Как создать юзера через БД

[jakal]

Можно ограничить IP до подсети провайдера, это расширяет доступ по IP, но вероятность того что взломщик будет в твоей подсети крайне мала.

ок буду иметь в виду, пока подожду, ломанут ли еще раз) а то может и хватит того что пароль сменил на БД, хотя мне кажется "он" его не угадал, а каким то образом слил, но каким, как это узнать?

[Inferno]

а каким то образом слил

Если стоит дампер на форуме для бекапов, смени для него папку ну и обзови по другому.

[jakal]

Если стоит дампер на форуме для бекапов, смени для него папку ну и обзови по другому.

у меня два дампера стоит, но дело в том что когда я ими не пользуюсь, то стоят права 0000, ну а когда нужно ставлю 0755, так что этот вариант отпадает. p.s. если бы злобный хацкер знал пароль на фтп, я думаю гайки были бы моим всем сайтам, а так работают еще)

[Inferno]

если бы злобный хацкер знал пароль на фтп, я думаю гайки были бы моим всем сайтам, а так работают еще)

Зная имя базы и пароль.. слить базу через дампер .. как 2-а пальца обАсфальт, и фтп не нужен

[jakal]

Зная имя базы и пароль.. слить базу через дампер .. как 2-а пальца обАсфальт, и фтп не нужен

что даже если на папке с дампером стоят права 0000 ?

[Inferno]

что даже если на папке с дампером стоят права 0000 ?

Попробуй у себя, все может быть.

[jakal]

Попробуй у себя, все может быть.

так в том то и дело что у себя пробовал, и ничего не получается, почему и говорю, что если 0000 поставить, то слить через дампер не сможет, я даже ставил 0777 и тоже ничего не получается, а вот когда 0755 тогда все ок.

[Slavok47]

такие наивные, чтобы слить дамп необязательно права на папку, есть и другие методы, и еще без доступа к FTP как можно залить дампер? проще через phpmyadmin? И заливать ни чего не нужно, и сохранить сразу себе на комп

[jakal]

через phpmyadmin

ну это понятно, мы просто за дамперы разговаривали, так вот я и сказал что там закрыто). И кстати после смены пароля на БД вроде все ок, пока еще не взломали! уже радует!)

[jakal]

я рано радовался!)
вот что зафигачили на этот раз САЙТ
Разве такое можно сделать имея логин и пароль к Базе данных?

[Serberg]

jakal, содержимое файла index.php изменилось или оно то же самое что и было ?

[jakal]

тоже самое, я сам в первую очередь это тоже проверил.

[Serberg]

jakal, значит в шаблон какой нить типа headinclude вставили редирект или еще что то. Значит доступа к файлам у них нет.
Попробуй до 3.8.7 pl2 обновится. Или нуль свой заменить другим нулером. У тебя чей нуль стоит ?

[jakal]

jakal, У тебя чей нуль стоит ?

NulleD vBulletin By FintMax

[jakal]

headinclude

ну сейчас гляну, если что найду. или Вы имеете в виду, вставили когда взломали?

[jakal]

Вот мой

headinclude:

<meta http-equiv="Content-Type" content="text/html; charset=$stylevar[charset]" />
<meta name="generator" content="vBulletin $vboptions[templateversion]" />
<if condition="$show['threadinfo']">
<meta name="keywords" content="<if condition="$threadinfo['taglist']">$threadinfo[taglist], </if>$threadinfo[prefix_plain_html] $threadinfo[title], $vboptions[keywords]" />
<meta name="description" content="<if condition="$pagenumber>1"><phrase 1="$pagenumber">$vbphrase[page_x]</phrase>-</if>$threadinfo[prefix_plain_html] $threadinfo[title] $foruminfo[title_clean]" />
<else /><if condition="$show['foruminfo']">
<meta name="keywords" content="$foruminfo[title_clean], $vboptions[keywords]" />
<meta name="description" content="<if condition="$pagenumber>1"><phrase 1="$pagenumber">$vbphrase[page_x]</phrase>-</if>$foruminfo[description_clean]" />
<else />
<meta name="keywords" content="$vboptions[keywords]" />
<meta name="description" content="$vboptions[description]" />
</if></if>

