Взломали форум phpBB 2.0.21, нужна помощь восстановить!

[Boglik]

Парень. Твой сайт опять взломали.
Теперь пару слов по поводу логов. Ты их сам смотрел?

[Sat Nov 17 09:14:29 2007] [error] PHP Warning: mysql_close(): no MySQL-Link resource supplied in /home/kordak/public_html/top100/admin/lib/db_mysql.php on line 161

Твоих рук дело вручную БД скачивать?

Далее. Зашел я на турецкий дефейс, который перебрасывает и вытащил следующее:

Код: Выделить всё

<body MS_POSITIONING="GridLayout">
		<form name="Form1" method="post" action="Default.aspx" id="Form1">
<input type="hidden" name="__VIEWSTATE" value="dDwxMDM2NjMyMDc4O3Q8O2w8aTwxPjs+O2w8dDw7bDxpPDE
+Oz47bDx0PHA8bDxpbm5lcmh0bWw7PjtsPFw8UCBhbGlnbj1jZW50ZXJ
cPlw8Rk9OVCBzdHlsZT0iRk9OVC1TSVpFOiAxMDBwdCIgZmFjZT1XaW5
nZGluZ3MgY29sb3I9I2ZmMDAwMFw+XDwvRk9OVFw+Jm5ic3BcO1w8L1
BcPg0KXDxQIGFsaWduPWNlbnRlclw+XDxGT05UIHN0eWxlPSJGT05ULV
NJWkU6IDEwMHB0IiBmYWNlPVdpbmdkaW5ncyBjb2xvcj0jZmYwMDAwX
D5cPC9GT05UXD4mbmJzcFw7XDwvUFw+DQpcPFAgYWxpZ249Y2VudG
VyXD5cPEZPTlQgc3R5bGU9IkZPTlQtU0laRTogMTAwcHQiIGZhY2U9V2lu
Z2RpbmdzIGNvbG9yPSNmZjAwMDBcPlpcPC9GT05UXD5cPC9QXD4NC
lw8UCBhbGlnbj1jZW50ZXJcPlw8Qlw+XDxGT05UIGZhY2U9VGFob21hIG
NvbG9yPSM4MDgwODAgc2l6ZT00XD5UaGlzIFdlYiBQYWdlIFdhcyBIYWN
rZWQgYnkgXDwvRk9OVFw+XDxGT05UIGZhY2U9VGFob21hIGNvbG9yPS
NmZjAwMDAgc2l6ZT00XD50ZWJAcmVrXDwvRk9OVFw+XDwvQlw+XDwv
UFw+DQpcPFAgYWxpZ249Y2VudGVyXD5cPEJcPlw8Rk9OVCBmYWNlPVR
haG9tYSBjb2xvcj0jODA4MDgwIHNpemU9NFw+Q3liZXItU2Fib3RhZ2UgVE
lNXDwvRk9OVFw+XDwvQlw+XDwvUFw+XDxTVFJPTkdcPg0KXDxQIGFsa
WduPWNlbnRlclw+XDxGT05UIGZhY2U9VmVyZGFuYSBjb2xvcj0jODA4MD
gwIHNpemU9Mlw+IiBXZSBhcmUgdGhlIGd1YXJkIG9mIHJlZm9ybSBhbmQ
gcmVwdWJsaWMgIlw8L0ZPTlRcPlw8L1BcPg0KXDxQIGFsaWduPWNlbnRlcl
w+XDxGT05UIGZhY2U9VmVyZGFuYSBjb2xvcj0jZmYwMDAwIHNpemU9Ml
w+XDxBIHN0eWxlPSJURVhULURFQ09SQVRJT046IG5vbmUiIGhyZWY9Imh
0dHA6Ly93d3cuY3liZXItc2Fib3RhZ2Uub3JnLyJcPlw8Rk9OVCBjb2xvcj0jZm
YwMDAwXD53d3cuY3liZXItc2Fib3RhZ2Uub3JnXDwvRk9OVFw+XDwvQVw
+XDwvRk9OVFw+XDwvUFw+XDwvU1RST05HXD47Pj47Oz47Pj47Pj47Plg
N5hSYw75bfYbTR2/ljsXfnZwy" />

