Сегодня пользователь сам получил права админа.

shumaher · 06 ноября 2009, 21:59:00

Подскажите как это возможно. Сегодня пользователь сам получил права админа. Я права изменил, он опять зарегистрировался с правами админа. Я обоих забанил и поставил одобрение пользователей. Больше он пробится не смог. Что посоветуете сделать, ведь это возможно не прекратится.

Drakonsa · 06 ноября 2009, 22:39:06

Искать бекдор

shumaher · 06 ноября 2009, 23:06:01

Цитата: Drakonsa от 06 ноября 2009, 22:39:06
Искать бекдор

Бэкдор на своих компьютерах? А логи какие можно почитать, чтобы понять вообще как и под каким пользователем он пробился.

Beer · 07 ноября 2009, 02:04:21

Логи в логах сервака читай папка типо logs - наверное посмотри в SMF его IP и ищи по логам, но там этого ты наверное вряд ли увидишь ... можно наверное будет понять - с первого раза он вошел, или методом перебора.
Могу ошибиться - поправят.

shumaher · 07 ноября 2009, 02:31:43

Цитата: Beer от 07 ноября 2009, 02:04:21
Логи в логах сервака читай папка типо logs - наверное посмотри в SMF его IP и ищи по логам, но там этого ты наверное вряд ли увидишь ... можно наверное будет понять - с первого раза он вошел, или методом перебора.
Могу ошибиться - поправят.

Вот в том-то и дело что прямо сразу после регистрации и админ. Понять ничего не могу. Ладно вовремя заметил.

Roman_Grishin · 07 ноября 2009, 10:03:12

может все тупо - у вас в правах пользователей какой-нить косяк? напирем все разрешено...
или, к примеру, этот пользователь знает ваш пароль и просто ставит себя админом...
а вообще, смф какой версии? что-то мне не верится, что все так просто может быть со взломом...

Yworld_garry · 07 ноября 2009, 10:48:30

А может дадите ссылочку на форум глянуть, а то в профиле юкоз.

shumaher · 07 ноября 2009, 10:52:43

Цитата: Yworld_garry от 07 ноября 2009, 10:48:30
А может дадите ссылочку на форум глянуть, а то в профиле юкоз.

Пока форум вообще отключили для разбора причин. Попозже дам ссылку.

shumaher · 07 ноября 2009, 11:00:25

Цитата: Roman_Grishin от 07 ноября 2009, 10:03:12
может все тупо - у вас в правах пользователей какой-нить косяк? напирем все разрешено...
или, к примеру, этот пользователь знает ваш пароль и просто ставит себя админом...
а вообще, смф какой версии? что-то мне не верится, что все так просто может быть со взломом...

Так вот какой косяк. Какой бэкдор. Версия SMF 1.1.10 Обновленный всё.

Roman_Grishin · 07 ноября 2009, 11:43:00

ну зайдите в права групп и посмотрите какие праа имеют обычные пользователи... может у них там разрешено менять свою группу. или например, в группу админов можно свободно добавляться...

yrygvay · 07 ноября 2009, 12:28:09

Вот в точности такая же ситуация была.. не было меня неделю .захожу на свой полигон а там уже около 10 новых админов.

Оказалась проблема в том, что я использую смф с джумлой.
а там стоит jfusion в нём соответственно в настройках я случано указал, что при регистрации нового пользователя в джумле давать права админа на форуме.
Получается сам себе косяк сделал!

Roman_Grishin · 07 ноября 2009, 12:53:30

вот я и говорю что не в бэедорах дело, т.к. я что-то очень смутно представляю как так можно хакнуть смф последней версии...

скорее всего в настройках на права что-то разрешено лишнего.
решение: капайтесь в настройках прав доступа

shumaher · 07 ноября 2009, 13:27:57

Цитата: Roman_Grishin от 07 ноября 2009, 12:53:30
вот я и говорю что не в бэедорах дело, т.к. я что-то очень смутно представляю как так можно хакнуть смф последней версии...

скорее всего в настройках на права что-то разрешено лишнего.
решение: капайтесь в настройках прав доступа

Вообщем восстановили вроде. http://trezvenie.org/forum/index.php Я сам там немного после этого накосячил. В правах всё нормально, сайт с которым форум не на джумле и туда вообще никто не лез, разве что этот человек. И в правах на форуме никто ничего не менял. Сейчас будем смотреть.

Roman_Grishin · 07 ноября 2009, 13:42:28

При регистрации на вашем форуме появляются ошибки:

Код Выделить

Warning: include() [function.include]: Unable to access ../errors/lopg.php in /mounted-storage/home118b/sub001/sc43927-CZOD/trezvenie.org/forum/index.php on line 25

Warning: include(../errors/lopg.php) [function.include]: failed to open stream: No such file or directory in /mounted-storage/home118b/sub001/sc43927-CZOD/trezvenie.org/forum/index.php on line 25

Warning: include() [function.include]: Unable to access ../errors/lopg.php in /mounted-storage/home118b/sub001/sc43927-CZOD/trezvenie.org/forum/index.php on line 25

Warning: include(../errors/lopg.php) [function.include]: failed to open stream: No such file or directory in /mounted-storage/home118b/sub001/sc43927-CZOD/trezvenie.org/forum/index.php on line 25

Warning: include() [function.include]: Failed opening '../errors/lopg.php' for inclusion (include_path='.:/usr/share/php5/') in /mounted-storage/home118b/sub001/sc43927-CZOD/trezvenie.org/forum/index.php on line 25

Roman_Grishin · 07 ноября 2009, 13:44:12

но зарегистрироватья у меня получилось...

shumaher · 07 ноября 2009, 13:50:46

Цитата: Roman_Grishin от 07 ноября 2009, 13:44:12
но зарегистрироватья у меня получилось...

