Witam, ostatnio na forum ktoś mi się krótko mówiąc włamał, nie wiem czy to było przez shoutbox czy jakąś inną metodą, ale coś czytałem że wjechanie przez SB może być możliwe, jednak zwracam się do was ponieważ wy zapewne wiecie więcej w tym zakresie niż ja. Jak będzie trzeba to mogę podesłać linki które uważam za podejrzane.
W logach widzę że ktoś próbował odgadywać hasła przez ponad 4 godziny, korzystał też z emaili administratorów które nie wiem jak wyciągnął, dodakowo jakimś cudem udało mu się znaleźć klucz sesji i zalogować, nie mam pojęcia jak tego dokonał. Następnie wyłączył mi forum, zmienił szablon aby przy errorze pokazywał się jego komunikat.
Problem też w tym że wszystkich logów z serwera nie mam bo padło mi php i musiałem robić formata, dodatkowo jego IP było przysłonięte przez cloudflare, albo sam po prostu korzystał z CF, tego nie wiem.
I teraz pytanie, czy mógł też zgrać bazę? Bo w logach IPB nic nie było widać, nie mam też aktywnej licencji więc muszę zdobyć oryginalne pliki od kogoś albo przedłużyć licencje aby wszystko postawić na czysto. I ewentualnie jak się przed czymś takim uchronić w przyszłości? Z chęcią bym przeszedł na IPB 4 tyle że właśnie bym musiał odnawiać licencje i też nie ma tam shoutboxa, który bardzo by mi się przydał.
Ostatnio masa botów próbuje też dostać się na inne częsci mojej strony ale poradziłem sobie fail2ban.
Ostatni error jaki pojawił się w plikusql_error_lastest.cgi wyglądał następująco
Error: 1203 - User forum already has more than 'max_user_connections' active connections
Pojawił się on kilkukrotnie, ale dam jeszcze kilka kolejnych linijek, które może komuś coś powiedzą (oczywiście wszystkie hashe i daty pozmieniałem) http://pastebin.com/001fcNSU
Większość odwołań jest do /interface/ipsconnect/ipsconnect.php, ale widze także próby dostepu do tabelek które są związane z innym skryptem, co w takiej sytuacji zrobić, czy dana osoba mogła sobie zgrac baze i co mogło być winne temu że delikwent wjechał na moje forum Pozdrawiam i liczę na waszą pomoc
