Ru-Board.club
← Вернуться в раздел «Другие форумы»

» юзер грозит взломать форум - нужен совет

Автор: yeros
Дата сообщения: 22.04.2009 16:29
Привет
Я админю на одном форуме на vBulletin.

Форум не мой, я просто админю там.

Вчера ночью ко мне обратился хозяин сайта и сказал, что один из юзеров, у которого был какой то конфликт с модераторами - каким то образом стал админом и стал самовольничать.

Пришлось зайти и первым делом просто забанил юзера. Через 2 мин. смотрю кто то бан снял и он опять админ и даже вешает какие то объявления на форуме и успел удалить пару девочек, с которыми у него вроде и был конфликт. Пришлось просто удалить этого юзера. Тогда мне в голову не пришло как он это сделал, просто старался как то его обезвредить. Но через 5 минут мне всё таки в голову пришло посмотреть логи админки и заметил, что поднять до админа; снять бан; заново создать акк и сразу же сделать админом - делается через одного из админов на форуме (но с его Айпи). Т.е. у него есть доступ или пасс этого админ акк-а.

Пришлось снизить этого администратора и поменять пасс (на всякий случай).
После этого вроде все успокоилось.

На всякий случай удалил всех админов (живых и мертвых) и единственное что мне пришло в голову, что он каким то образом достал или взломал пасс этого админ акк-а.

Оставил 2 акк-а - для меня и для хозяина.

С утра хозяин опять меня тревожит, что этот юзер опять на форуме и опять что то пишет (я ещё делал такую фичу, что юзеры первые 10 дней не могут открыть посты и все такое ). Получается, что ему кто то помог. Смотрю логи он зашел через админ акк хозяина сайта.

Опять поменял пасс, снизил до юзера и всё такое. Но уже на думаю, что по второму разу он взломал пасс. Тут всё таки другое.

Даже поговорил с ним по Айсикю - какой то подросток, кто в обыде на модера и хочет доказать, что он такой крутой -сякой, говорит что может залить шелл, за 5 мин взломать сайт ... итд

Впечетление, что есть знания, но не из продвинутых и почти не опыта, зато очень наглый и самоуверенный.

Пока что закрыл доступ его Айпи с сервера, но понятное дело, что - это фигня если знаешь что такой прокси.

Версия Форума vBulletin 3.7.3 Patch Level 1, понимаю, что надо сделать апдейт, но всё таки для меня вопрос как он 2 раза взломал или достал пассы к акк-ам остался открытым.

Пока всё тихо, но мало верится, что на долго.

Подскажите, что может быть причиной.

Надо ли мне в быстро обновить версию форума или всё таки вопрос в другом.

Спасибо
Автор: Cheery
Дата сообщения: 22.04.2009 17:09
yeros

Цитата:
но всё таки для меня вопрос как он 2 раза взломал или достал пассы к акк-ам остался открытым.

ну так просмотрите логи.. делов то, блин..
+ смотрите
http://secunia.com/advisories/search/?search=vbulletin
Автор: yeros
Дата сообщения: 22.04.2009 18:29

Цитата:
ну так просмотрите логи.. делов то, блин..


о каких логах идет речь ?

по "Записям панели управления" можно только видеть какими файлами он работал и Айпи, или вы имели что то другое.
Автор: Cheery
Дата сообщения: 22.04.2009 18:56
yeros

Цитата:
о каких логах идет речь ?

