Сперли дамп базы

Merlin · Сообщение **Merlin** » 06.03.2005 6:30

Сегодня ночью взломали мне 2.0.11.
Да, признаю, дурень, не обновился вовремя. Урок извлечен.
Но как у нас, славян, бывает, пока гром не грянет...

Однако человек, сделавший это, оказался порядочем. Просто написал, в новостях "обновите форум". Но, есть подозрение, что он содрал дамп базы. Вот хотел спросить насколько это критично? Т.е. пароли то все в md5, но нельзя ли каким-то образом имея на руках хэш, зайти под чужим акаунтом? Стоит ли бить тревогу юзерам, чтоб меняли пароли?

crash · Сообщение **crash** » 06.03.2005 6:33

Merlin

Стоит ли бить тревогу юзерам, чтоб меняли пароли?

стоит, особенно админам и модерам

Merlin · Сообщение **Merlin** » 06.03.2005 6:43

Спасибо
А можно как-то узнать - был ли он залогинен? В логах апача только sid проскакивает. IP постоянно разные - видать рулетку использовал.

Vladson · Сообщение **Vladson** » 06.03.2005 6:50

Дело в том что лучше искать в логах записи где встречается /admin/admin_db_utilities.php
если таких нет тогда хорошо (тревогу бить не обязательно) если встречается то тогда я вам не завидую...
(одной из последних обнаруженых дыр присвоен статус "критической" а к таким надо относиться очень и очень серьёзно)

Merlin · Сообщение **Merlin** » 06.03.2005 6:54

В том то и дело, что встречается...
Поэтому и возникло подозрение, что база утекла =)
Я уже обновился до 2.0.13, поставил на админку апачевский пароль и разослал призыв менять пароли на акаунтах. Больше вроде ничего уже сделать нельзя.

Vladson · Сообщение **Vladson** » 06.03.2005 7:02

Мало того можно, но и нужно я однажды проник в админку (на heatpc.com ещё до того как стал там администратором) и сказал что я знаю все пароли и что надо всем их срочно менять, половина людей просто игнорировали меня (видимо подумали что я буду думать что они сменили их и не попробую их позднее) так что я рекомендовал бы одновременно сменить пароли всех администраторов и выслать им новые лично (в ICQ например) так же это нужно чтоб хакер не слил базу с новыми паролями (из под акаунта того админа который сменит пароль последним)

Merlin · Сообщение **Merlin** » 06.03.2005 7:17

Большое спасибо за помощь. Буду ждать развития событий.

Сообщение **Xpert** » 06.03.2005 9:13

Надо вообще смотреть, что происходимо на аккаунте - по логам сервера (access_log и error_log). И предполагать самое худшее - что базу утащили. Как крайний вариант, можно запросом через базу обнулить пароли всех пользователей - каждый из них потом запросит новый на свой e-mail.

Erlang · Сообщение **Erlang** » 07.03.2005 3:24

Как крайний вариант, можно запросом через базу обнулить пароли всех пользователей - каждый из них потом запросит новый на свой e-mail.

Форум назначит им новые пароли?

Vladson · Сообщение **Vladson** » 07.03.2005 5:18

Erlang

Форум назначит им новые пароли?

Именно

matumba · Сообщение **matumba** » 18.05.2005 19:42

чтобы не хакали, смените в базе данных id админа на какой нить отличный от единицы и двойки, это касается всех версий форумов, на 2.0.15 не тестил, в остальных легко можно залезть в админку.

Сообщение **Xpert** » 18.05.2005 19:48

matumba
Вообще-то пользователя с id=1 обычно не существует. А в остальном совет конечно правильный - сменить умолчательные значения, чтобы не предоставлять возможность позабавиться малолеткам.

Dion · Сообщение **Dion** » 18.05.2005 23:00

Xpert
А если не секрет, где написано об этой проблеме с id? У меня 2.0.13

matumba · Сообщение **matumba** » 18.05.2005 23:15

непомню, посмотри на Securitylab, хотя это приватные данные были, незнаю, может и появились уже в сети, должны по крайней мере появиться, вообщем через браузер MozillaFirefox путем редактирования кукисов (подмены) можно получить доступ к админке, буквально за 20 сек. в версия 2.0.13 точно подвержена этому хаку, просто измени ID админа на какой нить 456 и все, этот хак работать не будет, так что не волнуйся

Erlang · Сообщение **Erlang** » 19.05.2005 1:36

А два админа можно сделать?