Взлом форума

util · 2020-09-02 08:49:10

Зашли под админом и разместили плохую ссылку (порно). Как это возможно, неужели хостер? Пароль админа сложный.. Сменил.. Так понимаю, что в базу залезли? Как блин?

Aлександр · 2020-09-02 09:10:47

Не обязательно хостер, пароль могли перехватить через любое ненадежное приложение используемое вами, левую сборку фтп-клиента (к примеру), а также пароль могли получить на другом ресурсе, часто 1 пароль вешают на все сайты и сервисы, в этом может быть и проблема. Как вариант взломали сам форум или просто методом перебора, смотрите логи сервера.

Но скорее всего взломали сам форум

util · 2020-09-02 09:28:39

Всё отпадает, кроме взлома самого форума.. (Левых файлов в директории не нашел..) С этим видимо ничего не поделать.. Печалька однако

Редактировался util (2020-09-02 09:29:49)

Visman · 2020-09-02 13:03:23

У вас форум до сих пор функционирует по не безопасному http. Любому "стоящему по середине" достаточно перехватить ваши куки, чтобы зайти на форум под вами.

В логах доступа сервера можно попытаться найти откуда взлом был, ip.

0. Проверяйте комп админа на вирусы/трояны и меняйте доступ к почте админского аккаунта.
1. Переводите форум на обязательный https.
2. Обновляйте программное обеспечение сервера до последних версий: как движок форум, так и php и т.д.
3. В include/config.php меняйте

$cookie_secure = 0;

на

$cookie_secure = 1;

чтобы куки передавались только по https.
4. Меняйте пароли админов на форуме.
5. Еще: Админка -> Security -> Проверять изменения IP администраторов и модераторов. При изменении запрашивать пароль. Рекомендуется включить.

Visman · 2020-09-02 13:07:28

Aлександр пишет:

могли перехватить через любое ненадежное приложение

Форум по http протоколу открывается.

Aлександр пишет:

или просто методом перебора

Математическая капча выскакивает после нескольких ошибочных попыток входа за единицу времени.

@util, смотрите логи сервера.

util · 2023-01-22 14:26:15

AWA дала такой отчет -

./lang/Russian/admin_index.php(39): 'Функция PHP phpinfo() была отклю ****
./lang/English/admin_plugin_pms_new.php(6): ng private messaging system (PMS) for your forum.
./lang/English/admin_index.php(39): > 'The PHP function phpinfo() has been disabled o ****
./include/dblayer/sqlite.php(44): touch($db_name); @chmod($db_name, 0666);
./include/security.php(198): ? $d[$i] : ''); eval('$sum = '.$str.';');
./include/upload.php(118): upload = 0; $open = opendir(PUN_ROOT.$dir); whi
./include/upload.php(304): pe)) return false; @chmod(PUN_ROOT.$dir.$name.
./include/email.php(327): ly) $local_host = php_uname('n'); // Able to reso ****
./upfiles.php(225): ].$error); if (!@move_uploaded_file($_FILES['upfile']['t
./upfiles.php(227): 'Move failed']); @chmod(PUN_ROOT.$dir.$name.
./upfiles.php(311): OT.$dir)) { $open = opendir(PUN_ROOT.$dir); whi
./profile.php(383): estrictions if (!@move_uploaded_file($uploaded_file['tmp_
./profile.php(395): '.$id.'.tmp'); @rename(PUN_ROOT.$pun_config
./profile.php(426): ete_avatar($id); @rename(PUN_ROOT.$pun_config
./profile.php(427): $id.$extension); @chmod(PUN_ROOT.$pun_config
./plugins/AP_Upload.php(379): af = array(); $ad = scandir(PUN_ROOT.$mem); for
./plugins/AP_Upload.php(385): m.$f.'/'; $open = opendir(PUN_ROOT.$dir); w
./plugins/AP_Smilies.php(240): estrictions. if (!@move_uploaded_file($uploaded_file['tmp_
./plugins/AP_Smilies.php(260): .$extensions[2]); @rename(PUN_ROOT.'img/smilie
./plugins/AP_Smilies.php(261): .$extensions[0]); @chmod(PUN_ROOT.'img/smilie
./awa-56796e.php(80): s); } if($dh = opendir($dir)) {
./awa-56796e.php(134): s); } if($dh = opendir($dir)) {
./awa-56796e.php(221): uffMatch[0][$i][0], 'opendir($dir)') !== false)
./admin_statistics.php(26): ] : null; // Show phpinfo() output if ($action ****
./admin_statistics.php(57): ,?\s+([0-9\.]+)%i', @exec('uptime'), $load_ave

Звездочками помечены строки помеченные как опасные, остальные - как подозрительные.
Можете дать короткий комментарий?

Visman · 2023-01-22 16:20:53

@util, я в прошлой теме https://fluxbb.qb7.ru/forum/viewtopic.p … 599#p30599 все расписал. Ни чего нового по сравнению с тем разом я в отчете не вижу.

1. Атакующий снова подписи меняет?
2. У вас на форуме левого админа/модератора в списках пользователей не появилось случайно еще с прошлого раза?
3. В прошлый раз, если не ошибаюсь, просил выложить лог сервера (доступ к файлам) для атакующего форум, но так его и не увидел. Сейчас снова прошу выложить этот лог, чтобы понять, что атакующий делает на форуме.

Visman · 2023-01-22 16:29:54

4. Так как у вас сервер nginx, совету настроить его конфиг по примеру (пример написан для http, для https нужно дополнить настройки) https://github.com/MioVisman/FluxBB_by_ … .dist.conf
чтобы нельзя было запускать php файлы вне основной директории,
чтобы нельзя было просматривать списки файлов в директориях,
чтобы ссылки на несуществующие загруженные файлы показывали картинку по умолчанию в виде вопроса,
чтобы сервер выдавал заголовки безопасности в ответе.

Русское сообщество fluxbb

Объявление

#1 2020-09-02 08:49:10

Взлом форума

#2 2020-09-02 09:10:47

Re: Взлом форума

#3 2020-09-02 09:28:39

Re: Взлом форума

#4 2020-09-02 13:03:23

Re: Взлом форума

#5 2020-09-02 13:07:28

Re: Взлом форума

#6 2023-01-22 14:26:15

Re: Взлом форума

#7 2023-01-22 16:20:53

Re: Взлом форума

#8 2023-01-22 16:29:54

Re: Взлом форума

Подвал доски