Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Зашли под админом и разместили плохую ссылку (порно). Как это возможно, неужели хостер? Пароль админа сложный.. Сменил.. Так понимаю, что в базу залезли? Как блин?
Offline
Не обязательно хостер, пароль могли перехватить через любое ненадежное приложение используемое вами, левую сборку фтп-клиента (к примеру), а также пароль могли получить на другом ресурсе, часто 1 пароль вешают на все сайты и сервисы, в этом может быть и проблема. Как вариант взломали сам форум или просто методом перебора, смотрите логи сервера.
Но скорее всего взломали сам форум
Offline
Всё отпадает, кроме взлома самого форума.. (Левых файлов в директории не нашел..) С этим видимо ничего не поделать.. Печалька однако
Редактировался util (2020-09-02 09:29:49)
Offline
У вас форум до сих пор функционирует по не безопасному http. Любому "стоящему по середине" достаточно перехватить ваши куки, чтобы зайти на форум под вами.
В логах доступа сервера можно попытаться найти откуда взлом был, ip.
0. Проверяйте комп админа на вирусы/трояны и меняйте доступ к почте админского аккаунта.
1. Переводите форум на обязательный https.
2. Обновляйте программное обеспечение сервера до последних версий: как движок форум, так и php и т.д.
3. В include/config.php меняйте
$cookie_secure = 0;
на
$cookie_secure = 1;
чтобы куки передавались только по https.
4. Меняйте пароли админов на форуме.
5. Еще: Админка -> Security -> Проверять изменения IP администраторов и модераторов. При изменении запрашивать пароль. Рекомендуется включить.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
могли перехватить через любое ненадежное приложение
Форум по http протоколу открывается.
или просто методом перебора
Математическая капча выскакивает после нескольких ошибочных попыток входа за единицу времени.
@util, смотрите логи сервера.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
AWA дала такой отчет -
./lang/Russian/admin_index.php(39): 'Функция PHP phpinfo() была отклю ****
./lang/English/admin_plugin_pms_new.php(6): ng private messaging system (PMS) for your forum.
./lang/English/admin_index.php(39): > 'The PHP function phpinfo() has been disabled o ****
./include/dblayer/sqlite.php(44): touch($db_name); @chmod($db_name, 0666);
./include/security.php(198): ? $d[$i] : ''); eval('$sum = '.$str.';');
./include/upload.php(118): upload = 0; $open = opendir(PUN_ROOT.$dir); whi
./include/upload.php(304): pe)) return false; @chmod(PUN_ROOT.$dir.$name.
./include/email.php(327): ly) $local_host = php_uname('n'); // Able to reso ****
./upfiles.php(225): ].$error); if (!@move_uploaded_file($_FILES['upfile']['t
./upfiles.php(227): 'Move failed']); @chmod(PUN_ROOT.$dir.$name.
./upfiles.php(311): OT.$dir)) { $open = opendir(PUN_ROOT.$dir); whi
./profile.php(383): estrictions if (!@move_uploaded_file($uploaded_file['tmp_
./profile.php(395): '.$id.'.tmp'); @rename(PUN_ROOT.$pun_config
./profile.php(426): ete_avatar($id); @rename(PUN_ROOT.$pun_config
./profile.php(427): $id.$extension); @chmod(PUN_ROOT.$pun_config
./plugins/AP_Upload.php(379): af = array(); $ad = scandir(PUN_ROOT.$mem); for
./plugins/AP_Upload.php(385): m.$f.'/'; $open = opendir(PUN_ROOT.$dir); w
./plugins/AP_Smilies.php(240): estrictions. if (!@move_uploaded_file($uploaded_file['tmp_
./plugins/AP_Smilies.php(260): .$extensions[2]); @rename(PUN_ROOT.'img/smilie
./plugins/AP_Smilies.php(261): .$extensions[0]); @chmod(PUN_ROOT.'img/smilie
./awa-56796e.php(80): s); } if($dh = opendir($dir)) {
./awa-56796e.php(134): s); } if($dh = opendir($dir)) {
./awa-56796e.php(221): uffMatch[0][$i][0], 'opendir($dir)') !== false)
./admin_statistics.php(26): ] : null; // Show phpinfo() output if ($action ****
./admin_statistics.php(57): ,?\s+([0-9\.]+)%i', @exec('uptime'), $load_ave
Звездочками помечены строки помеченные как опасные, остальные - как подозрительные.
Можете дать короткий комментарий?
Offline
@util, я в прошлой теме https://fluxbb.qb7.ru/forum/viewtopic.p … 599#p30599 все расписал. Ни чего нового по сравнению с тем разом я в отчете не вижу.
1. Атакующий снова подписи меняет?
2. У вас на форуме левого админа/модератора в списках пользователей не появилось случайно еще с прошлого раза?
3. В прошлый раз, если не ошибаюсь, просил выложить лог сервера (доступ к файлам) для атакующего форум, но так его и не увидел. Сейчас снова прошу выложить этот лог, чтобы понять, что атакующий делает на форуме.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
4. Так как у вас сервер nginx, совету настроить его конфиг по примеру (пример написан для http, для https нужно дополнить настройки) https://github.com/MioVisman/FluxBB_by_ … .dist.conf
чтобы нельзя было запускать php файлы вне основной директории,
чтобы нельзя было просматривать списки файлов в директориях,
чтобы ссылки на несуществующие загруженные файлы показывали картинку по умолчанию в виде вопроса,
чтобы сервер выдавал заголовки безопасности в ответе.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Страницы 1