Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Здравствуйте!
Вопрос - взлом админа форума. Можно ли удалить admin из системы, назначив нового участника под другим ником, не admin и даст ли это что-то от взломов?
С неизменным уважением
Offline
У взломанного админа достаточно изменить пароль. Можно дополнительно сменить email.
Если этот админ по какой-то причине уже не активен, то можно его понизить до простого пользователя и забанить после этого.
Весь вопрос в том как взломали этого админа!?
Перебор паролей, на компе троян у него завелся, социальная инженерия, уязвимость на сервере или все-таки в движке есть уязвимость.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Еще следует проверить потом настройки форума, настройки разделов, настройки групп, а то вдруг, что не нужное взломщик добавил.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Линукс, троянов нет, СИ нет.. хостинг на купертино (неужели админы??), похоже движок.. Второй раз взлом, размещает ххх-ресурсы и изменяет подпись админа. Похоже на иностранца.
Пароль сложный, на двух языках и всякие : ? ! + ) /...
Редактировался util (2022-09-13 13:08:21)
Offline
Если логи доступа к сайту/форуму на сервере сохранились (ежедневные за последнюю неделю, например), то нужно найти доступ к профилю админа /profile.php?section=personality&id=<ID админа> и дальше по ip взломщика посмотреть все его действия. Возможно тогда разгадка найдется, как он взламывает уже второй раз админа.
Еще хорошо бы сравнение сделать каталога с чистым движком форума, который устанавливался на сервер и текущего каталога форума с сервера. Вдруг где лишний файл со скриптом шела какого-нибудь есть или в один из файлов движка что-то добавлено.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Спасибо, понял направление действий. А как он мог закинуть файл со скриптом?
Offline
>А как он мог закинуть файл со скриптом?
Если есть/была уязвимость в программном обеспечении.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Форум на https протоколе работает? Все картинки и файлы форума на страницах грузятся по https протоколу?
Если нет, то куки админа вполне могут утекать через http протокол!
Если форум на https, то нужно в конфиге config.php заменить
$cookie_secure = 0;
на
$cookie_secure = 1;
в обязательном порядке.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Если форум на https, то нужно в конфиге config.php заменить
Да, это сделано давно.
Просканировал AWA - вот результат-отчет. Что должно насторожить?
Не шибко силен..
Offline
> вот результат-отчет
Не вижу в сообщении приложенного отчета.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Не вижу опции "приложить".. Как приложить-то? Через файло-обменник?
---
Четыре уязвимости.. Блин.. Невозможно нормальный файл проложить, или картинку - принт-скрин..
./lang/Russian/admin_index.php(39): 'Функция PHP phpinfo() была отклю -
./lang/English/admin_plugin_pms_new.php(6): ng private messaging system (PMS) for your forum.
./lang/English/admin_index.php(39): > 'The PHP function phpinfo() has been disabled o
./include/dblayer/sqlite.php(44): touch($db_name); @chmod($db_name, 0666);
./include/security.php(198): ? $d[$i] : ''); eval('$sum = '.$str.';');
./include/upload.php(118): upload = 0; $open = opendir(PUN_ROOT.$dir); whi
./include/upload.php(304): pe)) return false; @chmod(PUN_ROOT.$dir.$name.
./include/email.php(327): ly) $local_host = php_uname('n'); // Able to reso
./upfiles.php(225): ].$error); if (!@move_uploaded_file($_FILES['upfile']['t
./upfiles.php(227): 'Move failed']); @chmod(PUN_ROOT.$dir.$name.
./upfiles.php(311): OT.$dir)) { $open = opendir(PUN_ROOT.$dir); whi
./profile.php(383): estrictions if (!@move_uploaded_file($uploaded_file['tmp_
./profile.php(395): '.$id.'.tmp'); @rename(PUN_ROOT.$pun_config
./profile.php(426): ete_avatar($id); @rename(PUN_ROOT.$pun_config
./profile.php(427): $id.$extension); @chmod(PUN_ROOT.$pun_config
./plugins/AP_Upload.php(379): af = array(); $ad = scandir(PUN_ROOT.$mem); for
./plugins/AP_Upload.php(385): m.$f.'/'; $open = opendir(PUN_ROOT.$dir); w
./plugins/AP_Smilies.php(240): estrictions. if (!@move_uploaded_file($uploaded_file['tmp_
./plugins/AP_Smilies.php(260): .$extensions[2]); @rename(PUN_ROOT.'img/smilie
./plugins/AP_Smilies.php(261): .$extensions[0]); @chmod(PUN_ROOT.'img/smilie
./awa-56796e.php(80): s); } if($dh = opendir($dir)) {
./awa-56796e.php(134): s); } if($dh = opendir($dir)) {
./awa-56796e.php(221): uffMatch[0][$i][0], 'opendir($dir)') !== false)
./adminer-4.7.3-mysql.php(131): c,"w");if(!$r)return;chmod($rc,0660);}flock($r,
./adminer-4.7.3-mysql.php(133): open($rc,"w");if($r){chmod($rc,0660);$K=rand_st
./admin_statistics.php(26): ] : null; // Show phpinfo() output if ($action
./admin_statistics.php(57): ,?\s+([0-9\.]+)%i', @exec('uptime'), $load_ave
Редактировался util (2022-09-15 16:30:33)
Offline
./lang/Russian/admin_index.php(39): 'Функция PHP phpinfo() была отклю -
./lang/English/admin_plugin_pms_new.php(6): ng private messaging system (PMS) for your forum.