о вебсерверных.. посмотрите логи и будет очевидно как "сломал"
Автор: yeros
Дата сообщения: 22.04.2009 20:47

Цитата:
о вебсерверных.. посмотрите логи и будет очевидно как "сломал"

к сожалению форум на дримхост - максимум есть Аналог для статистики

Автор: Cheery
Дата сообщения: 23.04.2009 06:16
yeros

Цитата:
к сожалению форум на дримхост - максимум есть Аналог для статистики

тогда обновляйте скрипт.
либо просите логи у поддержки
Автор: Vasya Pupkin
Дата сообщения: 23.04.2009 13:42
yeros, если на твоей площадке есть еще какие-нить скрипты помимо форума, то мог запросто залезть через них. Но даже одного раза достаточно для того, чтобы оставить для себя дыру. Залив шел или модифицировав скрипты борды.
План действий таков:
- раздобыть логи. без них ничего серьезного не получится, а с ними будет гораздо проще.
- залезть на серв и проверить каждый файл на предмет недавних изменений, а также обратить внимание не появились ли бонусные.
- обновить все скрипты до последних версий.
Автор: yeros
Дата сообщения: 24.04.2009 01:51

Цитата:
залезть на серв и проверить каждый файл на предмет недавних изменений, а также обратить внимание не появились ли бонусные.


Прошу прошения, а что значит бонусные файлы ?

Спасибо большое
Автор: Cheery
Дата сообщения: 24.04.2009 02:29
yeros

Цитата:
Прошу прошения, а что значит бонусные файлы ?

дополнительные.. просмотрите файлы по дате создания/изменения
Автор: yeros
Дата сообщения: 24.04.2009 20:46
обновил скрипт, поставил htpasswd, все пассы поменял, прошел по форуму в поисках подозрительных файлов, закрыл его Айпи (знаЮ, что это ничего не даст) .... но к сожалению, этот мудак опять зашел на форум - и на этот раз через акк другого юзера и через Anonymizer сервис.

Ничего не сделал - так как статус -всего лишь advanced user (простой юзер), но вот открыть пост и сказать, что он тут - у него хватило наглости.

Плюс ко всему достал логи его захода и надеюсь действии, но если честно мало что понял из логов, что и как он сделал.

Если кто то понимает логи, просьба помогите (на форуме моя позиция - потянуть время - т.е. я даже не забанил его)

----
оставил только его логи -
сейчас сброшу на какой то файл обменник

Название: log.rar
Размер: 4.48 кб
Доступен до: 2009-05-24 21:48:44
Ссылка для скачивания файла: хттп://ifolder.ru/11794723
или тот же файл
Название: log.txt
Размер: 66.82 кб
Доступен до: 2009-05-24 21:49:57
Ссылка для скачивания файла: хттп://ifolder.ru/11794770
Автор: Cheery
Дата сообщения: 24.04.2009 20:58
yeros

Цитата:
но к сожалению, этот

фильтруйте речь, не на базаре

Цитата:
и на этот раз через акк другого юзера и через Anonymizer сервис

ну увел его пароль или был у него ранее к нему доступ.
это же не говорит, что дыра теперь есть и логи, ессно, это не покажут.
и в приведенных логах не видно попытки доступа куда то или взлома.


насчет анонимайзеров - легко вырезать по User-Agent
в .htaccess

SetEnvIfNoCase User-Agent "Anonym" anonym
Order Allow,Deny
Allow from all
Deny from env=anonym



Цитата:
обновил скрипт

версия теперь какая? и если установлены хаки какие то, то тоже версии?
Автор: yeros
Дата сообщения: 24.04.2009 21:06

Цитата:
ну увел его пароль или был у него ранее к нему доступ.

акк не его - увел


Цитата:
насчет анонимайзеров - легко вырезать по User-Agent

закрою этот Айпи тоже, но никто не отменял прокси


Цитата:
версия теперь какая? и если установлены хаки какие то, то тоже версии?


vBulletin     3.8.2          
Cyb - Advanced Forum Statistics     5.8.1     Cyb - Продвинутая статистика форума (Перевод: Romchik® - v.1.19)     

Cyb - ChatBox     2.2     Cyb - Чат (Перевод: Romchik® - v.1.12)     

NoSpam!     3.0     "NoSpam!" позволяет Вам определять ряд вопросов, на которые пользователи обязаны правильно ответить при регистрации, устраняя способность спамящих ботов регистрироваться на ваших форумах и оставлять нежелательные сообщения (Перевод: Romchik® v.1.0.3)     