Строка

Код: Выделить всё

dDwxMDM2NjMyMDc4O3Q8O2w8aTwxPjs+O2w8dDw7bDxpPDE+
Oz47bDx0PHA8bDxpbm5lcmh0bWw7PjtsPFw8UCBhbGlnbj1jZW50ZXJcP
lw8Rk9OVCBzdHlsZT0iRk9OVC1TSVpFOiAxMDBwdCIgZmFjZT1XaW5nZ
GluZ3MgY29sb3I9I2ZmMDAwMFw+XDwvRk9OVFw+Jm5ic3BcO1w8L1Bc
Pg0KXDxQIGFsaWduPWNlbnRlclw+XDxGT05UIHN0eWxlPSJGT05ULVNJW
kU6IDEwMHB0IiBmYWNlPVdpbmdkaW5ncyBjb2xvcj0jZmYwMDAwXD5cP
C9GT05UXD4mbmJzcFw7XDwvUFw+DQpcPFAgYWxpZ249Y2VudGVyXD5
cPEZPTlQgc3R5bGU9IkZPTlQtU0laRTogMTAwcHQiIGZhY2U9V2luZ2Rpbm
dzIGNvbG9yPSNmZjAwMDBcPlpcPC9GT05UXD5cPC9QXD4NClw8UCBhb
Glnbj1jZW50ZXJcPlw8Qlw+XDxGT05UIGZhY2U9VGFob21hIGNvbG9yPSM
4MDgwODAgc2l6ZT00XD5UaGlzIFdlYiBQYWdlIFdhcyBIYWNrZWQgYnkgX
DwvRk9OVFw+XDxGT05UIGZhY2U9VGFob21hIGNvbG9yPSNmZjAwMDA
gc2l6ZT00XD50ZWJAcmVrXDwvRk9OVFw+XDwvQlw+XDwvUFw+DQpcP
FAgYWxpZ249Y2VudGVyXD5cPEJcPlw8Rk9OVCBmYWNlPVRhaG9tYSBjb2
xvcj0jODA4MDgwIHNpemU9NFw+Q3liZXItU2Fib3RhZ2UgVElNXDwvRk9O
VFw+XDwvQlw+XDwvUFw+XDxTVFJPTkdcPg0KXDxQIGFsaWduPWNlbnR
lclw+XDxGT05UIGZhY2U9VmVyZGFuYSBjb2xvcj0jODA4MDgwIHNpemU
9Mlw+IiBXZSBhcmUgdGhlIGd1YXJkIG9mIHJlZm9ybSBhbmQgcmVwdWJ
saWMgIlw8L0ZPTlRcPlw8L1BcPg0KXDxQIGFsaWduPWNlbnRlclw+XDxGT
05UIGZhY2U9VmVyZGFuYSBjb2xvcj0jZmYwMDAwIHNpemU9Mlw+XDxB
IHN0eWxlPSJURVhULURFQ09SQVRJT046IG5vbmUiIGhyZWY9Imh0dHA6
Ly93d3cuY3liZXItc2Fib3RhZ2Uub3JnLyJcPlw8Rk9OVCBjb2xvcj0jZmYwM
DAwXD53d3cuY3liZXItc2Fib3RhZ2Uub3JnXDwvRk9OVFw+XDwvQVw+X
DwvRk9OVFw+XDwvUFw+XDwvU1RST05HXD47Pj47Oz47Pj47Pj47PlgN5
hSYw75bfYbTR2

Зашифрована в base64
Вот что пишет:

