|
|
Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin |
|
Опции темы | Поиск в этой теме |
05.05.2011, 20:10 Вверх | #1 | |||
Модератор
|
Атака хакеров Team Animus и ликвидация последствий
Сегодня ночью около 03:00 по Киевскому времени произошла массовая атака хакеров Team Animus на форумы, которые использовали хак Cyb - Advanced Forum Rules (версии 4.0.2 и 5.0.2 и ниже).
Один из кусков кода из-за которого хакеры имели возможность выполнить SQL инъекцию. PHP код:
Анамнез и симптоматика: (может быть так, что какой-то из пунктов вы не найдёте на своём форуме. Хакеры действовали по-разному. На одном форуме вставляли видео-заглушку, на другом не ставили её) Вы зашли на форум и увидели такое видео (см. скриншот выше) Вы зашли на форум, а он отключен и вы не можете попасть в админку (вы уже не админ) На форуме пропали все админы и появился новый с никнеймом Team Animus На FTP появились новые файлы, которые вы не заливали У всех пользователей красуется в статусе "Hacked by Team Animus" Как ликвидировать последствия взлома: 1. Для начала нам нужно сделать себя администратором форума. Есть несколько способов, предлагаю один из них (желательно всё делать быстро, не отвлекаясь): а) идём в phpMyAdmin или подключаемся к мускулу через SSH б) открываем таблицу user в) ищем свой аккаунт и меняем ему группу пользователей на 6 (администраторы) 2. Теперь удаляем хак Cyb - Advanced Forum Rules 3. Затем нам нужно удалить хакера а) идём в phpMyAdmin или подключаемся к мускулу через SSH б) открываем таблицу user в) ищем аккаунт хакера (у него стоит группа с ID 6 - администраторы) г) удаляем его аккаунт 4. На всякий случай перезаливаем все файлы форума (кроме графики, фавикона). На некоторых форумах эти хакеры редактировали индексные файлы. 5. Теперь нам нужно поменять статус всем пользователям, ибо он таков: Хочу сразу предупредить, что просто отключив у группы пользователей возможность установки своего статуса вы никак не удалите статусы (см. скриншот). Потому как после взлома у каждого пользователя установлена опция "Особый статус: Да, установки администратора (HTML разрешён)" Делаем следующий SQL запрос: PHP код:
PHP код:
Сделать столько запросов сколько групп пользователей на вашем форуме. То есть для каждой группы 1 запрос. 6. Теперь обновите счётчики. Идём в админку > Обслуживание > Обновление счётчиков > Обновить статусы пользователей 7. Хакеры могли залить шелл на FTP. Чаще всего имя файла vba.php и находится он в папке /includes/ или /includes/xml/ Но я настоятельно рекомендую "прошерстить" весь FTP на наличие новых файлов, потому как файл могли залить с другим названием и залить его в другую папку. 8. Измените автоинкремент. ID аккаунта хакера скорей всего был на вашем форуме 13371337, в связи с этим все последующие юзеры будут с ID 13371338, 13371339 и так далее. Исправляем эту ситуацию таким образом: а) идём в phpMyAdmin или подключаемся к мускулу через SSH б) открываем таблицу user в) нажимаем "Операции" г) идём в админку форума > пользователи > поиск > последние регистрации > смотрим какой ID у последнего зарегистрированного пользователя (например 657), затем возвращаемся в PMA к таблице: user > операции и заменяем 13371338 на число = ID последнего зарегистрированного юзера + 1 То есть если ID последнего юзера равен 657, то в поле ставим 658 PMA SSH Если после всех манипуляций на вашем форуме уже зарегистрированы новые пользователи, тогда меняем им ID отталкиваясь от последнего правильного ID и только потом меняем автоинкремент в настройке таблицы. Видео смотреть тем, кто внимательно читал это сообщение После изменения ID пользователям, которые были зарегистрированы после аккаунта хакера нужно выполнить следующее: Админка > Обслуживание > Обновление счётчиков > Восстановить повреждённые профили пользователей 9. Перезалейте все файлы хаков, которые установлены на форуме и перезапишите xml файлы продуктов 10. Пересмотрите список модулей и продуктов. Удалите те, которые вы не ставили и которыми вы не пользуетесь 11. Измените пароли к базам данных, которые вы используете на своём сервере или хостинг аккаунте. =================== © TAIFUN |
|||
Последний раз редактировалось Serberg; 07.05.2011 в 09:41.. Причина: обновлено |
||||
05.05.2011, 20:32 Вверх | #4 | |||
Грамотный форумчанин
|
Оригинал на саппорте.
Я заметил, что только с англ.язом ломают форумы. |
|||
05.05.2011, 21:15 Вверх | #5 | |||
Коварный тип
|
Пофиксенная версия лежит тут: http://www.bormotuhi.net/showpost.ph...9&postcount=88
|
|||
05.05.2011, 23:18 Вверх | #6 | ||||
Грамотный форумчанин
|
Вот список форумов хекнутых:
Нажми для просмотра
У меня вопрос: Баг на всех хаках с название Cyb? Чат, статистика и тд? |
||||
Последний раз редактировалось Serberg; 05.05.2011 в 23:36.. |
|||||
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Doss-атака на форум. | Serberg | Новости форума | 64 | 13.11.2012 01:22 |
DoSS-атака и ее последствия.... | Serberg | Новости форума | 3 | 01.10.2011 22:04 |