Хак Фу! за собщения для 3.6.8     3.3     Перевод осуществил "FintMax"     

Post Thank You Hack     7.7     Post Thank You Hack


Цитата:
фильтруйте речь, не на базаре

прошу прошения, не сдержался
Автор: Cheery
Дата сообщения: 24.04.2009 21:08
yeros

Цитата:
акк не его - увел

значит ранее.. нет попыток взлома в логах - сразу зашел


Цитата:
vBulletin 3.8.2

а была какая?
дело в том, что если ранее была уязвимость позволяющая получить информацию о юзверях, то он мог сразу увести много паролей.
и надо просить юзверей сменить пароли
например вот..
http://secunia.com/advisories/32775/
когда был администраторский пароль, то можно было получить инфу из базы
Автор: yeros
Дата сообщения: 24.04.2009 21:16

Цитата:
дело в том, что если ранее была уязвимость позволяющая получить информацию о юзверях, то он мог сразу увести много паролей.


просто, после последнего взлома - я проверил все ip, через что он заходил и при поиске нашел 5-6 акк-ов (и сам же поменял их пассы)

Этого акк-а не было в том списке.


Цитата:
а была какая?

последный год -стоял vBulletin 3.7.3 Patch Level 1


Цитата:
когда был администраторский пароль, то можно было получить инфу из базы

странно, если у него все таки был доступ, тогда нафига он ждал столько времени после последнего взлома (захода -> Ban) 3-4 дня.

Автор: Cheery
Дата сообщения: 24.04.2009 21:19
yeros

Цитата:
последный год -стоял vBulletin 3.7.3 Patch Level 1

ну.. дыр там было полно..

Цитата:
странно, если у него все таки был доступ, тогда нафига он ждал столько времени после последнего взлома (захода -> Ban) 3-4 дня

может занят был.. в логах лишнего не видно - сразу зашел, значит пароль был.
ну, либо, если пароли хранятся в базе в виде хэша, то локальный подбор тоже может занять какое то время.
Автор: yeros
Дата сообщения: 26.04.2009 01:05
скажите плж как можно менять паспорта всех юзеров одним махом, чтобы не сидеть и руками менять >6000 пасспортов.

под руками Table: user, выжу там password филд, могу отдельно бекап сделать, потом после востановить, но не знаю как можно это сделать скриптом или как то автоматом.

Увидел какой то платный мод ""Force New Password"" но кажется это для 2й версии
Автор: Andrey_Wlodimirovich
Дата сообщения: 26.04.2009 01:10

Цитата:
как можно поменять юзер пасспорта одним махом
не верю, что можно такую ахинею нести на полном серьезе.. может паспорт юзера?
Автор: Cheery
Дата сообщения: 26.04.2009 01:28
Andrey_Wlodimirovich

Цитата:
не верю, что можно такую ахинею нести на полном серьезе.. может паспорт юзера?

речь о паролях
Автор: yeros
Дата сообщения: 26.04.2009 01:33
имею ввиду паспорта (passwords all of users) всех юзеров сразу

Ладно по другому поставлю вопрос - есть база, в нем таблица, в нем field (passwords)

так как я не вижу другого пути как можно менять через админку или базу, то думаю скачать только этот field (passwords), пройти по нему (к примеру через find-replace) и заново restore

Есть вожможность сделать бекап только один field таблицы ?
Автор: Cheery
Дата сообщения: 26.04.2009 01:34
yeros
я, все же, думаю дело в старых emailах..
ну хорошо, смените все пароли, а как они войдут после этого?
Автор: yeros
Дата сообщения: 26.04.2009 01:43

Цитата:
yeros
я, все же, думаю дело в старых emailах..
ну хорошо, смените все пароли, а как они войдут после этого?


через reset passwords (на худой конец через администрацию)

не склонен к старым емейлам, так как я сейчас сделаю чистку старых юзеров и собираюсь удалить, те кто не заходил долгое время.

