Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 3.х > Инструкции по vBulletin
Расширенный поиск

Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin

Ответ
 
Опции темы Поиск в этой теме
Старый 05.05.2011, 20:10 Вверх   #1
Модератор
 
Аватар для Slavok47
Slavok47 вне форума
Доп. информация
По умолчанию Атака хакеров Team Animus и ликвидация последствий

Сегодня ночью около 03:00 по Киевскому времени произошла массовая атака хакеров Team Animus на форумы, которые использовали хак Cyb - Advanced Forum Rules (версии 4.0.2 и 5.0.2 и ниже).

Один из кусков кода из-за которого хакеры имели возможность выполнить SQL инъекцию.
PHP код:
$vbulletin->db->query_write("UPDATE " TABLE_PREFIX "forum SET cyb_frules = '" $vbulletin->GPC['rules_id'] . "' WHERE forumid IN ($cfrules_forums) "); 


Анамнез и симптоматика:
(может быть так, что какой-то из пунктов вы не найдёте на своём форуме. Хакеры действовали по-разному. На одном форуме вставляли видео-заглушку, на другом не ставили её)
Вы зашли на форум и увидели такое видео (см. скриншот выше)
Вы зашли на форум, а он отключен и вы не можете попасть в админку (вы уже не админ)
На форуме пропали все админы и появился новый с никнеймом Team Animus
На FTP появились новые файлы, которые вы не заливали
У всех пользователей красуется в статусе "Hacked by Team Animus"

Как ликвидировать последствия взлома:
1. Для начала нам нужно сделать себя администратором форума. Есть несколько способов, предлагаю один из них (желательно всё делать быстро, не отвлекаясь):
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) ищем свой аккаунт и меняем ему группу пользователей на 6 (администраторы)



2. Теперь удаляем хак Cyb - Advanced Forum Rules

3. Затем нам нужно удалить хакера
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) ищем аккаунт хакера (у него стоит группа с ID 6 - администраторы)
г) удаляем его аккаунт

4. На всякий случай перезаливаем все файлы форума (кроме графики, фавикона).
На некоторых форумах эти хакеры редактировали индексные файлы.

5. Теперь нам нужно поменять статус всем пользователям, ибо он таков:



Хочу сразу предупредить, что просто отключив у группы пользователей возможность установки своего статуса вы никак не удалите статусы (см. скриншот).
Потому как после взлома у каждого пользователя установлена опция "Особый статус: Да, установки администратора (HTML разрешён)"

Делаем следующий SQL запрос:
PHP код:
UPDATE user SET prefix_customtitle 0 WHERE usergroupid 'X'
где prefix_ - это префикс таблиц базы форума, если вы его используете. Если не используете, то запрос будет такой:
PHP код:
UPDATE user SET customtitle 0 WHERE usergroupid 'X'
где X - это ID группы пользователей.

Сделать столько запросов сколько групп пользователей на вашем форуме. То есть для каждой группы 1 запрос.

6. Теперь обновите счётчики.
Идём в админку > Обслуживание > Обновление счётчиков > Обновить статусы пользователей

7. Хакеры могли залить шелл на FTP. Чаще всего имя файла vba.php и находится он в папке /includes/ или /includes/xml/
Но я настоятельно рекомендую "прошерстить" весь FTP на наличие новых файлов, потому как файл могли залить с другим названием и залить его в другую папку.

