Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 3.х
Расширенный поиск

vBulletin 3.х Раздел о vBulletin и всем что касается этого скрипта

Ответ
 
Опции темы Поиск в этой теме
Старый 03.05.2017, 02:01 Вверх   #1
Грамотный форумчанин
 
Аватар для bigbrain911
bigbrain911 вне форума
Доп. информация
По умолчанию Взломали форум

Доброй ночи, сегодня на форуме появился один новый файл vb_observer.php и один файл был изменен login.php сами файлы
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 5 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


Сайт на vds, судя по логам доступа посторонних по ssh не было.

В логах нашел:

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 5 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.


Как могли загрузить файл и изменить стандартный и какие данные могли успеть украсть?

Последний раз редактировалось bigbrain911; 03.05.2017 в 03:22..
  Ответить с цитированием
Cказали cпасибо:
Старый 03.05.2017, 02:46 Вверх   #2
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

А что за файл pass.php?
  Ответить с цитированием
Старый 03.05.2017, 02:53 Вверх   #3
Грамотный форумчанин
 
Аватар для bigbrain911
bigbrain911 вне форума
Доп. информация
По умолчанию

Нет такого файла на форуме, кстати нашел что кто то заходил под одним из админов, с браузера тор, админ говорит что не пользуется таковым и оотвественно ip левые, в Записи панели управления видно что пытались редактировать мой профиль, но он защищен, так же открывали другие профили, у этого админа доступ только к редактированию профилей.
  Ответить с цитированием
Старый 03.05.2017, 03:17 Вверх   #4
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

Я вижу что по адресу http://zloy.pl.ua/forum/modules/pas.php такого файла уже нет. Меня интересует что там было?
  Ответить с цитированием
Старый 03.05.2017, 03:23 Вверх   #5
Грамотный форумчанин
 
Аватар для bigbrain911
bigbrain911 вне форума
Доп. информация
По умолчанию

Prometej, вряд ли там что то было, так как инспектор файлов прислал оповещение лишь об одном новом и одном измененном файле.
  Ответить с цитированием
Старый 03.05.2017, 03:29 Вверх   #6
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

Админка у вас защищена паролем по методу Керка?
  Ответить с цитированием
Старый 03.05.2017, 03:31 Вверх   #7
Грамотный форумчанин
 
Аватар для bigbrain911
bigbrain911 вне форума
Доп. информация
По умолчанию

Prometej, только переименована.
  Ответить с цитированием
Старый 03.05.2017, 03:35 Вверх   #8
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

Вот тема данного вида защиты. Пароль от Админки или Модерки советую отправлять пользователям обладающим соответствующими правами через мыло или другие виды связи. И не использовать Личные Сообщения (ЛС) Вашего форума.
  Ответить с цитированием
Старый 03.05.2017, 03:40 Вверх   #9
Грамотный форумчанин
 
Аватар для bigbrain911
bigbrain911 вне форума
Доп. информация
По умолчанию

Только у меня nginx + php-fpm, а что скажите судя по файлам и ситуации, какие действия с моей стороны должны быть? Админов удалил кроме себя, свой пароль сменил, пароль базы тоже, левый файл сразу удалил измененный вернул на место и снял права для записи.

Последний раз редактировалось bigbrain911; 03.05.2017 в 03:44..
  Ответить с цитированием
Старый 03.05.2017, 04:05 Вверх   #10
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

Цитата Сообщение от bigbrain911 Посмотреть сообщение
Только у меня nginx + php-fpm
Обратиться к Luvilla, она должна знать как установить данный вид защиты применимо к Вашим условиям.
  Ответить с цитированием
Старый 03.05.2017, 10:41 Вверх   #11
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

Цитата Сообщение от bigbrain911 Посмотреть сообщение
один новый файл vb_observer.php
это шелл

Цитата Сообщение от bigbrain911 Посмотреть сообщение
был изменен login.php
дописаны две строки в функции проверки логина
занятно, такое мне ещё не попадалось, спасибо за пополнение коллекции

Цитата Сообщение от bigbrain911 Посмотреть сообщение
а что скажите судя по файлам и ситуации, какие действия с моей стороны должны быть?
похоже, что у злоумышленника есть доступ к файловой системе
это может быть старый шелл (и если так, то это находится легче всего) - в виде модуля или файла

Цитата Сообщение от bigbrain911 Посмотреть сообщение
судя по логам доступа посторонних по ssh не было
а доступ по ФТП есть?
это может быть вирусок на компьютере того, у кого сохранён ФТП-логин

это может быть и серверная уязвимость

аксесс.лог пишется?
берите вчерашний лог и изучайте, если шелл в файлах, будет видно обращение к НЕ-вобловскому файлу

Цитата Сообщение от bigbrain911 Посмотреть сообщение
Админов удалил кроме себя, свой пароль сменил, пароль базы тоже, левый файл сразу удалил измененный вернул на место и снял права для записи.
всё верно
  Ответить с цитированием
Старый 03.05.2017, 13:39 Вверх   #12
Грамотный форумчанин
 
Аватар для bigbrain911
bigbrain911 вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Luvilla Посмотреть сообщение
это шелл


дописаны две строки в функции проверки логина
занятно, такое мне ещё не попадалось, спасибо за пополнение коллекции


похоже, что у злоумышленника есть доступ к файловой системе
это может быть старый шелл (и если так, то это находится легче всего) - в виде модуля или файла


а доступ по ФТП есть?
это может быть вирусок на компьютере того, у кого сохранён ФТП-логин

это может быть и серверная уязвимость

аксесс.лог пишется?
берите вчерашний лог и изучайте, если шелл в файлах, будет видно обращение к НЕ-вобловскому файлу


всё верно
Фтп не стоит, пользуюсь только SFTP, судя по auth.log все заходы только с моих ip, логи nginx отключены, как я понял, зашли под другим админом, у которого есть доступ к редактированию юзеров, что то делали с некоторыми юзерами, пытались редактировать меня, но на мне защита в конфиге, да и судя по логам подомной не смогли зайти, после от инспектора файлов пришло письмо об 1 измененном файле и одном новом, может в подпись или аватар или статус залили html код какой то? Я уже айболитом прошелся по всему сайту, ни чего необычного не нашел, как теперь найти дыру?

Последний раз редактировалось bigbrain911; 03.05.2017 в 13:41..
  Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 16:49. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.11583 секунды с 13 запросами