Он уже заходил пару раз по активным акк-м, где и юзеры и мейлы были активны. -> вот поэтому.
Автор: Cheery
Дата сообщения: 26.04.2009 01:59
yeros
ну ок.. напишу сейчас как выглядеть должен запрос в базу.. сменит всем, ну за исключением некоторых
для выполнения его нужно либо написать небольшой скрипт, либо воспользоваться, если есть, phpmyadmin, либо через ssh доступ, если есть


Добавлено:
что то вида
UPDATE TP_user SET password=md5(CONCAT(md5(substring(MD5(RAND()), -12)),salt))
TP_ - префкс таблицы с пользователями
если хочется только какой то группе, то
UPDATE TP_user SET password=md5(CONCAT(md5(substring(MD5(RAND()), -12)),salt)) WHERE usergroupid=id_группы
правда это генерит пароль по всем правилами.. по нормальному можно заменить на фигню, но на всякий случай сделал по правилам, по которым генерится в самом vBulletin
берется случайная строка в 12 символов (от 0 до f)
от нее md5
к нему добавляется "соль" (ее не стал регенерить - берется из таблицы старая)
и от всего снова md5, после чего сохраняется в поле password в таблице с юзверями
Автор: yeros
Дата сообщения: 26.04.2009 03:14
большое спасибо скрипт сработал на ура .... только вот такая странность

после запроса - пароли изменились, но вот изменилось и количество юзеров и в новой ДБ появились новые юзеры, которых не было раньше, и старые куда то пропали.

Я взял только WHERE usergroupid=11 (т.е. только advanced users) - но если в базе только user table было 5161 строк, сейчас стало 6300 (речь о всех юзерс, не только advanced users).

Может быт стоит вернуть старую таблицу ?

запрос был такой

UPDATE user SET password=md5(CONCAT(md5(substring(MD5(RAND()), -12)),salt)) WHERE usergroupid=11

[перификса нет, usergroupid=1 номер группы ]

Добавлено:
запрос делал так - Phpmyadmin
зашел в базу - SQL tab и в форме (Run SQL query/queries on database) написал этот код    
Автор: Cheery
Дата сообщения: 26.04.2009 03:17
yeros
UPDATE не может добавить новые записи.
сделайте сначала проверку таблицы в phpmyadmin - может она повреждена
Автор: Vasya Pupkin
Дата сообщения: 26.04.2009 12:25
yeros, вы тут уже много нарассуждали с Чири, причем думаю верно )
Можно предположить, что в старой версии борды была дыра типа Remote File Inclusion Vulnerabilities или SQL Injection. Хакир слил базу юзеров, а дальше я тут об этом писал.
Автор: Cheery
Дата сообщения: 26.04.2009 20:22

Цитата:
UPDATE user SET password=md5(CONCAT(md5(substring(MD5(RAND()), -12)),salt)) WHERE usergroupid=11

Я, правда, вечером в этом чего то намудрил проще было так

UPDATE user SET password=md5(password) WHERE usergroupid=11
Автор: Zeratull
Дата сообщения: 26.04.2009 22:33
у меня ощущения что делали взлом через шелл либо доcтуп к базе mysql
скорее даже второе
Автор: Cheery
Дата сообщения: 26.04.2009 22:35
Zeratull

Цитата:
у меня ощущения что делали взлом через шелл либо доcтуп к базе mysql
скорее даже второе

да уже разобрались.. стащили старый бэкап
Автор: narkoz21
Дата сообщения: 11.05.2009 14:34
А ты не думал что он через shell как то тебя терроризирует тебя ???

попробуй сменить пас к БД скули ( потом моответственно в конфиге форума )


есть вопрос есть ответ CyberHackers.ru
Автор: Cheery
Дата сообщения: 11.05.2009 17:44
narkoz21
Прочитайте предпоследний пост - все уже решили

Страницы: 12

Предыдущая тема: Как правильно добавит в БД?


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.