Взлом phpBB 2.0.22?

s3lock · Сообщение **s3lock** » 07.04.2007 12:38

Форум посетил доброжелательный кулхацкер. Взломал, потому как вошел под ником админа и от его имени оставил мессаги. Также сообщил, что он получил хэш пароля администратора (а может и доступ к форуму напрямую с правами админа) с помощью ПОДМЕНЫ,
Хотелось узнать что это за подмена и как защититься.
Вресия phpBB 2.0.22 без модов, шаблон subSilver
PHP Version 4.3.9
MySQL 4

incubus · Сообщение **incubus** » 07.04.2007 14:02

s3lock
Странно. Пока не пришли гуру, могу порекомендовать связаться с хостером и запросить логи. Желательно указать точное время всего случившегося. Еще может быть вариант того, что пароль просто узнали. Вы его используете еще где-нибудь?

s3lock · Сообщение **s3lock** » 07.04.2007 14:38

Пароль больше нигде не используется. Логи попробую получить.

Coagulant · Сообщение **Coagulant** » 07.04.2007 15:06

Вресия phpBB 2.0.22

Версия "чистая" или обновлялись с более старой? Если обновлялись, то может похакали давно, а взломали только сейчас. Но непохоже вроде.

Alexalexis · Сообщение **Alexalexis** » 07.04.2007 15:08

Заменил пароль в базе хешем своего пароля. Но весь вопрос в том, как получил доступ к базе или админке форума. Кстати, phpMyAdmin имеет уязвимости, так что если хостер их своевременно не устранил...

s3lock · Сообщение **s3lock** » 07.04.2007 15:17

Версия чистая. Из старой только содержание таблиц перетянул (данные о зарегистрированных юзерах).
Из оставленных сообщений кулхацкеров явствует, что использовались ошибки админа форума (то есть мои) и конкретно уязвимость движка phpbb.
Инсталил по инструкции. В чем мог ошибиться не знаю пока.

incubus · Сообщение **incubus** » 07.04.2007 15:38

s3lock
А у Вас на хосте больше ничего не установлено? Есть какие-нибудь поддомены или что-нибудь интегрировано с форумом? Потому что когда-то до моей безбаговой обновленной версии форума, именно до БД форума, добрались через уязвимость галереи, находящейся на хосте вместе с форумом.

Vladson · Сообщение **Vladson** » 07.04.2007 17:47

s3lock
В принципе возможно что и есть какая нибудь дыра, как избавиться от последствий взлома вы можете найти на этом форуме (обсуждалось уже не раз)

До тех пор пока вы не дадите более подробную информацию о том как вас взломали (а узнать это вам должен помочь ваш хостер) мы увы помочь ничем не можем...

RedNaxi · Сообщение **RedNaxi** » 07.04.2007 18:00

Возможно под подменой подразумевается подмена кукисов. кулхацкер спер ваши кукисы и с помощью автологина вошел на форум. к админке он доступа видимо не получил иначе кроме мессаг оставил бы еще что-нибудь о себе... хотя Хз.

Balamut · Сообщение **Balamut** » 07.04.2007 19:59

проверьте наличие отсутствия "левых" админов.

s3lock · Сообщение **s3lock** » 10.04.2007 10:30

Спасибо всем за советы.
Разберусь - сообщу