Skocz do zawartości
"Idzie nowe..." - o zmianach i nie tylko ×
Przeniesienie zakupów z IPS Marketplace / Moving bought items from IPS Marketplace ×

Włam przez SB?


Przejdź do rozwiązania Rozwiązane przez Gość lecik,

Rekomendowane odpowiedzi

Opublikowano

Witam, ostatnio na forum ktoś mi się krótko mówiąc włamał, nie wiem czy to było przez shoutbox czy jakąś inną metodą, ale coś czytałem że wjechanie przez SB może być możliwe, jednak zwracam się do was ponieważ wy zapewne wiecie więcej w tym zakresie niż ja. Jak będzie trzeba to mogę podesłać linki które uważam za podejrzane. 

 

W logach widzę że ktoś próbował odgadywać hasła przez ponad 4 godziny, korzystał też z emaili administratorów które nie wiem jak wyciągnął, dodakowo jakimś cudem udało mu się znaleźć klucz sesji i zalogować, nie mam pojęcia jak tego dokonał. Następnie wyłączył mi forum, zmienił szablon aby przy errorze pokazywał się jego komunikat.

Problem też w tym że wszystkich logów z serwera nie mam bo padło mi php i musiałem robić formata, dodatkowo jego IP było przysłonięte przez cloudflare, albo sam po prostu korzystał z CF, tego nie wiem.

I teraz pytanie, czy mógł też zgrać bazę? Bo w logach IPB nic nie było widać, nie mam też aktywnej licencji więc muszę zdobyć oryginalne pliki od kogoś albo przedłużyć licencje aby wszystko postawić na czysto. I ewentualnie jak się przed czymś takim uchronić w przyszłości? Z chęcią bym przeszedł na IPB 4 tyle że właśnie bym musiał odnawiać licencje i też nie ma tam shoutboxa, który bardzo by mi się przydał.

Ostatnio masa botów próbuje też dostać się na inne częsci mojej strony ale poradziłem sobie fail2ban. 

 

Ostatni error jaki pojawił się w plikusql_error_lastest.cgi wyglądał następująco

Error: 1203 - User forum already has more than 'max_user_connections' active connections

 

Pojawił się on kilkukrotnie, ale dam jeszcze kilka kolejnych linijek, które może komuś coś powiedzą (oczywiście wszystkie hashe i daty pozmieniałem) http://pastebin.com/001fcNSU

Większość odwołań jest do /interface/ipsconnect/ipsconnect.php, ale widze także próby dostepu do tabelek które są związane z innym skryptem, co w takiej sytuacji zrobić, czy dana osoba mogła sobie zgrac baze i co mogło być winne temu że delikwent wjechał na moje forum
Pozdrawiam i liczę na waszą pomoc

  • Rozwiązanie
Opublikowano (edytowane)

A pierdoły, nic ci się nie stało to zabezpiecz się przy okazji teraz

 

 

  • ACP -> System -> Security Center ->  "conf_global.php" niezapisywalne
  • ACP -> System -> System Settings -> System -> Security and Privacy -> Remove the ACP link from the board na tka
  • ACP -> System -> Security Center -> Zmień nazwę folderu admin
  • ACP > System -> Security Center -> IP.Board zabezpiecz plik .httacces

 

ps. daj forum link ;>

Edytowane przez lecik
Opublikowano
A pierdoły, nic ci się nie stało to zabezpiecz się przy okazji teraz

 

No tak nic się nie stało.

Zgrał sobie jego bazę,dane użytkowników,może były wrażliwe,ale co tam.

Lista emaili i poleci może spam,może nie.

Zaleć wszystkim zmianę hasła na forum, i w usługach gdzie mieli takie same,by potem nie było większych problemów np: z włamem na konto bankowe.

A znam typa który takie rzeczy na co dzień robi.

"Ale ja mam oryginalny klucz patrz!"

http://scr.hu/1p4s/in3pa

 

Opublikowano

Właśnie widzę że zalogował się na jedno konto admina, ale nie miał on możliwości zrobienia kopii z poziomu panelu, tyle że miał dostęp do opcji umożliwiających odwoływanie się do bazy, także nie wiem na ile taki dostęp pozwala, teraz testując samemu się zalogowac nie moge, a jedynie bawiłem się z zabezpieczeniami i skanowałem pliki wbudowanym narzedziem do IPB, następnie udałem się do edytora szablonów z błędami, pojawił mi się biały ekran i to by było na tyle zabawy. Także nie wiem czy bezpieczniej to wszystko na nowo stawiać czy co z tym zrobić. 

Opublikowano

Zmień hasła wszystkim administratorom (a najlepiej zostaw póki co tylko sobie dostęp do ACP), załóż mocne hasło do ACP poprzez plik .htaccess, zmień hasła do bazy sql, ftp i hostingu (jeśli podejrzewasz że mogło zostać skradzione). Potem zgraj całe FTP do siebie i sprawdź czy nie ma złośliwych plików lub złośliwego kodu - sprawdzisz to programem WinMerge (porównując pliki z oryginalnymi plikami Twojej wersji forum z czystej paczki).

  • Lubię to 1
Opublikowano (edytowane)

to nie jest zwiazane z shoutboxem tylko support ipb, wiec po co to przenosisz?

 

 

przeczytales tytul tematu i swiecisz, w ogole zly jest tytul tematu xD

 

 

sugerowanie ze gdzies przeczytal i strzelanie skad został wgrany zlosliwy program, to tłumaczenie błędne, widać jaki z ciebie super moderator, że nawet nie sprawdzisz czego dotyczy sprawa.

Edytowane przez Macsch15
Od takich rzeczy jest raport. Stosuj go następnym razem.
Opublikowano (edytowane)

Pozmieniałem co się da, hasła zresetowałem etc, dzięki wielkie za wskazówki, jednak jeszcze mam pytanie dotyczące logowania. Jest coś takiego jak klucz logowania i pytanie czy da się go jakoś zmienić, czy tez może na nic nie wpływa to że ktoś ten klucz może znać, ewentualnie co z użytkownikami API, czy nie wpływa to w żaden sposób że ktoś może probowac się zalogować używając tych kluczy.

 

Edit: Mam tez masę starych wtyczek, ktoś wie jak moge się ich pozbyć w prosty sposób? Ponieważ uwuwałem jakąś tomi forum wywaliło kiedyś i nie chciało działać, w bazie tez masa tabalek została. 

 

Edit2: Ktoś wie może też skonfigurować fail2ban aby współgrało z ipb?

Edytowane przez Kazio1
Opublikowano

Jeden temat = jedno pytanie.

 

 

Jest coś takiego jak klucz logowania i pytanie czy da się go jakoś zmienić, czy tez może na nic nie wpływa to że ktoś ten klucz może znać,

 

Możesz wyczyścić w PMA tabelę z sesjami, wszystkich wyloguje i po ponownym zalogowaniu będą nowe sesje :) A adminom przy zmianie hasła pozmieniaj też klucze i spokój.

  • Lubię to 1
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.