admin

util · 2022-09-13 09:21:34

Здравствуйте!
Вопрос - взлом админа форума. Можно ли удалить admin из системы, назначив нового участника под другим ником, не admin и даст ли это что-то от взломов?
С неизменным уважением

Visman · 2022-09-13 10:41:48

У взломанного админа достаточно изменить пароль. Можно дополнительно сменить email.
Если этот админ по какой-то причине уже не активен, то можно его понизить до простого пользователя и забанить после этого.

Весь вопрос в том как взломали этого админа!?
Перебор паролей, на компе троян у него завелся, социальная инженерия, уязвимость на сервере или все-таки в движке есть уязвимость.

Visman · 2022-09-13 10:45:00

Еще следует проверить потом настройки форума, настройки разделов, настройки групп, а то вдруг, что не нужное взломщик добавил.

util · 2022-09-13 13:04:54

Линукс, троянов нет, СИ нет.. хостинг на купертино (неужели админы??), похоже движок.. Второй раз взлом, размещает ххх-ресурсы и изменяет подпись админа. Похоже на иностранца.
Пароль сложный, на двух языках и всякие : ? ! + ) /...

Редактировался util (2022-09-13 13:08:21)

Visman · 2022-09-13 13:43:28

Если логи доступа к сайту/форуму на сервере сохранились (ежедневные за последнюю неделю, например), то нужно найти доступ к профилю админа /profile.php?section=personality&id=<ID админа> и дальше по ip взломщика посмотреть все его действия. Возможно тогда разгадка найдется, как он взламывает уже второй раз админа.

Еще хорошо бы сравнение сделать каталога с чистым движком форума, который устанавливался на сервер и текущего каталога форума с сервера. Вдруг где лишний файл со скриптом шела какого-нибудь есть или в один из файлов движка что-то добавлено.

util · 2022-09-13 16:47:17

Спасибо, понял направление действий. А как он мог закинуть файл со скриптом?

Visman · 2022-09-13 16:59:36

>А как он мог закинуть файл со скриптом?
Если есть/была уязвимость в программном обеспечении.

Visman · 2022-09-13 18:35:06

Форум на https протоколе работает? Все картинки и файлы форума на страницах грузятся по https протоколу?
Если нет, то куки админа вполне могут утекать через http протокол!

Если форум на https, то нужно в конфиге config.php заменить

$cookie_secure = 0;

на

$cookie_secure = 1;

в обязательном порядке.

util · 2022-09-15 12:49:20

Если форум на https, то нужно в конфиге config.php заменить

Да, это сделано давно.

Просканировал AWA - вот результат-отчет. Что должно насторожить?
Не шибко силен..

Visman · 2022-09-15 13:30:47

> вот результат-отчет
Не вижу в сообщении приложенного отчета.

util · 2022-09-15 16:22:02

Не вижу опции "приложить".. Как приложить-то? Через файло-обменник?
---
Четыре уязвимости.. Блин.. Невозможно нормальный файл проложить, или картинку - принт-скрин..

./lang/Russian/admin_index.php(39): 'Функция PHP phpinfo() была отклю -
./lang/English/admin_plugin_pms_new.php(6): ng private messaging system (PMS) for your forum.
./lang/English/admin_index.php(39): > 'The PHP function phpinfo() has been disabled o
./include/dblayer/sqlite.php(44): touch($db_name); @chmod($db_name, 0666);
./include/security.php(198): ? $d[$i] : ''); eval('$sum = '.$str.';');
./include/upload.php(118): upload = 0; $open = opendir(PUN_ROOT.$dir); whi
./include/upload.php(304): pe)) return false; @chmod(PUN_ROOT.$dir.$name.
./include/email.php(327): ly) $local_host = php_uname('n'); // Able to reso
./upfiles.php(225): ].$error); if (!@move_uploaded_file($_FILES['upfile']['t
./upfiles.php(227): 'Move failed']); @chmod(PUN_ROOT.$dir.$name.
./upfiles.php(311): OT.$dir)) { $open = opendir(PUN_ROOT.$dir); whi
./profile.php(383): estrictions if (!@move_uploaded_file($uploaded_file['tmp_
./profile.php(395): '.$id.'.tmp'); @rename(PUN_ROOT.$pun_config
./profile.php(426): ete_avatar($id); @rename(PUN_ROOT.$pun_config
./profile.php(427): $id.$extension); @chmod(PUN_ROOT.$pun_config
./plugins/AP_Upload.php(379): af = array(); $ad = scandir(PUN_ROOT.$mem); for
./plugins/AP_Upload.php(385): m.$f.'/'; $open = opendir(PUN_ROOT.$dir); w
./plugins/AP_Smilies.php(240): estrictions. if (!@move_uploaded_file($uploaded_file['tmp_
./plugins/AP_Smilies.php(260): .$extensions[2]); @rename(PUN_ROOT.'img/smilie
./plugins/AP_Smilies.php(261): .$extensions[0]); @chmod(PUN_ROOT.'img/smilie
./awa-56796e.php(80): s); } if($dh = opendir($dir)) {
./awa-56796e.php(134): s); } if($dh = opendir($dir)) {
./awa-56796e.php(221): uffMatch[0][$i][0], 'opendir($dir)') !== false)
./adminer-4.7.3-mysql.php(131): c,"w");if(!$r)return;chmod($rc,0660);}flock($r,
./adminer-4.7.3-mysql.php(133): open($rc,"w");if($r){chmod($rc,0660);$K=rand_st
./admin_statistics.php(26): ] : null; // Show phpinfo() output if ($action
./admin_statistics.php(57): ,?\s+([0-9\.]+)%i', @exec('uptime'), $load_ave

Редактировался util (2022-09-15 16:30:33)

Visman · 2022-09-15 18:05:36

./lang/Russian/admin_index.php(39): 'Функция PHP phpinfo() была отклю -
./lang/English/admin_plugin_pms_new.php(6): ng private messaging system (PMS) for your forum.
./lang/English/admin_index.php(39): > 'The PHP function phpinfo() has been disabled o

- это просто строки с переводом англ/русский.