Код: Выделить всё

t<1036632078;t<;l<i<1>;>;l<t<;l<i<1>;>;l<t<p<l<innerhtml;>;l<\<P align=center\>\<FONT style="FONT-SIZE: 100pt" face=Wingdings color=#ff0000\>\</FONT\>&nbsp\;\</P\>
\<P align=center\>\<FONT style="FONT-SIZE: 100pt" face=Wingdings color=#ff0000\>\</FONT\>&nbsp\;\</P\>
\<P align=center\>\<FONT style="FONT-SIZE: 100pt" face=Wingdings color=#ff0000\>Z\</FONT\>\</P\>
\<P align=center\>\<B\>\<FONT face=Tahoma color=#808080 size=4\>This Web Page Was Hacked by \</FONT\>\<FONT face=Tahoma color=#ff0000 size=4\>teb@rek\</FONT\>\</B\>\</P\>
\<P align=center\>\<B\>\<FONT face=Tahoma color=#808080 size=4\>Cyber-Sabotage TIM\</FONT\>\</B\>\</P\>\<STRONG\>
\<P align=center\>\<FONT face=Verdana color=#808080 size=2\>" We are the guard of reform and republic "\</FONT\>\</P\>
\<P align=center\>\<FONT face=Verdana color=#ff0000 size=2\>\<A style="TEXT-DECORATION: none" href="http://www.cyber-sabotage.org/"\>\<FONT color=#ff0000\>www.cyber-sabotage.org\</FONT\>\</A\>\</FONT\>\</P\>\</STRONG\>;>>;;>;>>;>>;>X
ж˜Гѕ[}†УGoеЋЕЯќњ2

Что за сайт www.cyber-sabotage.org я хз, но видимо из него ноги растут.

[crash]

а не проще перезалить все файлы, естественно обновив до 2.0.22 и сменить все пароли

[Boglik]

http://k-orda.kz/board/ - доска объявления тоже взломана.
Автор темы - ВСЕ логи в студию.
crash Это не поможет если они получили полный доступ к серверу. Если чисто прикалываются, то конечно, это поможет.
З.Ы Если взлом осуществляется через форум.
Кста, кинь еще error_log посмотрим.

[crash]

Это не поможет если они получили полный доступ к серверу.

тогда вообще все вопросы к хостеру и тему можно в муссорку.

[Hatch]

Я пароли менял не однократно, мой сайт уже не первый и даже не второй раз подвергается атаке. До сих пор не могу разобраться где брешь(

Глянул сегодня на логи, кажется, что и на рейтинг сайтов покушаются теперь!?

Твоих рук дело вручную БД скачивать?

Дампы БД обычно скачиваю вручную

Теперь пару слов по поводу логов. Ты их сам смотрел?

Нет, в логи я вообще не заглядывал, до недавнего времени. Не ожидал такого ажиотажа среди "ламеров" вокруг моего ресурса.

Сочувствую Hatch конечно, но меня позабавили копирайты в футере "Защищено CBACK CrackerTracker" ))

-У меня такое предчувствие, что уязвимость именно в ней (CBACK CrackerTracker)!?

Насчет обносления до новой версии, - я думаю вообще сделать новую установку на голую базу, т.к. на моем форуме установлено большое количество модов и возникнут сложности при обновлении (имхо), и последующей функциональности форума!? Поправьте меня, если я не прав.

-Обращался к хостерам, они посоветовали сменить все пароли, и проверить комп на вирусы)))))
>Пароли я уже не однократно менял, и на ФТП и на доступ в админку, одним словом конкретной помощи от хостера не получил.

Всем спасибо за то что откликнулись!
+ Вы мне бы очень помогли, если бы указали, направили меня, как убрать этот редирект!? Я уже кучу файлов форума перерыл, никак не могу найти "турецкий" код((((

offtop: http://www.viruslist.com/ru/news?id=189157634

[Alek$]

До сих пор не могу разобраться где брешь(

Скорее всего вот тут
http://www.securitylab.ru/vulnerability/281494.php
и тут
http://www.securitylab.ru/vulnerability/275030.php
Поэтому проверьте сайт на наличие левых файлов (читай: backdoor) и левых пользователей с правами админа.

возникнут сложности при обновлении (имхо), и последующей функциональности форума!?

