Настойчивые взломы форума... - Безопасность

Psionic Vision · 11.07.2004, 00:34

Раньше у меня стоял ipb1.3.1, теперь я поставил phpbb2.0.8a...
Кто - то продолжает то удалить темы, то перемешивать их из форума в форум...
Вопрос в следующем: как отследить, кто это делает??

Interceptor · 11.07.2004, 15:12

Neo
Надо бы понять КАК это делают. Возможно, взлом проходит, используя узявимость НЕ в форуме, а в ОСи. Тогда нужно смотреть в логах операционки или стенки кто, как подключался и какие данные передавал

Psionic Vision · 12.07.2004, 16:04

Interceptor
Вот я и спрашиваю - КАК можно узнать, как это делают?

Interceptor · 12.07.2004, 16:18

Neo
Можно начать с просмотра всевозможных логов

R!xon · 12.07.2004, 22:36

у тебя стоит наверно один из самых дырявых форумов в мире =)
ломают скорее всего через SQL Injection, могут всю базу здампить с логинами, паролями, мылами...
под этот форум полно сплоитов как паблик так и приватных, поставь чонить понадежнее, vBulletin или IPB, но в последнем тоже дырок хватает

или чонибудь редкое не особо распространенное, напр. LDU

Interceptor · 13.07.2004, 00:31

R!xon
Я вот тоже подумал про SQL Injection (натолкнуло на мысль строка о чистке базы данных). Тада логи SQL нужно смотреть.

SinClaus · 13.07.2004, 16:06

Опять голая машина в И-нет смотрит...
Первое правило - без файрволла машину к сети не подключать! А про взлом phpbb на этом форуме здоровенная тема...

Interceptor · 13.07.2004, 16:57

SinClaus

Цитата:

А про взлом phpbb на этом форуме здоровенная тема...

Можешь дать ссылку на эту тему?

Psionic Vision · 13.07.2004, 17:00

Interceptor
А где в cpanel можно найти такие логи?

Interceptor · 14.07.2004, 00:19

Neo
Понятия не имею: не сталкивался с этим никогда

Interceptor · 17.07.2004, 18:16

Neo
Я вот ещё что думаю: после ПЕРВОГО взлома форума все админы и модеры сменили пароли? А то ведь может быть, что путём XSS-атаки или SQL-инъекции когда-то взломщик получил хеш пароля и до сих пор его использует!

Psionic Vision · 21.07.2004, 04:33

Interceptor
Да, сменили

24.07.2004, 05:36

tazhe problema, kak izbavitsia ot zlyh scripkidof?

Interceptor · 24.07.2004, 17:33

Neo
А ведь ты поставил не последнюю версию форума phpbb. Так? на сколько я помню, есть в phpbb2.0.8 дыры, позволяющие юзать SQL-инъекции

Поставь что-нить мало известное... Типа ExBB

Psionic Vision · 25.07.2004, 00:06

Interceptor
1. Я поставил 2.0.8a, т.е. последнюю версию.
2. Я бы поставил exbb, да ведь нельзя базу сконвертировать

oldgoat · 25.07.2004, 15:55

Цитата:

Neo:
Я поставил 2.0.8a, т.е. последнюю версию.

На официальном сайте 12.07.2004 объявлено о релизе 2.0.9, а 17.04.2004 объявлен релиз 2.0.10.
Может быть это поможет?
Так же там и на сайте Российской поддержки выложены патчи для устранения различных уязвимостей, в т.ч. уже упоминашейся SQL Injection.

Psionic Vision · 25.07.2004, 20:11

oldgoat
Странно. Только две недели назад я заглядывал, там была только 2.0.8а
Щас обновлю.

Psionic Vision · 26.07.2004, 16:21

Все, у меня теперь версия 2.0.10

Interceptor · 30.07.2004, 10:46

Neo
Я вот ещё что подумал: возможно, взломы происходили посредством взлома самого сервака (ОСь или сервисы непропатченные). Ну, а потом уже и доступ к БД получали.

11.07.2004, 00:34	# 1
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	Настойчивые взломы форума... Раньше у меня стоял ipb1.3.1, теперь я поставил phpbb2.0.8a... Кто - то продолжает то удалить темы, то перемешивать их из форума в форум... Вопрос в следующем: как отследить, кто это делает??

13.07.2004, 16:06	# 7
SinClaus Котозавр Регистрация: 15.04.2003 Адрес: Russia, Tomsk Пол: Male Сообщения: 1 321	Опять голая машина в И-нет смотрит... Первое правило - без файрволла машину к сети не подключать! А про взлом phpbb на этом форуме здоровенная тема... __________________ Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

11.07.2004, 15:12	# 2
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Neo Надо бы понять КАК это делают. Возможно, взлом проходит, используя узявимость НЕ в форуме, а в ОСи. Тогда нужно смотреть в логах операционки или стенки кто, как подключался и какие данные передавал

12.07.2004, 16:04	# 3
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	Interceptor Вот я и спрашиваю - КАК можно узнать, как это делают?

12.07.2004, 16:18	# 4
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Neo Можно начать с просмотра всевозможных логов

12.07.2004, 22:36	# 5
R!xon Advanced Member Регистрация: 19.12.2002 Сообщения: 492	у тебя стоит наверно один из самых дырявых форумов в мире =) ломают скорее всего через SQL Injection, могут всю базу здампить с логинами, паролями, мылами... под этот форум полно сплоитов как паблик так и приватных, поставь чонить понадежнее, vBulletin или IPB, но в последнем тоже дырок хватает или чонибудь редкое не особо распространенное, напр. LDU

13.07.2004, 00:31	# 6
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	R!xon Я вот тоже подумал про SQL Injection (натолкнуло на мысль строка о чистке базы данных). Тада логи SQL нужно смотреть.

13.07.2004, 17:00	# 9
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	Interceptor А где в cpanel можно найти такие логи?

14.07.2004, 00:19	# 10
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Neo Понятия не имею: не сталкивался с этим никогда

17.07.2004, 18:16	# 11
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Neo Я вот ещё что думаю: после ПЕРВОГО взлома форума все админы и модеры сменили пароли? А то ведь может быть, что путём XSS-атаки или SQL-инъекции когда-то взломщик получил хеш пароля и до сих пор его использует!

21.07.2004, 04:33	# 12
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	Interceptor Да, сменили

24.07.2004, 05:36	# 13
Dos Guest Сообщения: n/a	tazhe problema, kak izbavitsia ot zlyh scripkidof?

24.07.2004, 17:33	# 14
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Neo А ведь ты поставил не последнюю версию форума phpbb. Так? на сколько я помню, есть в phpbb2.0.8 дыры, позволяющие юзать SQL-инъекции Поставь что-нить мало известное... Типа ExBB

25.07.2004, 00:06	# 15
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	Interceptor 1. Я поставил 2.0.8a, т.е. последнюю версию. 2. Я бы поставил exbb, да ведь нельзя базу сконвертировать

25.07.2004, 20:11	# 17
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	oldgoat Странно. Только две недели назад я заглядывал, там была только 2.0.8а Щас обновлю.

26.07.2004, 16:21	# 18
Psionic Vision Full Member Регистрация: 05.02.2002 Адрес: Underground Сообщения: 2 110	Все, у меня теперь версия 2.0.10

30.07.2004, 10:46	# 19
Interceptor Banned Регистрация: 04.09.2002 Адрес: В сети ;) Сообщения: 783	Neo Я вот ещё что подумал: возможно, взломы происходили посредством взлома самого сервака (ОСь или сервисы непропатченные). Ну, а потом уже и доступ к БД получали.