./include/dblayer/sqlite.php(44): touch($db_name); @chmod($db_name, 0666);

- драйвер бд sqlite пытается создать файл базы данных при его отсутствии.

./include/security.php(198): ? $d[$i] : ''); eval('$sum = '.$str.';');

- всегда ругают eval(), хотя тут нет входящих данных от пользователя. Вычисляется математическая капча сгенерированная выше по коду https://github.com/MioVisman/FluxBB_by_ … y.php#L199

./include/upload.php(118): upload = 0; $open = opendir(PUN_ROOT.$dir); whi
./include/upload.php(304): pe)) return false; @chmod(PUN_ROOT.$dir.$name.

- я так понимаю awa ругается на любые функции с доступом к файловой системе. upload.php отвечает за загрузку файлов. В текущей версии расширения код сильно изменен.

./include/email.php(327): ly) $local_host = php_uname('n'); // Able to reso

- определяет реальное имя хоста, для правильного приветствия стороннего smtp сервера при отправке email.

./upfiles.php(225): ].$error); if (!@move_uploaded_file($_FILES['upfile']['t
./upfiles.php(227): 'Move failed']); @chmod(PUN_ROOT.$dir.$name.
./upfiles.php(311): OT.$dir)) { $open = opendir(PUN_ROOT.$dir); whi

- снова awa ругается на функции с доступом к файловой системе. Загрузка файлов.

./profile.php(383): estrictions if (!@move_uploaded_file($uploaded_file['tmp_
./profile.php(395): '.$id.'.tmp'); @rename(PUN_ROOT.$pun_config
./profile.php(426): ete_avatar($id); @rename(PUN_ROOT.$pun_config
./profile.php(427): $id.$extension); @chmod(PUN_ROOT.$pun_config

- профиль и снова функции с доступом к файлам.

./plugins/AP_Upload.php(379): af = array(); $ad = scandir(PUN_ROOT.$mem); for
./plugins/AP_Upload.php(385): m.$f.'/'; $open = opendir(PUN_ROOT.$dir); w
./plugins/AP_Smilies.php(240): estrictions. if (!@move_uploaded_file($uploaded_file['tmp_
./plugins/AP_Smilies.php(260): .$extensions[2]); @rename(PUN_ROOT.'img/smilie
./plugins/AP_Smilies.php(261): .$extensions[0]); @chmod(PUN_ROOT.'img/smilie

- плагины смайлов и загрузки файлов. Доступ имеют только администраторы форума.

./awa-56796e.php(80): s); } if($dh = opendir($dir)) {
./awa-56796e.php(134): s); } if($dh = opendir($dir)) {
./awa-56796e.php(221): uffMatch[0][$i][0], 'opendir($dir)') !== false)

- awa ругается на себя.

./adminer-4.7.3-mysql.php(131): c,"w");if(!$r)return;chmod($rc,0660);}flock($r,
./adminer-4.7.3-mysql.php(133): open($rc,"w");if($r){chmod($rc,0660);$K=rand_st

- лучше удалить adminer. Если очень нужен, то обновить до последней версии и закрыть доступ по ip через настройки сервера. Данная версия имеет 3 уязвимости по информации из https://cve.mitre.org/cgi-bin/cvekey.cg … rd=adminer

./admin_statistics.php(26): ] : null; // Show phpinfo() output if ($action

- ругается на комментарий к коду.

./admin_statistics.php(57): ,?\s+([0-9\.]+)%i', @exec('uptime'), $load_ave

- снова exec(), но ни чего страшного, так как используется в админке для вычисления нагрузки сервера.

P.S. У вас какая ревизия моей сборки стоит? Желательно обновится до 84 https://github.com/MioVisman/FluxBB_by_ … /1.5.11.84
Но она работает на php 7 и 8. На php 5 работать не будет.

Visman · 2022-09-15 18:28:24

По логам сервера определили, что делал взломщик на форуме?

util · 2022-09-24 16:29:01

Доброго!
Взламывал он через Adminer старой версии..

Вот его сайт, чел озабочен эрекцией

__buycialikonline.com

Архив -
https://cloud.mail.ru/public/4TCu/iJn4co1r1

Сейчас изучаю логи и IP-адреса..

Редактировался Visman (2022-09-25 04:22:29)

Русское сообщество fluxbb

Объявление

#1 2022-09-13 09:21:34

admin

#2 2022-09-13 10:41:48

Re: admin

#3 2022-09-13 10:45:00

Re: admin

#4 2022-09-13 13:04:54

Re: admin

#5 2022-09-13 13:43:28

Re: admin

#6 2022-09-13 16:47:17

Re: admin

#7 2022-09-13 16:59:36

Re: admin

#8 2022-09-13 18:35:06

Re: admin

#9 2022-09-15 12:49:20

Re: admin

#10 2022-09-15 13:30:47

Re: admin

#11 2022-09-15 16:22:02

Re: admin

#12 2022-09-15 18:05:36

Re: admin

#13 2022-09-15 18:28:24

Re: admin

#14 2022-09-24 16:29:01

Re: admin

Подвал доски