Взлом или глюк?

crash · Сообщение **crash** » 10.08.2007 16:42

Goose писал(а):Второй не сделал и теперь жалею, т.к. глючит поиск, а найти не могу

у кого глючит? Почитайте FAQ

parrot · Сообщение **parrot** » 12.08.2007 22:37

Что касается "глюков" - у меня на сайте сегодня ночью точно такая же беда произошла.
Хакнули форум, переписали файлы index.php, login.php, admin/index.php, includes/auth.php, а также все index.html, которые в каждой папке форума. Там был прописан тот самый iframe - что за ссылка - не смотрел.

Кто и как взломал - разбираюсь пока что.
Версия форума - последняя, причем давно обновлена. Все пароли сменил на всякий случай - однако моё ИМХО - нашли новую дыру в phpBB и/или в каком-то моде.

Зеленый · Сообщение **Зеленый** » 13.08.2007 2:55

parrot писал(а):Что касается "глюков" - у меня на сайте сегодня ночью точно такая же беда произошла.
Хакнули форум, переписали файлы index.php, login.php, admin/index.php, includes/auth.php, а также все index.html, которые в каждой папке форума. Там был прописан тот самый iframe - что за ссылка - не смотрел.

Кто и как взломал - разбираюсь пока что.
Версия форума - последняя, причем давно обновлена. Все пароли сменил на всякий случай - однако моё ИМХО - нашли новую дыру в phpBB и/или в каком-то моде.

Это не форум хакнули,это у тебя пароль от FTP свистнули и переписали выше перечисленные файлы,причем не только на форуме,но и все файлы index,admin,login.... срочно меняй пароль от FTP и не сохраняй его в программе Total Commander(и в других лучше не сохранять),у меня такая же фигня была,хорошо знакомый подсказал в чем дело,сайт я вроде бы вылечил,но вот спустя несколько дней на форуме появилась такая фигня:
Warning: set_magic_quotes_runtime() has been disabled for security reasons in /home/zapret/public_html/forum/common.php on line 29

Warning: Cannot modify header information - headers already sent by (output started at /home/zapret/public_html/forum/common.php:29) in /home/zapret/public_html/forum/includes/sessions.php on line 206

Warning: Cannot modify header information - headers already sent by (output started at /home/zapret/public_html/forum/common.php:29) in /home/zapret/public_html/forum/includes/sessions.php on line 207

Warning: Cannot modify header information - headers already sent by (output started at /home/zapret/public_html/forum/common.php:29) in /home/zapret/public_html/forum/includes/page_header.php on line 475

Warning: Cannot modify header information - headers already sent by (output started at /home/zapret/public_html/forum/common.php:29) in /home/zapret/public_html/forum/includes/page_header.php on line 477

Warning: Cannot modify header information - headers already sent by (output started at /home/zapret/public_html/forum/common.php:29) in /home/zapret/public_html/forum/includes/page_header.php on line 478

посмотрел-данные файлы не переписывались без моего ведома,что такое могло случиться? версия форума 2.0.17,подскажите если кто знает

Палыч · Сообщение **Палыч** » 13.08.2007 8:10

Зеленый писал(а):что такое могло случиться?

Зеленый писал(а): версия форума 2.0.17

parrot · Сообщение **parrot** » 13.08.2007 10:34

Это не форум хакнули,это у тебя пароль от FTP свистнули и переписали выше перечисленные файлы,причем не только на форуме,но и все файлы index,admin,login

Если бы свистнули пароль, то залезли бы не только в форум (он только 20% сайта), да и все файлы, которые были заменены, имели одинаковую дату изменения, +-10 сек. По фтп так быстро не зальешь в разные папки. Плюс к этому файлы индекс заменены были только в стандартных папках phpBB, папки с редкими модами не тронуты.

Логи хостер до сих пор не прислал, поэтому деталей не знаю.
Моё ИМХО, - это делал паук, а не человек руками.

VVVas · Сообщение **VVVas** » 13.08.2007 11:11

parrot
Прочтите, пожалуйста, FAQ, вопрос 43, на крайний случай воспользуйтесь поиском. Если вы не знаете о чем речь - то лучше молчите.

parrot · Сообщение **parrot** » 13.08.2007 12:16

Все наконец-таки понял. Форум был "взломан" с моей рабочей машины, которая никогда не выключается и пароль на фтп сохранен в тотал командере.

П.С. Лицензионная винда со всеми обновлениями + Нортон 2007 = полно троянов.

Ellie · Сообщение **Ellie** » 13.08.2007 17:27

Прощу прощения, что пощу в чужой теме, вроде бы мой вопрос косвенно касается.
Есть подозрение, что какой-то пользователь несанкционированно имеет права доступа к приватным форумам. Через phpMyAdmin перепроверила таблицу users, поле user-level, левых модераторов и админов нет. Как вариант, конечно можно проверить вручную права доступа каждого пользователя форума, но нет ли возможности проверить это каким то SQL запросом, или другим массовым способом? (с SQL не очень дружу

) Очень не хочется перелопачивать 200+ юзеров вручную, хоть вроде это и не так много.

Версия форума последняя 2.0.22

Палыч · Сообщение **Палыч** » 14.08.2007 1:50

Ellie писал(а):Очень не хочется перелопачивать 200+ юзеров вручную,

А вам и не придётся. Прав доступа определяются по принадлежности к группе. Каждому новому пользователю при регистрации сразу устанавливается персональная группа.

Ellie писал(а):Через phpMyAdmin перепроверила таблицу users,

Значит с ним вы дружите, тогда проверьте таблицу phpbb_auth_access, отсортируйте её по полю forum_id (щёлкните по наименованию этого поля в обзоре таблицы) Вы увидите соответствие всех group_id к интересующему вас форуму. (остальные поля в строчке определяют конкретные права: 1 - да, 0 - нет)
Думаю, их будет немного. Затем в таблице phpbb_groups по group_id увидите все группы, имеющие какой-либо установленный доступ к данному форуму. Если в поле group_description в строке конкретной группы будет значение Personal User, то это и есть "персональная группа" конкретного пользователя. Через её ID в таблице phpbb_user_group легко находится ID данного пользователя.
Если конкретному пользователю нигде не устанавливались права в приватные форумы, то ID его персональной группы не будет (не должно) присутствовать в таблице phpbb_auth_access

Надеюсь, объяснил не слишком заумно

Ellie · Сообщение **Ellie** » 15.08.2007 18:21

Спасибо большое, с первого раза действительно не дошло

, но немножко помучавшись пошагово, все получилось посмотреть.

Единственное что получились новые вопросы, почему для закрытого форума высветился доступ у нужной группы и у Personal User- меня (я админ), тем не менее ID второго админа не засветилось там. Единственно- мой админский статус удалялся и возвращался, это может быть причиной?

Палыч · Сообщение **Палыч** » 15.08.2007 19:44

Ellie писал(а): это может быть причиной?

Да, разве вы чем то оличаетесь от обычного юзера? Ведь у вас нет специально созданной группы Администраторы? 8)
Администраторы имеют доступ везде, но определяется это по статусу (поле user_level в таблице users 0 - обычный пользователь, 1 - администратор, 2 - модератор)
Кстати, встроенная группа Аdmin тоже имеет дескрипшин Personal User

Ellie · Сообщение **Ellie** » 16.08.2007 16:07

Спасибо за ответы, разобралась