Сегодня ночью около 03:00 по Киевскому времени произошла массовая атака хакеров Team Animus на форумы, которые использовали хак
Cyb - Advanced Forum Rules (версии 4.0.2 и 5.0.2 и ниже).
Один из кусков кода из-за которого хакеры имели возможность выполнить SQL инъекцию.
PHP код:
$vbulletin->db->query_write("UPDATE " . TABLE_PREFIX . "forum SET cyb_frules = '" . $vbulletin->GPC['rules_id'] . "' WHERE forumid IN ($cfrules_forums) ");
Анамнез и симптоматика:
(может быть так, что какой-то из пунктов вы не найдёте на своём форуме. Хакеры действовали по-разному. На одном форуме вставляли видео-заглушку, на другом не ставили её)
Вы зашли на форум и увидели такое видео (см. скриншот выше)
Вы зашли на форум, а он отключен и вы не можете попасть в админку (вы уже не админ)
На форуме пропали все админы и появился новый с никнеймом
Team Animus
На FTP появились новые файлы, которые вы не заливали
У всех пользователей красуется в статусе "Hacked by Team Animus"
Как ликвидировать последствия взлома:
1. Для начала нам нужно сделать себя администратором форума. Есть несколько способов, предлагаю один из них (желательно всё делать быстро, не отвлекаясь):
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу
user
в) ищем свой аккаунт и меняем ему группу пользователей на 6 (администраторы)
2. Теперь удаляем хак
Cyb - Advanced Forum Rules
3. Затем нам нужно удалить хакера
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу
user
в) ищем аккаунт хакера (у него стоит группа с ID 6 - администраторы)
г) удаляем его аккаунт
4. На всякий случай перезаливаем все файлы форума (кроме графики, фавикона).
На некоторых форумах эти хакеры редактировали индексные файлы.
5. Теперь нам нужно поменять статус всем пользователям, ибо он таков:
Хочу сразу предупредить, что просто отключив у группы пользователей возможность установки своего статуса вы никак не удалите статусы (см. скриншот).
Потому как после взлома у каждого пользователя установлена опция "Особый статус: Да, установки администратора (HTML разрешён)"
Делаем следующий SQL запрос:
PHP код:
UPDATE user SET prefix_customtitle = 0 WHERE usergroupid = 'X';
где
prefix_ - это префикс таблиц базы форума, если вы его используете. Если не используете, то запрос будет такой:
PHP код:
UPDATE user SET customtitle = 0 WHERE usergroupid = 'X';
где
X - это ID группы пользователей.
Сделать столько запросов сколько групп пользователей на вашем форуме. То есть для каждой группы 1 запрос.
6. Теперь обновите счётчики.
Идём в админку > Обслуживание > Обновление счётчиков > Обновить статусы пользователей
7. Хакеры могли залить шелл на FTP. Чаще всего имя файла
vba.php и находится он в папке /includes/ или /includes/xml/
Но я настоятельно рекомендую "прошерстить" весь FTP на наличие новых файлов, потому как файл могли залить с другим названием и залить его в другую папку.
8. Измените автоинкремент. ID аккаунта хакера скорей всего был на вашем форуме 13371337, в связи с этим все последующие юзеры будут с ID 13371338, 13371339 и так далее.
Исправляем эту ситуацию таким образом:
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) нажимаем "Операции"
г) идём в админку форума > пользователи > поиск > последние регистрации > смотрим какой ID у последнего зарегистрированного пользователя (например 657), затем возвращаемся в PMA к таблице: user > операции
и заменяем 13371338 на число = ID последнего зарегистрированного юзера + 1
То есть если ID последнего юзера равен 657, то в поле ставим 658
PMA
SSH
Если после всех манипуляций на вашем форуме уже зарегистрированы новые пользователи, тогда меняем им ID отталкиваясь от последнего правильного ID и только потом меняем автоинкремент в настройке таблицы.
Видео смотреть тем, кто внимательно читал это сообщение
После изменения ID пользователям, которые были зарегистрированы после аккаунта хакера нужно выполнить следующее:
Админка > Обслуживание > Обновление счётчиков > Восстановить повреждённые профили пользователей
9. Перезалейте все файлы хаков, которые установлены на форуме и перезапишите xml файлы продуктов
10. Пересмотрите список модулей и продуктов. Удалите те, которые вы не ставили и которыми вы не пользуетесь
11. Измените пароли к базам данных, которые вы используете на своём сервере или хостинг аккаунте.
===================
© TAIFUN