./lang/English/admin_index.php(39): > 'The PHP function phpinfo() has been disabled o
- это просто строки с переводом англ/русский.
./include/dblayer/sqlite.php(44): touch($db_name); @chmod($db_name, 0666);
- драйвер бд sqlite пытается создать файл базы данных при его отсутствии.
./include/security.php(198): ? $d[$i] : ''); eval('$sum = '.$str.';');
- всегда ругают eval(), хотя тут нет входящих данных от пользователя. Вычисляется математическая капча сгенерированная выше по коду https://github.com/MioVisman/FluxBB_by_ … y.php#L199
./include/upload.php(118): upload = 0; $open = opendir(PUN_ROOT.$dir); whi
./include/upload.php(304): pe)) return false; @chmod(PUN_ROOT.$dir.$name.
- я так понимаю awa ругается на любые функции с доступом к файловой системе. upload.php отвечает за загрузку файлов. В текущей версии расширения код сильно изменен.
./include/email.php(327): ly) $local_host = php_uname('n'); // Able to reso
- определяет реальное имя хоста, для правильного приветствия стороннего smtp сервера при отправке email.
./upfiles.php(225): ].$error); if (!@move_uploaded_file($_FILES['upfile']['t
./upfiles.php(227): 'Move failed']); @chmod(PUN_ROOT.$dir.$name.
./upfiles.php(311): OT.$dir)) { $open = opendir(PUN_ROOT.$dir); whi
- снова awa ругается на функции с доступом к файловой системе. Загрузка файлов.
./profile.php(383): estrictions if (!@move_uploaded_file($uploaded_file['tmp_
./profile.php(395): '.$id.'.tmp'); @rename(PUN_ROOT.$pun_config
./profile.php(426): ete_avatar($id); @rename(PUN_ROOT.$pun_config
./profile.php(427): $id.$extension); @chmod(PUN_ROOT.$pun_config
- профиль и снова функции с доступом к файлам.
./plugins/AP_Upload.php(379): af = array(); $ad = scandir(PUN_ROOT.$mem); for
./plugins/AP_Upload.php(385): m.$f.'/'; $open = opendir(PUN_ROOT.$dir); w
./plugins/AP_Smilies.php(240): estrictions. if (!@move_uploaded_file($uploaded_file['tmp_
./plugins/AP_Smilies.php(260): .$extensions[2]); @rename(PUN_ROOT.'img/smilie
./plugins/AP_Smilies.php(261): .$extensions[0]); @chmod(PUN_ROOT.'img/smilie
- плагины смайлов и загрузки файлов. Доступ имеют только администраторы форума.
./awa-56796e.php(80): s); } if($dh = opendir($dir)) {
./awa-56796e.php(134): s); } if($dh = opendir($dir)) {
./awa-56796e.php(221): uffMatch[0][$i][0], 'opendir($dir)') !== false)
- awa ругается на себя.
./adminer-4.7.3-mysql.php(131): c,"w");if(!$r)return;chmod($rc,0660);}flock($r,
./adminer-4.7.3-mysql.php(133): open($rc,"w");if($r){chmod($rc,0660);$K=rand_st
- лучше удалить adminer. Если очень нужен, то обновить до последней версии и закрыть доступ по ip через настройки сервера. Данная версия имеет 3 уязвимости по информации из https://cve.mitre.org/cgi-bin/cvekey.cg … rd=adminer
./admin_statistics.php(26): ] : null; // Show phpinfo() output if ($action
- ругается на комментарий к коду.
./admin_statistics.php(57): ,?\s+([0-9\.]+)%i', @exec('uptime'), $load_ave
- снова exec(), но ни чего страшного, так как используется в админке для вычисления нагрузки сервера.
P.S. У вас какая ревизия моей сборки стоит? Желательно обновится до 84 https://github.com/MioVisman/FluxBB_by_ … /1.5.11.84
Но она работает на php 7 и 8. На php 5 работать не будет.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
По логам сервера определили, что делал взломщик на форуме?
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Доброго!
Взламывал он через Adminer старой версии..
Вот его сайт, чел озабочен эрекцией
__buycialikonline.com
Архив -
https://cloud.mail.ru/public/4TCu/iJn4co1r1
Сейчас изучаю логи и IP-адреса..
Редактировался Visman (2022-09-25 04:22:29)
Offline
Страницы 1