Если использовать обновление в виде мода, то особых проблем возникнуть не должно.

Я уже кучу файлов форума перерыл, никак не могу найти "турецкий" код((((

В админке зайдите в редактирование первой категории (в управлении форумами) и увидете его

[Boglik]

Пароли я уже не однократно менял, и на ФТП и на доступ в админку, одним словом конкретной помощи от хостера не получил.

Нет смысла в том случае, если у тебя на сайте спрятанн web-hell, дающий привилегии k-orda или рута.
Твой пароль о сайта хранится в базе данных mysql
Взломщики, имеющие доступ к сайту через веб шелл могут прочитать файл config.php, который содержит пароль и логин для входа на сайт, зайти под зарегистрированным пользователей, сменить пароль на сайте, зайти в админку, и начать куролесить.
Это элементарно И особых навыков не требует.
Смена паролей не поможет в том случае ,если у злоумышленников есть доступ к сайту.
Глянул еще раз на сайт.
http://k-orda.kz/forum/viewtopic.php?t= ... 8a30878001
твое Тогда бы хоть начать дальше материал изучать не было бы такой ситуации.
логи еще не смотрел, но щас посмотрю.
Итак, - проверь ВСН

Добавлено спустя 27 секунд:

Я пароли менял не однократно, мой сайт уже не первый и даже не второй раз подвергается атаке. До сих пор не могу разобраться где брешь(

Смысла нет, если тебе шелл повесили.

Дампы БД обычно скачиваю вручную

Как я понял через админку? Не с помощью стороних утилит?

-У меня такое предчувствие, что уязвимость именно в ней (CBACK CrackerTracker)!?

Не исключено, хотя вряд ли.
Уязвимостей по поводу CrackerTracker я в пабликах не видел. Может, есть в привате...

Пароли я уже не однократно менял, и на ФТП и на доступ в админку, одним словом конкретной помощи от хостера не получил.

Нет смысла в том случае, если у тебя на сайте спрятанн web-hell, дающий привилегии k-orda или рута.
Твой пароль о сайта хранится в базе данных mysql
Взломщики, имеющие доступ к сайту через веб шелл могут прочитать файл config.php, который содержит пароль и логин для входа на сайт, зайти под зарегистрированным пользователей, сменить пароль на сайте, зайти в админку, и начать куролесить.
Это элементарно И особых навыков не требует.
Смена паролей не поможет в том случае ,если у злоумышленников есть доступ к сайту.
Глянул еще раз на сайт.
http://k-orda.kz/forum/viewtopic.php?t= ... 8a30878001
твое Тогда бы хоть начать дальше материал изучать не было бы такой ситуации.
логи еще не смотрел, но щас посмотрю.
Итак, - проверь ВСЕ файлы на подозрительность( хотя бы тем же кряком) и отпишись.

[Alek$]

Boglik
даблпост?

[Boglik]

Alek$, в смысле? Я что-то нарушил?
Hatch, дай мне логи не за 19 число, а в день когда ты впервый раз увидел взлом. 19 числа они могли даже не заходить.

[Hatch]

1. Нашел шэлл в папке "engine/admin" своего сайта, - удалил!
(Раз его залили один раз, значит есть вероятность, что зальют и еще!?)
Собственно, если залили шел, значит получили рута на хосте!?
Мои действия:
> Пароли к ФТП и Админке сменил
> Просканировал систему на наличие троянов

2. Пролистал БД пользователей, ничего подозрительного, кроме anonimous с ID=>0 и паролем {empty} не нашел.
> Одно, но: У меня на форуме есть второй Администратор, со всеми привелегиями. Дает ли это уязвимость форуму, при условии, что человек надежный и не заинтересован во вродительстве?

=========================================

Как я понял через админку? Не с помощью стороних утилит?[/quote]
Да, через админку! Если это создает угрозу, не могли бы вы мне посоветовать хорошую утилиту!?

Тогда бы хоть начать дальше материал изучать не было бы такой ситуации.