8. Измените автоинкремент. ID аккаунта хакера скорей всего был на вашем форуме 13371337, в связи с этим все последующие юзеры будут с ID 13371338, 13371339 и так далее.
Исправляем эту ситуацию таким образом:
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) нажимаем "Операции"
г) идём в админку форума > пользователи > поиск > последние регистрации > смотрим какой ID у последнего зарегистрированного пользователя (например 657), затем возвращаемся в PMA к таблице: user > операции
и заменяем 13371338 на число = ID последнего зарегистрированного юзера + 1
То есть если ID последнего юзера равен 657, то в поле ставим 658

PMA


SSH


Если после всех манипуляций на вашем форуме уже зарегистрированы новые пользователи, тогда меняем им ID отталкиваясь от последнего правильного ID и только потом меняем автоинкремент в настройке таблицы.
Видео смотреть тем, кто внимательно читал это сообщение
После изменения ID пользователям, которые были зарегистрированы после аккаунта хакера нужно выполнить следующее:

Админка > Обслуживание > Обновление счётчиков > Восстановить повреждённые профили пользователей

9. Перезалейте все файлы хаков, которые установлены на форуме и перезапишите xml файлы продуктов
10. Пересмотрите список модулей и продуктов. Удалите те, которые вы не ставили и которыми вы не пользуетесь
11. Измените пароли к базам данных, которые вы используете на своём сервере или хостинг аккаунте.

===================
© TAIFUN

Последний раз редактировалось Serberg; 07.05.2011 в 09:41.. Причина: обновлено
  Ответить с цитированием
3 пользователя(ей) сказали cпасибо:
Старый 05.05.2011, 20:11 Вверх   #2
Модератор
 
Аватар для Slavok47
Slavok47 вне форума
Доп. информация
По умолчанию

вот один из хакнутых сайтов
  Ответить с цитированием
Старый 05.05.2011, 20:14 Вверх   #3
Модератор
 
Аватар для Slavok47
Slavok47 вне форума
Доп. информация
По умолчанию

Сам же хак исправлен, перевод сделаю на днях
  Ответить с цитированием
Старый 05.05.2011, 20:32 Вверх   #4
Грамотный форумчанин
 
Аватар для KodeR 333
KodeR 333 вне форума
Доп. информация
По умолчанию

Оригинал на саппорте.
Я заметил, что только с англ.язом ломают форумы.
  Ответить с цитированием
Старый 05.05.2011, 21:15 Вверх   #5
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Пофиксенная версия лежит тут: http://www.bormotuhi.net/showpost.ph...9&postcount=88
  Ответить с цитированием
Старый 05.05.2011, 23:18 Вверх   #6
Грамотный форумчанин
 
Аватар для KodeR 333
KodeR 333 вне форума
Доп. информация
По умолчанию

Вот список форумов хекнутых:
Нажми для просмотра
Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

У меня вопрос: Баг на всех хаках с название Cyb? Чат, статистика и тд?

Последний раз редактировалось Serberg; 05.05.2011 в 23:36..
  Ответить с цитированием
Старый 05.05.2011, 23:19 Вверх   #7
Грамотный форумчанин
 
Аватар для KodeR 333
KodeR 333 вне форума
Доп. информация
По умолчанию

information

Внимание

У вас спойлер не работает.



  Ответить с цитированием
Старый 05.05.2011, 23:28 Вверх   #8
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

KodeR 333, надо страницу просто перезагрузить.
  Ответить с цитированием
Старый 06.05.2011, 00:07 Вверх   #9
Грамотный форумчанин
 
Аватар для KodeR 333
KodeR 333 вне форума
Доп. информация
По умолчанию

Ок. Всё работает.
  Ответить с цитированием
Старый 06.05.2011, 00:07 Вверх   #10
Грамотный форумчанин
 
Аватар для KodeR 333
KodeR 333 вне форума
Доп. информация
По умолчанию

Вопрос:
У меня вопрос: Баг на всех хаках с название Cyb? Чат, статистика и тд?
  Ответить с цитированием
Старый 06.05.2011, 00:40 Вверх   #11
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от KodeR 333 Посмотреть сообщение
У меня вопрос: Баг на всех хаках с название Cyb? Чат, статистика и тд?
нет, только на рулесах для четверки
  Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Doss-атака на форум. Serberg Новости форума 64 13.11.2012 01:22
DoSS-атака и ее последствия.... Serberg Новости форума 3 01.10.2011 22:04


Текущее время: 02:35. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.23368 секунды с 12 запросами