1.1.3 Взломали форум на Xenforo 1.1.3

Собственно час назад взломали форум , благо восстановил из бэкапов

Удалили все таблицы из базы данных.

IP адреса взломщиков
75.101.139.173
87.106.61.84
91.200.217.51
173.192.34.91
204.236.129.31
95.86.155.139

заблокировал данные адреса файером но как мне видится это не решение проблеммы ,

поскажите как быть ?

 

Самое главное, я извиняюсь, никому не срать. Сайты просто так не ломают. Вести себя нужно достойно. Но это всё лирика...

Если удалили таблички из БД - значит взлом был со стороны mySQL сервера и движок тут ни при чём... Рекомендую покопаться на специализированных сайтах и почитать. И нужно обратиться к хостеру - возможно они что-то подскажут.

 

Ну это похоже это на почве национализма поскольку взлом делался со стороны азербайджанцев (да и не важно все это )

главное как понять где дырка и как закрыть (насколько я понимаю)

 

ip-адреса ни о чем не говорят, под своими сидят только идиоты. Первые два вообще принадлежат облаку amazon. Ну а делать - выложите список установленных дополнений и логи на момент взлома.

 

никаких логов, никаких деталей...в чём смысл сообщения?

p.s. команда экстрасенсов уже в пути

 

Спасибо что отозвались

Вот список дополнений , а нащет логов не уверен но поробую достать .
Custom BBCode Manager (Перевод: XF-Russia [Gatses]) v1.2.1
First Post On All Pages 1.1
Minimalism UI 1.0.4
ragtek Disallow Images in Signature 1.0.0 RC1
ragtek FrameWork (Перевод: XF-Russia [Gatses]) 1.1.10 beta4
ragtek Latest Posts Sidebar Block 1.1
ragtek Navbar Manager 1.0.0
TaigaChat 0.5.5
Virtual Keyboard Add-on for XenForo 0.5
WaterMark Add-on 1.2 <<< Отключен
Xen-TR.com Who Has Visited (Перевод: XF-Russia [Gatses]) 2.5.1
XenMoods 1.1.1 <<< Отключен
[8wayRun.Com] XenAtendo (Events) 1.4.6
[8wayRun.Com] XenMedio (Media) 1.5.0
[8wayRun.Com] XenPorta (Portal) 1.5.3
[8wayRun.Com] XenUtiles (Tools) 1.1.5
[bd] Rotating Ads 1.6.1
[bd] Tag Me 1.4.2
[bd] Widget Framework 1.1.1 <<< Отключен
[Hide] Addon 1.1
[InfisJSC] Topic starter's rights 1.2.0
[xfr] Birthdays 1.0.2
[xfr] Infractions 1.0.3
[xfr] Предотвращение даблпостинга 1.2.0
Быстрая вставка имени пользователя в форму ответа 1.0.1
Галерея Аватаров 0.1b

 

А какой конфиг сервера?

 

PHP:

<?php
 
$config['db']['host'] = 'localhost';
$config['db']['port'] = '3306';
$config['db']['username'] = 'name';
$config['db']['password'] = 'password';
$config['db']['dbname'] = 'dbname;
 
$config['superAdmins'] = '1';
$config['cache']['cacheSessions'] = true;
/*
$config['debug'] = true;
/*
$config['cache']['enabled'] = true;
$config['cache']['frontend'] = 'Core';
$config['cache']['frontendOptions'] = array(
    'caching'                  => true,
    'automatic_serialization'  => true,
    'lifetime'                  => 18000,
    'cache_id_prefix'          => 'xf_'
);
 
 
/*
$config['cache']['backend'] = 'Xcache';
$config['cache']['backendOptions'] = array();
*/
/*
$config['cache']['backend'] = 'Apc';
$config['cache']['backendOptions'] = array();
*/
/*
$config['cache']['backend'] = 'File';
$config['cache']['backendOptions'] = array('cache_dir'  => '/var/www/vhosts/sysadmin.am/httpdocs/internal_data/page_cache/');
*/


 

Что-то мне подсказывает, что конфигурация сервера != конфигурации форума)

 

Золотые слова!

Нужен конфиг именно сервера, т.е. что за хостинг - выделенный, вдс, шаред. Как настроен пхп - версия, режим работы (mod_php/cgi/...). Веб сервер - апач, nginx и т.д.

 

Ах ну да так сервак не мой , если поскажете конкретно что имеется ввиду по словом "конфигурация сервера" то узнаю сорри

 

Да и без логов что-то сказать просто нереально. Даже если в логах ничего нет, то можно сделать вывод что ломанули не через сайт

Написал выше.

А если сервер не Ваш, то скорее всего на сервере крутится много каких еще сайтов. А тогда взломав один из этих сайтов с 99% вероятностью могу предположить что можно взломать и Ваш сайт.

 

Сервер выделенка

Режим работы PHP fastCGI
Версия PHP 5.2.17
Apache 2.2.15

Ладно ребята всем огромное спасибо что отозвались , думаю нет смысла в продолжении публичного диалога..



Если тема не нужна то можно закрыть или удалить

Извините за беспокойство...

 

На самом деле, без подробных логов можно только гадать.
Посему изначально тема была обречена.

 

fastCGI + apache - странная комбинация.
+ Неизвестно что-то крутится еще или нет.
советую проверить настройку пхп:
cgi.fix_pathinfo
должно быть установлено в 0, если установлена в 1 или вообще не задана, то стоит выставить в 0

 

Кстати, очень помогает посмотреть логи веб-сервера. Обычно с подозрительных IP сначала идет серия запросов. В логах можно видеть также и размеры пересылаемых данных. Если залили какой-то шелл, то его можно определить по слишком большому передаваемых данных в запросе, например. Конечно, удаление таблиц - это наврядли шелл, но не факт, что какие-либо изменения в базу данных вносились через get или post запросы. Т.е. могли сначала залить шелл, а уж потом сделать то, что сделали.
А вообще странно, зачем было удалять таблицы, когда можно было попробовать перехватить куки админской сессии, а потом от души повеселиться от имени администратора. Наверное, действительно, акция носила целенаправленный характер на прекращение работы форума...

 

Чего врагов искать в "облаках". Первый "враг" это хостер. Он и без шелов может грохнуть базу , да и весь сайт.

 

Причем, не специально, а из серии "так получилось"

 

Вот пара моих наблюдений:

1)Запретите полностью вход через ftp на сервере;
2)Установите пароль на админку;
3)Установите пароли больше 8-ми символов на:Свой акк., учётку сервера, базу, причём это должны-быть разные пароли.
4)Создайте ещё один логин обычного пользователя или модератора и общайтесь на форуме через него, админа используйте, только в крайних случаях:Установка плагинов и т.д.
5)Не забывайте про капчу:Если пользователь например ввёл 5-ть раз не правильно пароль, то по умолчанию в движке включено, ввод пароля через гугл капчу, не советую это отключать..., иначе праоль могут подобрать;
6)На сервере советую использовать PHP 5.4.

А Вы уверены, что это не глюк, если нет, то уязвимость в сервере ищите, скорей-всего залили шел, через ftp...

 

В продолжении темы:

ОБЯЗАТЕЛЬНО переименуйте или удалите папку Install (После установки или удаления), иначе злоумышленник может узнать версию Вашего движка и потенциально сделать другие пакости !

И защитите админку, как написано здесь:http://www.xf-russia.ru/forum/threads/Защищаем-админку-xenforo.1323/