Włam przez SB?

[Kazio1]

Witam, ostatnio na forum ktoś mi się krótko mówiąc włamał, nie wiem czy to było przez shoutbox czy jakąś inną metodą, ale coś czytałem że wjechanie przez SB może być możliwe, jednak zwracam się do was ponieważ wy zapewne wiecie więcej w tym zakresie niż ja. Jak będzie trzeba to mogę podesłać linki które uważam za podejrzane. 

 

W logach widzę że ktoś próbował odgadywać hasła przez ponad 4 godziny, korzystał też z emaili administratorów które nie wiem jak wyciągnął, dodakowo jakimś cudem udało mu się znaleźć klucz sesji i zalogować, nie mam pojęcia jak tego dokonał. Następnie wyłączył mi forum, zmienił szablon aby przy errorze pokazywał się jego komunikat.

Problem też w tym że wszystkich logów z serwera nie mam bo padło mi php i musiałem robić formata, dodatkowo jego IP było przysłonięte przez cloudflare, albo sam po prostu korzystał z CF, tego nie wiem.

I teraz pytanie, czy mógł też zgrać bazę? Bo w logach IPB nic nie było widać, nie mam też aktywnej licencji więc muszę zdobyć oryginalne pliki od kogoś albo przedłużyć licencje aby wszystko postawić na czysto. I ewentualnie jak się przed czymś takim uchronić w przyszłości? Z chęcią bym przeszedł na IPB 4 tyle że właśnie bym musiał odnawiać licencje i też nie ma tam shoutboxa, który bardzo by mi się przydał.

Ostatnio masa botów próbuje też dostać się na inne częsci mojej strony ale poradziłem sobie fail2ban. 

 

Ostatni error jaki pojawił się w plikusql_error_lastest.cgi wyglądał następująco

Error: 1203 - User forum already has more than 'max_user_connections' active connections

 

Pojawił się on kilkukrotnie, ale dam jeszcze kilka kolejnych linijek, które może komuś coś powiedzą (oczywiście wszystkie hashe i daty pozmieniałem) http://pastebin.com/001fcNSU

Większość odwołań jest do /interface/ipsconnect/ipsconnect.php, ale widze także próby dostepu do tabelek które są związane z innym skryptem, co w takiej sytuacji zrobić, czy dana osoba mogła sobie zgrac baze i co mogło być winne temu że delikwent wjechał na moje forum
Pozdrawiam i liczę na waszą pomoc

[Gość lecik]

A pierdoły, nic ci się nie stało to zabezpiecz się przy okazji teraz

 

 

• ACP -> System -> Security Center ->  "conf_global.php" niezapisywalne
• ACP -> System -> System Settings -> System -> Security and Privacy -> Remove the ACP link from the board na tka
• ACP -> System -> Security Center -> Zmień nazwę folderu admin
• ACP > System -> Security Center -> IP.Board zabezpiecz plik .httacces

 

ps. daj forum link ;>

Edytowane 25 Czerwca 2015 przez lecik

[DawPi]

Skoro wersja 3.4.8, a więc najnowsza to przekaż wszystkie informacje do IPSu. Jeśli uznają, że to nowa dziura w skrypcie to powinni się tym zająć.

[Prizmo]

A pierdoły, nic ci się nie stało to zabezpiecz się przy okazji teraz

 

No tak nic się nie stało.

Zgrał sobie jego bazę,dane użytkowników,może były wrażliwe,ale co tam.

Lista emaili i poleci może spam,może nie.

Zaleć wszystkim zmianę hasła na forum, i w usługach gdzie mieli takie same,by potem nie było większych problemów np: z włamem na konto bankowe.

A znam typa który takie rzeczy na co dzień robi.

[Kazio1]

Właśnie widzę że zalogował się na jedno konto admina, ale nie miał on możliwości zrobienia kopii z poziomu panelu, tyle że miał dostęp do opcji umożliwiających odwoływanie się do bazy, także nie wiem na ile taki dostęp pozwala, teraz testując samemu się zalogowac nie moge, a jedynie bawiłem się z zabezpieczeniami i skanowałem pliki wbudowanym narzedziem do IPB, następnie udałem się do edytora szablonów z błędami, pojawił mi się biały ekran i to by było na tyle zabawy. Także nie wiem czy bezpieczniej to wszystko na nowo stawiać czy co z tym zrobić. 

[Jurij]

Zmień hasła wszystkim administratorom (a najlepiej zostaw póki co tylko sobie dostęp do ACP), załóż mocne hasło do ACP poprzez plik .htaccess, zmień hasła do bazy sql, ftp i hostingu (jeśli podejrzewasz że mogło zostać skradzione). Potem zgraj całe FTP do siebie i sprawdź czy nie ma złośliwych plików lub złośliwego kodu - sprawdzisz to programem WinMerge (porównując pliki z oryginalnymi plikami Twojej wersji forum z czystej paczki).

[Gość lecik]

to nie jest zwiazane z shoutboxem tylko support ipb, wiec po co to przenosisz?

 

 

przeczytales tytul tematu i swiecisz, w ogole zly jest tytul tematu xD

 

 

sugerowanie ze gdzies przeczytal i strzelanie skad został wgrany zlosliwy program, to tłumaczenie błędne, widać jaki z ciebie super moderator, że nawet nie sprawdzisz czego dotyczy sprawa.

Edytowane 26 Czerwca 2015 przez Macsch15
Od takich rzeczy jest raport. Stosuj go następnym razem.

[Kazio1]

Pozmieniałem co się da, hasła zresetowałem etc, dzięki wielkie za wskazówki, jednak jeszcze mam pytanie dotyczące logowania. Jest coś takiego jak klucz logowania i pytanie czy da się go jakoś zmienić, czy tez może na nic nie wpływa to że ktoś ten klucz może znać, ewentualnie co z użytkownikami API, czy nie wpływa to w żaden sposób że ktoś może probowac się zalogować używając tych kluczy.

 

Edit: Mam tez masę starych wtyczek, ktoś wie jak moge się ich pozbyć w prosty sposób? Ponieważ uwuwałem jakąś tomi forum wywaliło kiedyś i nie chciało działać, w bazie tez masa tabalek została. 

 

Edit2: Ktoś wie może też skonfigurować fail2ban aby współgrało z ipb?

Edytowane 30 Czerwca 2015 przez Kazio1

[Jurij]

Jeden temat = jedno pytanie.

 

 

Jest coś takiego jak klucz logowania i pytanie czy da się go jakoś zmienić, czy tez może na nic nie wpływa to że ktoś ten klucz może znać,

 

Możesz wyczyścić w PMA tabelę z sesjami, wszystkich wyloguje i po ponownym zalogowaniu będą nowe sesje A adminom przy zmianie hasła pozmieniaj też klucze i spokój.