|
|
vBulletin 3.х Раздел о vBulletin и всем что касается этого скрипта |
|
Опции темы | Поиск в этой теме |
03.05.2017, 01:01 Вверх | #1 | |||||
Грамотный форумчанин
|
Взломали форум
Доброй ночи, сегодня на форуме появился один новый файл vb_observer.php и один файл был изменен login.php сами файлы
Сайт на vds, судя по логам доступа посторонних по ssh не было. В логах нашел:
Как могли загрузить файл и изменить стандартный и какие данные могли успеть украсть? |
|||||
Последний раз редактировалось bigbrain911; 03.05.2017 в 02:22.. |
||||||
Cказали cпасибо: |
03.05.2017, 01:53 Вверх | #3 | |||
Грамотный форумчанин
|
Нет такого файла на форуме, кстати нашел что кто то заходил под одним из админов, с браузера тор, админ говорит что не пользуется таковым и оотвественно ip левые, в Записи панели управления видно что пытались редактировать мой профиль, но он защищен, так же открывали другие профили, у этого админа доступ только к редактированию профилей.
|
|||
03.05.2017, 02:17 Вверх | #4 | |||
Старший модератор
|
Я вижу что по адресу http://zloy.pl.ua/forum/modules/pas.php такого файла уже нет. Меня интересует что там было?
|
|||
03.05.2017, 02:35 Вверх | #8 | |||
Старший модератор
|
Вот тема данного вида защиты. Пароль от Админки или Модерки советую отправлять пользователям обладающим соответствующими правами через мыло или другие виды связи. И не использовать Личные Сообщения (ЛС) Вашего форума.
|
|||
03.05.2017, 02:40 Вверх | #9 | |||
Грамотный форумчанин
|
Только у меня nginx + php-fpm, а что скажите судя по файлам и ситуации, какие действия с моей стороны должны быть? Админов удалил кроме себя, свой пароль сменил, пароль базы тоже, левый файл сразу удалил измененный вернул на место и снял права для записи.
|
|||
Последний раз редактировалось bigbrain911; 03.05.2017 в 02:44.. |
||||
03.05.2017, 09:41 Вверх | #11 | |||
Просто блондинка
|
это шелл
дописаны две строки в функции проверки логина занятно, такое мне ещё не попадалось, спасибо за пополнение коллекции похоже, что у злоумышленника есть доступ к файловой системе это может быть старый шелл (и если так, то это находится легче всего) - в виде модуля или файла а доступ по ФТП есть? это может быть вирусок на компьютере того, у кого сохранён ФТП-логин это может быть и серверная уязвимость аксесс.лог пишется? берите вчерашний лог и изучайте, если шелл в файлах, будет видно обращение к НЕ-вобловскому файлу всё верно |
|||
03.05.2017, 12:39 Вверх | #12 | |||
Грамотный форумчанин
|
Фтп не стоит, пользуюсь только SFTP, судя по auth.log все заходы только с моих ip, логи nginx отключены, как я понял, зашли под другим админом, у которого есть доступ к редактированию юзеров, что то делали с некоторыми юзерами, пытались редактировать меня, но на мне защита в конфиге, да и судя по логам подомной не смогли зайти, после от инспектора файлов пришло письмо об 1 измененном файле и одном новом, может в подпись или аватар или статус залили html код какой то? Я уже айболитом прошелся по всему сайту, ни чего необычного не нашел, как теперь найти дыру?
|
|||
Последний раз редактировалось bigbrain911; 03.05.2017 в 12:41.. |
||||