Разумно+Логично! Немного оффтопа: Никогда не вдавался в глубокое изучение методов и соответственно в саму теорию взлома (наверное зря!?((()

Если использовать обновление в виде мода, то особых проблем возникнуть не должно.

ОК. Буду искать обновление в виде мода!

В админке зайдите в редактирование первой категории (в управлении форумами) и увидете его

Все бы хорошо, только когда я вхожу на сайт либо в админку, срабатывает редирект.

В общем ближайший план действий я понял, буду работать дальше!
Всем выражаю огромную признательность за содействие!

[Boglik]

1) не исключено, если залит "запасной" шелл.
То что ты сделал - все правильно.
2) Этого администатора ты назначал? Если да - посоветуй всем администраторам и модераторам, а так же простым пользователям сменить пароли.

Да, через админку! Если это создает угрозу, не могли бы вы мне посоветовать хорошую утилиту!?

Поздравляю. Скоммуниздили твою БД. Кстати, именно через нее могли залить шелл.
Или пароль от админки подошел к фтпшнику...
Не понял - в чем угроза? Такие утилиты обычно угрозы( в моем случае) не приводят.
Кстати..тебе придется сменить пасс и на соединения с БД форума.
Если не идиоты( а судя по ситуации нет) могли прочитать и заходить в Бд.
тут хоть меняй или не меняй...

Разумно+Логично! Немного оффтопа: Никогда не вдавался в глубокое изучение методов и соответственно в саму теорию взлома (наверное зря!?((()

Зря. В наше время, как я считаю, тем более если имеем ресурс в интернете обязаны знать если не практическую, то хотя бы теоретические виды взломов и незаконного получения информации для предотвращения подобных ситуации.

\\Все бы хорошо, только когда я вхожу на сайт либо в админку, срабатывает редирект.\\
Кинь сюда index.php посмотрим что в нем

[Alek$]

Boglik
Прочти внимательно вот этот пост

Собственно, если залили шел, значит получили рута на хосте!?

Рута - врядли. А вот права веб-сервера - точно.

кроме anonimous с ID=>0 и паролем {empty} не нашел

Это не подозрительное Так и должно быть.

Дает ли это уязвимость форуму, при условии, что человек надежный и не заинтересован во вродительстве?

Если вы в нем уверены - то не дает.

посоветовать хорошую утилиту!?

phpMyAdmin. Еще где-то на этом форуме была целая тема, посвященная выбору дампера БД.

Все бы хорошо, только когда я вхожу на сайт либо в админку, срабатывает редирект.

Ну тогда непосредственно в базе. Таблица phpbb_categories.

[Палыч]

Кинь сюда index.php посмотрим что в нем

Базу смотреть надо.

кроме anonimous с ID=>0

Наверное, всё-таки anonimous с ID<0 (-1) 8)
Hatch
На будущее - http://www.phpbbguru.net/docs/?id=2

[Boglik]

Alek$, разобрался. Исправил
Палыч, вопрос в том, кинет ли базу. Если да, в моем случая я прошу админ-доступ чтобы залезть в админку и сменить надписи, а так же выправить /board/

[Hatch]

На будущее - http://www.phpbbguru.net/docs/?id=2

Спасибо за замечание, - ИСПРАВИМ!

Кинь сюда index.php посмотрим что в нем

В индексе ничего нет, если все-таки нужно, я его уже заливал в начале, в первом посте.

Наверное, всё-таки anonimous с ID<0 (-1) 8)

Палыч, так точно! Извиняюсь за не внимательность!

Вот, что я нашел:
В скуле:
phpbb_categories > forum_name: <meta http-equiv="refresh" content="1;URL=http://www.turkattackers.org/indexler/SyST3M71.html">

Значит все-таки в БД залезли(

ПОТИХОНЬКУ НАЧИНАЮ РАЗБИРАТЬСЯ))))
ВСЕМ ОГРОМНАЯ ПРИЗНАТЕЛЬНОСТЬ ЗА ПОМОЩЬ!!!!
phpBBguru - Это СИЛА!