1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

1.1.3 Взломали форум на Xenforo 1.1.3

Тема в разделе "OFF-топик", создана пользователем Reborns, 24 июл 2012.

Загрузка
  1. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    Собственно час назад взломали форум , благо восстановил из бэкапов :(

    Удалили все таблицы из базы данных.

    IP адреса взломщиков
    75.101.139.173
    87.106.61.84
    91.200.217.51
    173.192.34.91
    204.236.129.31
    95.86.155.139

    заблокировал данные адреса файером но как мне видится это не решение проблеммы ,

    поскажите как быть ?
     
  2. AOTN

    AOTN Friend

    Регистрация:
    30.09.10
    Сообщения:
    449
    Симпатии:
    271
    Версия XF:
    1.2.4
    Самое главное, я извиняюсь, никому не срать. :) Сайты просто так не ломают. Вести себя нужно достойно. :) Но это всё лирика...

    Если удалили таблички из БД - значит взлом был со стороны mySQL сервера и движок тут ни при чём... Рекомендую покопаться на специализированных сайтах и почитать. И нужно обратиться к хостеру - возможно они что-то подскажут. :)
     
  3. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    Ну это похоже это на почве национализма поскольку взлом делался со стороны азербайджанцев (да и не важно все это )

    главное как понять где дырка и как закрыть (насколько я понимаю)
     
  4. maus

    maus Местный

    Регистрация:
    27.03.12
    Сообщения:
    187
    Симпатии:
    128
    ip-адреса ни о чем не говорят, под своими сидят только идиоты. Первые два вообще принадлежат облаку amazon. Ну а делать - выложите список установленных дополнений и логи на момент взлома.
     
  5. Desperado

    Desperado Местный

    Регистрация:
    23.10.10
    Сообщения:
    270
    Симпатии:
    98
    Версия XF:
    1.1.3
    никаких логов, никаких деталей...в чём смысл сообщения?

    p.s. команда экстрасенсов уже в пути
     
  6. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    Спасибо что отозвались

    Вот список дополнений , а нащет логов не уверен но поробую достать .
    Custom BBCode Manager (Перевод: XF-Russia [Gatses]) v1.2.1
    First Post On All Pages 1.1
    Minimalism UI 1.0.4
    ragtek Disallow Images in Signature 1.0.0 RC1
    ragtek FrameWork (Перевод: XF-Russia [Gatses]) 1.1.10 beta4
    ragtek Latest Posts Sidebar Block 1.1
    ragtek Navbar Manager 1.0.0
    TaigaChat 0.5.5
    Virtual Keyboard Add-on for XenForo 0.5
    WaterMark Add-on 1.2 <<< Отключен
    Xen-TR.com Who Has Visited (Перевод: XF-Russia [Gatses]) 2.5.1
    XenMoods 1.1.1 <<< Отключен
    [8wayRun.Com] XenAtendo (Events) 1.4.6
    [8wayRun.Com] XenMedio (Media) 1.5.0
    [8wayRun.Com] XenPorta (Portal) 1.5.3
    [8wayRun.Com] XenUtiles (Tools) 1.1.5
    [bd] Rotating Ads 1.6.1
    [bd] Tag Me 1.4.2
    [bd] Widget Framework 1.1.1 <<< Отключен
    [Hide] Addon 1.1
    [InfisJSC] Topic starter's rights 1.2.0
    [xfr] Birthdays 1.0.2
    [xfr] Infractions 1.0.3
    [xfr] Предотвращение даблпостинга 1.2.0
    Быстрая вставка имени пользователя в форму ответа 1.0.1
    Галерея Аватаров 0.1b
     
  7. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.921
    Симпатии:
    1.160
    Версия XF:
    1.0.4
    А какой конфиг сервера?
     
  8. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    PHP:
    <?php
     
    $config
    ['db']['host'] = 'localhost';
    $config['db']['port'] = '3306';
    $config['db']['username'] = 'name';
    $config['db']['password'] = 'password';
    $config['db']['dbname'] = 'dbname;
     
    $config['
    superAdmins'] = '1';
    $config['
    cache']['cacheSessions'] = true;
    /*
    $config['
    debug'] = true;
    /*
    $config['
    cache']['enabled'] = true;
    $config['
    cache']['frontend'] = 'Core';
    $config['
    cache']['frontendOptions'] = array(
        '
    caching'                  => true,
        '
    automatic_serialization'  => true,
        '
    lifetime'                  => 18000,
        '
    cache_id_prefix'          => 'xf_'
    );
     
     
    /*
    $config['
    cache']['backend'] = 'Xcache';
    $config['
    cache']['backendOptions'] = array();
    */
    /*
    $config['
    cache']['backend'] = 'Apc';
    $config['
    cache']['backendOptions'] = array();
    */
    /*
    $config['
    cache']['backend'] = 'File';
    $config['
    cache']['backendOptions'] = array('cache_dir'  => '/var/www/vhosts/sysadmin.am/httpdocs/internal_data/page_cache/');
    */
     
