это относится каким то боком к этой теме - статуса администратора этот "гость" не имеет, но, вообще как "гость" смог себе включить невидимость, да ещё и от админа? - попахивает взломом :(

Mavn

Хехе ищите дальше эту дыру в том же направлении :).
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Моника

Цитата: Mavn от 26 октября 2008, 20:55:13
Digger
для этого нужна сессия админа чтобы добавить пользователя в нужную группу я не тестировал на последних версиях на судя по всему работает.

Это значит, что я с админ панели куда то перешла и меня поймали на этом?

Yworld_garry

Моника, нет, переходите спокойно.
В данном случаи нет.

Vysotnik

Цитата: Моника от 27 октября 2008, 21:47:45
Это значит, что я с админ панели куда то перешла и меня поймали на этом?
ну может и перебдел
- наблюдл подобную картину давно, раньше просто не придавал ей значения, поскольку последствий существенных не наблюдал, а в логах тоже ничего "такого"

а тут решил версию выдвинуть на всякий "пожарный" - вдруг кто сталкивался и объяснит это простыми багами двигла форума, к чему я всё же склоняюсь :)
ЗЫ приятно всё ж иметь разумное объяснение, чем на одно авось пологаться ;)

bbbbbb


Mavn

bbbbbb просветите неграмотных что есть спуфинг ip
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

kaiman

Цитата: Mavn от 10 ноября 2008, 12:19:15
bbbbbb просветите неграмотных что есть спуфинг ip
открываем википедию и читаем:
IP-спуфинг (от англ. spoof — мистификация) —

   1. Вид хакерской атаки, заключающийся в использовании чужого IP-адреса с целью обмана системы безопасности.
   2. Метод, используемый в некоторых атаках. Состоит в проставлении в поле обратного (source) адреса IP-пакета неверного адреса. Применяется с целью сокрытия истинного адреса атакующего, с целью вызвать ответный пакет на нужный адрес и с иными целями.

Протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения спуфинга — так называемые номера последовательности и подтверждения (sequence number, acknowledgement number). Протокол UDP не имеет такого механизма, следовательно, построенные на его основе приложения более уязвимы для спуфинга.
Любишь кататься, люби и... катайся.

Mavn

kaiman
ну вообще то если обратите внимание то вопрос адресовывался именно bbbbbb
что это такое мы по роду деятельности знаем  8)
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

kaiman

Цитата: Mavn от 10 ноября 2008, 21:10:57
kaiman
что это такое мы по роду деятельности знаем  8)
ну я надеюсь что знаете 8)
это я так в целях повышения общей образованности  ^-^
хотя это уже флуд пошел... ???
Любишь кататься, люби и... катайся.

bbbbbb

#29
кандидат наук СССР  2funny ;D

Mavn, я не говотрил что это такое потому что не знаю, на вопрос: куда то перешла и меня поймали на этом? не прозвучал ответ, спуфинг это ты прост смотришь трафик, и там видна эта сессии четко, если не зашифрованное соединение, но вообще-то у меня стоит форум 1.3, если есть сессися админа, то перевести какого-то пользователя нельзя, потому что спрашивается пароль...

а вообще обсуждать не чего
(больше должен сказать гуголЪ.комЪ)

Моника

Цитата: bbbbbb от 16 ноября 2008, 23:23:41

а вообще обсуждать не чего


Как не чего? По моему все интересное только начинается  8)

A.Bercut

подобную ситуацию однажды вычислил в взломе именно по ftp, поэтому рекомендую проверять PC на наличие троянов и по возможности не сохранять пароль для автозаполнения

Kykapa4a

Через phpmyadmin. Такой пункт должен быть у вас в панели администрирования на хостинге. По другому в Cpanel.

Stern

Цитата: Моника от 07 октября 2008, 21:52:48
Здравствуйте! Зайдя на свой форум SMF 1.1.4  увидела нового пользователя с правами администратора. Я была в шоке...
Зашла в админ панель, удалила его с группы и забанила. Посмотрела логи ошибок форума, в течении 20 минут он посылал запросы какие то
.............action=theme;sa=admin;sesc..........
.............action=theme;sa=install;theme.......
..............action=theme;sesc..............
.............action=theme;sa=pick;u=-1;sesc..........
..............action=theme;sesc..............sa=edit;filename=index.php

На первый взгляд с форумом вроде все в порядке, я это обнаружила примерно час назад. Помогите пока не поздно, что мне делать и какая у него была цель?
Хоть и давно это было, но может быть небесполезно всем.

Именно через эту тему на два моих проекта этим летом был залит шелл.
Хакерские инструкции легко находит Яндекс (Форум АНТИЧАТ - Faq по Smf (Заливка шелла)!)
МышЫ плакали, кололись, но продолжали жрать кактус...

digger®

Цитата: Stern от 11 ноября 2010, 11:54:15

Именно через эту тему на два моих проекта этим летом был залит шелл.
Хакерские инструкции легко находит Яндекс (Форум АНТИЧАТ - Faq по Smf (Заливка шелла)!)

Для этого админский аккаунт нужен.
А уязвимости в обработке вложений (Kris Barteo) закрыты в SMF 1.1.7 или 1.1.8.

trora

ЦитироватьХакерские инструкции легко находит Яндекс (Форум АНТИЧАТ - Faq по Smf (Заливка шелла)!)
яндекс говорит что сам форум ихний содержит вредоносный код.
я не доллар чтоб всем нравиться

GeorG

Наверно входе экспериментов, взломали сами себя :D
Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Stern

Цитата: digger от 11 ноября 2010, 15:54:13
Для этого админский аккаунт нужен.
А уязвимости в обработке вложений (Kris Barteo) закрыты в SMF 1.1.7 или 1.1.8.
Старина Крис - ну кто ж его не знает?)) - но он здесь точно не при чём(
А вот как было залито? - уже не узнать - хостинг поменяли.
Но совершенно точно, что не через админский акк.
Хотя можно попытаться найти логи тех времён (у того же бывшего хостера)

Цитата: Geor'G от 11 ноября 2010, 19:29:28
Наверно входе экспериментов, взломали сами себя :D
Вы про унтер-офицерскую вдову? - да-да, она такая шалунья!)
МышЫ плакали, кололись, но продолжали жрать кактус...