Я подтвердил твою учетку.

shumaher · 07 ноября 2009, 16:40:28

Вообщем сижу ломаю голову. Все логи просмотрел, ничего не понял.

shumaher · 08 ноября 2009, 13:11:32

Злоумышленник запустил какой-то скрипт на форуме SMF, с помощью которого забил базу чем-то. В следствие этого отрубило весь сайт. Базу почистили, сайт заработал. Ищем дыру в нем. Если кто может что посоветовать, буду очень рад.

BIOHAZARD · 08 ноября 2009, 14:55:18

проверяйте дату создания/модифицирования всех файлов на сайте, может чего и найдёте
меняйте все пароли

shumaher · 08 ноября 2009, 15:17:11

Цитата: BIOHAZARD от 08 ноября 2009, 14:55:18
проверяйте дату создания/модифицирования всех файлов на сайте, может чего и найдёте
меняйте все пароли

Да по ходу я нашел злоумышленника http://www.simplemachines.ru/index.php?topic=5567.msg57798#msg57798 ))))))))

Drakonsa · 08 ноября 2009, 15:37:14

Цитата: Roman_Grishin от 07 ноября 2009, 13:42:28
Warning: include(../errors/lopg.php) [function.include]: failed to open stream: No such file or directory in /mounted-storage/home118b/sub001/sc43927-CZOD/trezvenie.org/__forum/index.php on line 25

Интересно, а что это за файлик такой? ^^

shumaher · 08 ноября 2009, 16:59:15

Цитата: Drakonsa от 08 ноября 2009, 15:37:14
Интересно, а что это за файлик такой? ^^

Обыкновенный адрес index.php самого форума. Не пойму чем он может быть интересен.

Drakonsa · 08 ноября 2009, 17:26:11

Чет в дистрибутиве я не нахожу lopg.php

shumaher · 08 ноября 2009, 18:20:03

Цитата: Drakonsa от 08 ноября 2009, 17:26:11
Чет в дистрибутиве я не нахожу lopg.php

Хотите сказать кто-то добавлял эту команду в index.php и записывал этот файл на сервер? А потом умудрялся всё стереть? Час от часу не легче. Значит и к фтп доступ имеет.

Drakonsa · 08 ноября 2009, 18:40:23

Цитата: shumaher от 08 ноября 2009, 18:20:03
Хотите сказать кто-то добавлял эту команду в index.php и записывал этот файл на сервер? А потом умудрялся всё стереть? Час от часу не легче. Значит и к фтп доступ имеет.

Именно.
Открывайте index.php и исчите левый код.

shumaher · 08 ноября 2009, 18:44:06

Цитата: Drakonsa от 08 ноября 2009, 18:40:23
Именно.
Открывайте index.php и исчите левый код.

Попробую. Я скопировал себе старый. На сайте уже заменил на стандартный.

shumaher · 09 ноября 2009, 02:48:58

Ну что же ситуация продолжается. Сегодня ночью поймал очередного деятеля и сразу в бан. То ли кто-то чужими пользуется аккаунтами, выставляя себе права админа. Потому что я смотрел по емэйлу, люди совершено разные и к программированию ровно никакого отношения не имеющие. Что делать, ума не приложу. Человек находился на форуме 11 минут и успел стать админом. Голова кругом идёт.

Макар · 09 ноября 2009, 07:33:27

Из предидущих ваших сообщений следует, что у вас стоит жумла в качестве морды - мост - форум. Уберите на время мост, полностью перезалейте файлы форума, и просмотрите внимательно списки пользователей и их права, а так же настройки темы оформления. Есть такое сочетание галочек , когда у пользователя например статус модератора, а права как у админа но нигде это не отображается. А вот боретесь вы с призраками, в смысле , кто то остается на форуме с правами, делает админов , тех которых вы видете и которых удаляете, а главный виновник остается в тени.

shumaher · 09 ноября 2009, 09:28:33

Цитата: Makar от 09 ноября 2009, 07:33:27
Из предидущих ваших сообщений следует, что у вас стоит жумла в качестве морды - мост - форум. Уберите на время мост, полностью перезалейте файлы форума, и просмотрите внимательно списки пользователей и их права, а так же настройки темы оформления. Есть такое сочетание галочек , когда у пользователя например статус модератора, а права как у админа но нигде это не отображается. А вот боретесь вы с призраками, в смысле , кто то остается на форуме с правами, делает админов , тех которых вы видете и которых удаляете, а главный виновник остается в тени.

Морда не джумла. Моста нет. Насчет призраков начинаю тоже так думать. Что кто-то это делает, сам оставаясь в тени.

Макар · 09 ноября 2009, 18:00:11

Ну звыняйтэ сделал неправильный вывод или предположение

Однако присмотритесь к тем кто заходит на форум, и находится одновременно с вашими лже админами. Сколько читаю этот форум, попадавшиеся случаи , как у вас, прекращались после полной переустановки файлов форума, это если угроза и вмешательство шло из вне. Замена файлов не поможет если угроза идет из нутри.

Drakonsa · 09 ноября 2009, 18:45:20

Цитата: shumaher от 09 ноября 2009, 09:28:33
Морда не джумла. Моста нет. Насчет призраков начинаю тоже так думать. Что кто-то это делает, сам оставаясь в тени.

Гадать и попадать пальцами в небо, трудно...