  9. Desperado

    Desperado Местный

    Регистрация:
    23.10.10
    Сообщения:
    270
    Симпатии:
    98
    Версия XF:
    1.1.3
    Что-то мне подсказывает, что конфигурация сервера != конфигурации форума)
     
    Jumuro и Yoskaldyr нравится это.
  10. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.921
    Симпатии:
    1.160
    Версия XF:
    1.0.4
    Золотые слова! :)
    Нужен конфиг именно сервера, т.е. что за хостинг - выделенный, вдс, шаред. Как настроен пхп - версия, режим работы (mod_php/cgi/...). Веб сервер - апач, nginx и т.д.
     
  11. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    Ах ну да :) так сервак не мой , если поскажете конкретно что имеется ввиду по словом "конфигурация сервера" то узнаю :) сорри
     
  12. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.921
    Симпатии:
    1.160
    Версия XF:
    1.0.4
    Да и без логов что-то сказать просто нереально. Даже если в логах ничего нет, то можно сделать вывод что ломанули не через сайт
    Написал выше.

    А если сервер не Ваш, то скорее всего на сервере крутится много каких еще сайтов. А тогда взломав один из этих сайтов с 99% вероятностью могу предположить что можно взломать и Ваш сайт.
     
  13. Reborns

    Reborns Местный

    Регистрация:
    24.11.11
    Сообщения:
    91
    Симпатии:
    48
    Версия XF:
    1.5.5
    Сервер выделенка

    Режим работы PHP fastCGI
    Версия PHP 5.2.17
    Apache 2.2.15

    Ладно ребята всем огромное спасибо что отозвались , думаю нет смысла в продолжении публичного диалога..

    :)

    Если тема не нужна то можно закрыть или удалить

    Извините за беспокойство...
     
  14. Desperado

    Desperado Местный

    Регистрация:
    23.10.10
    Сообщения:
    270
    Симпатии:
    98
    Версия XF:
    1.1.3
    На самом деле, без подробных логов можно только гадать.
    Посему изначально тема была обречена.
     
  15. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.921
    Симпатии:
    1.160
    Версия XF:
    1.0.4
    fastCGI + apache - странная комбинация.
    + Неизвестно что-то крутится еще или нет.
    советую проверить настройку пхп:
    cgi.fix_pathinfo
    должно быть установлено в 0, если установлена в 1 или вообще не задана, то стоит выставить в 0
     
  16. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Кстати, очень помогает посмотреть логи веб-сервера. Обычно с подозрительных IP сначала идет серия запросов. В логах можно видеть также и размеры пересылаемых данных. Если залили какой-то шелл, то его можно определить по слишком большому передаваемых данных в запросе, например. Конечно, удаление таблиц - это наврядли шелл, но не факт, что какие-либо изменения в базу данных вносились через get или post запросы. Т.е. могли сначала залить шелл, а уж потом сделать то, что сделали.
    А вообще странно, зачем было удалять таблицы, когда можно было попробовать перехватить куки админской сессии, а потом от души повеселиться от имени администратора. Наверное, действительно, акция носила целенаправленный характер на прекращение работы форума...
     
  17. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Чего врагов искать в "облаках". Первый "враг" это хостер. Он и без шелов может грохнуть базу , да и весь сайт.
     
  18. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Причем, не специально, а из серии "так получилось" :)
     
    Adrug нравится это.
  19. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    646
    Симпатии:
    267
    Вот пара моих наблюдений:

    1)Запретите полностью вход через ftp на сервере;
    2)Установите пароль на админку;
    3)Установите пароли больше 8-ми символов на:Свой акк., учётку сервера, базу, причём это должны-быть разные пароли.
    4)Создайте ещё один логин обычного пользователя или модератора и общайтесь на форуме через него, админа используйте, только в крайних случаях:Установка плагинов и т.д.
    5)Не забывайте про капчу:Если пользователь например ввёл 5-ть раз не правильно пароль, то по умолчанию в движке включено, ввод пароля через гугл капчу, не советую это отключать..., иначе праоль могут подобрать;
    6)На сервере советую использовать PHP 5.4.

    А Вы уверены, что это не глюк, если нет, то уязвимость в сервере ищите, скорей-всего залили шел, через ftp...
     
  20. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    646
    Симпатии:
    267
    В продолжении темы:

    ОБЯЗАТЕЛЬНО переименуйте или удалите папку Install (После установки или удаления), иначе злоумышленник может узнать версию Вашего движка и потенциально сделать другие пакости !

    И защитите админку, как написано здесь:http://www.xf-russia.ru/forum/threads/Защищаем-админку-xenforo.1323/
     

Поделиться этой страницей