<!-- CSS Stylesheet -->
$style[css]
<if condition="is_browser('opera') AND !is_browser('opera', '8.0.1')">
<style type="text/css" id="vbulletin_opera8fix_css">
ul, ol { padding-$stylevar[left]:20px; }
</style>
</if>
<if condition="$show['editor_css']">
$editor_css
</if>
<!-- / CSS Stylesheet -->

<script type="text/javascript" src="$stylevar[yuipath]/yahoo-dom-event/yahoo-dom-event.js?v=$vboptions[simpleversion]"></script>
<script type="text/javascript" src="$stylevar[yuipath]/connection/connection-min.js?v=$vboptions[simpleversion]"></script>
<script type="text/javascript">
<!--
var SESSIONURL = "$session[sessionurl_js]";
var SECURITYTOKEN = "$bbuserinfo[securitytoken]";
var IMGDIR_MISC = "$stylevar[imgdir_misc]";
var vb_disable_ajax = parseInt("$vboptions[disable_ajax]", 10);
// -->
</script>
<script type="text/javascript" src="clientscript/vbulletin_global.js?v=$vboptions[simpleversion]"></script>
<if condition="$show['popups']"><script type="text/javascript" src="clientscript/vbulletin_menu.js?v=$vboptions[simpleversion]"></script>
</if>

<if condition="$vboptions['externalrss']">
<link rel="alternate" type="application/rss+xml" title="$vboptions[bbtitle] RSS Feed" href="external.php?type=RSS2" />
<if condition="$show['foruminfo'] OR $show['threadinfo']">
<link rel="alternate" type="application/rss+xml" title="$vboptions[bbtitle] - $foruminfo[title_clean] - RSS Feed" href="external.php?type=RSS2&amp;forumids=$foruminfo[forumid]" />
</if>
</if>
<!-- CYBER-CITY.RU Opacity -->
<script type="text/javascript" src="clientscript/cc38_opacity.js"></script>
<script type="text/javascript">
<!--
fadeOpacity.addRule('cc38_button', .3, 1, 30);
// -->
</script>
<!-- / CYBER-CITY.RU Opacity -->
<script type="text/javascript" src="clientscript/yui/animation/animation-min.js"></script>
<script type="text/javascript" src="clientscript/vsqscrolltotop.js"></script>

[Serberg]

Вы имеете в виду, вставили когда взломали?

Совершенно верно.

Вот мой

ищи измененный шаблон или файлы в файловой системе форума. Где то внесено изменение. На 100% отгадать не могу где.

[jakal]

а не подскажите, каким образом взламывают, если через FAQ не можно так как стоит заплатка, может все таки есть какой то способ это исправить? а то что то переходить на другую версию не очень хочется, это ж большая половина, хаков модулей перестанут работать. И сейчас времени нету чтоб это все править, было бы хорошо если бы можно было как то "залатать ту дыру" через которую сливают пароль к БД.

[Serberg]

jakal, а ты после взлома шелы искал в файлах форума ? Может тебе просто шел залили, а ты заплатки ставишь.

[jakal]

а разве могли залить шел не имея доступа к фтп? шел как я понимаю это файлик или код в файле.
p.s. а как их искать?

[Serberg]

а разве могли залить шел не имея доступа к фтп? шел как я понимаю это файлик или код в файле.

Через аватарки раньше грузили, сам однажды схватил оттуда удар, но было давно довольно.

Искать нужно через Инспектор файлов, но он установлен должен быть до того как взломали форум.

Так же через скрипт: Сканер последних измененных файлов можно определить какие файлы были недавно отредактированы на сервере. Порой бывает очень полезно знать куда кто что запрятал )

[jakal]

Спасибо! попробую эти скрипты.

[jakal]

Только что восстановил БД после взлома и закинул эти два скрипта! глянем что будет)

[jakal]

Вот сегодня ломанули, вот первый скрипт
http://norrest.com.ua/forum/scaner.php пароль и имя admin1 ничего там не ясно(

[jakal]

Второй скрипт http://norrest.com.ua/forum/misc.php?do=gfi тоже не показал ни каких изменений, так что я уже и не знаю как отследить взлом, откуда он идет?(