Добавили текст о взломе в Index.php

Acid.Name · 16 декабря 2010, 07:50:52

Форум: Powered by SMF 2.0 RC1-1 | SMF © 2006–2009, Simple Machines LLC

Тема: [PROF THEME]

Адрес форума forum.serovweb.ru

Список модов выложить не могу... будут чуть позже.

Добавили код в index.php

Код Выделить


<?php

/*хана рулю, А админ МОЛОДЕЦ*/

echo "Hacked by \"I am Dooooooooode\"";

echo "<!--бэкап страницы - http://zalil.ru/6666667-->"

?>

В коде дали ссылку на бекап файла.

Пароль Админа тоже был другой.

Но как? Я отключил сторонние аватары.

Шелов вроде не замечено.

Подскажите как такое могло быть возможным ? Интересны мнения.

Сейчас придется в срочном порядке обновляться. Менять пароль от базы и FTP.

Спасибо.

Mavn · 16 декабря 2010, 09:39:09

1. версия smf 2.0 rc1 давно устарела вышло достаточно много обновлений в частности и по безопасности
2. Если хотите знать как взломали вас для начала
а.) проверяете комп на вирусняк есть куча различных утилит (avz, cureit, avptool и пр.)
б.) если комп в порядке смотрите логи апача

karavan · 16 декабря 2010, 13:24:23

И что еще пострадало? Держите в курсе, сам переживаю... у мене рс2, тоже не самый новый... но терять тему и моды я не готов пока...

Drakonsa · 16 декабря 2010, 14:47:57

Цитата: karavan от 16 декабря 2010, 13:24:23
И что еще пострадало? Держите в курсе, сам переживаю... у мене рс2, тоже не самый новый... но терять тему и моды я не готов пока...

Потерять моды или потерять все... М...

karavan · 16 декабря 2010, 15:00:07

Цитата: Drakonsa от 16 декабря 2010, 14:47:57Потерять моды или потерять все... М...

Не сыпьте соль на рану... наверное буду обновляться...

Serifa · 16 декабря 2010, 16:47:34

Типа, рс4 взломать вообще ни разу не смогут?)) Там уязвимостей нет в принципе? Если захотят - что угодно поломают. Ищите, кому это было выгодно. Ну и файрвол с антивиром чтобы были в порядке.

Mavn · 16 декабря 2010, 17:01:09

Цитата: Serifa от 16 декабря 2010, 16:47:34
Типа, рс4 взломать вообще ни разу не смогут?)) Там уязвимостей нет в принципе? Если захотят - что угодно поломают. Ищите, кому это было выгодно. Ну и файрвол с антивиром чтобы были в порядке.

поломать можно все что угодно даже *** умеючи
разговор идет о известных багах, ибо в данном случае поломать может и "ребенок" ибо известно как действовать. Если бы в РЦ4 был известны баг то наш форум взломали бы в первую очередь.
Выводы думаю сами сделаете!

Acid.Name · 19 декабря 2010, 22:31:11

Итак причина найдена.

У меня хостинг на Бест-хостер ру

Хостинг дешёвый и достаточно гибкий.

смысл в том что я создав поддомен forum.site.ru выложил туда файлы форума
в файловой системе выглядит так
sub_domain/forum

и создал еще несколько поддоменов... кпримеру res.site.ru
в файловой системе выглядит так
sub_domain/res

Вот один из владельцев умудрился загрузить шелл выше своего аккакунта т.е. если авторизоваться по FTP пользователем res@site.ru то вы будете видеть содержимое папки sub_domain/res т.к. она назначена при создании аккаунта.

Если загрузить шел в папку sub_domain/res (sub_domain/res/shell.php) то можно увидеть какие еще папки есть в sub_domain/... тем самым получить доступ к фалу с настройками форума.

Мне не повезло, у меня был доступен на запись index.php он его и перезаписал. Вставив надпись.

Пароль от админа, не менял, это уже я в панике не тот пароль ввел, и подумал что мне закрыли доступ.

Вывод: smf форум очень надежный при правильной настройке.

Спасибо всем. Если есть вопросы пишите...

karavan · 19 декабря 2010, 23:27:51

_acid_ ясно, что ничего не ясно... Ну как я понял, взлома как такового не было. Посему плюс вам за информацию, и движку форума.

Acid.Name · 20 декабря 2010, 09:56:11

Цитата: karavan от 19 декабря 2010, 23:27:51
_acid_ ясно, что ничего не ясно... Ну как я понял, взлома как такового не было. Посему плюс вам за информацию, и движку форума.

Спасибо за плюсик.

Немного исправил предыдущее сообщение.