Skocz do zawartości
"Idzie nowe..." - o zmianach i nie tylko ×
Przeniesienie zakupów z IPS Marketplace / Moving bought items from IPS Marketplace ×

Krytyczna luka bezpieczeństwa w IPB - co robić po ataku na forum

Jurij

Przez Jurij
w Tutoriale i porady

 Udostępnij

Rekomendowane odpowiedzi

Jurij Arcymistrz

Jurij

Opublikowano
Opublikowano

Witajcie,

 

W listopadzie 2012 roku została wykryta nowa metoda włamań na fora działające na skrypcie Invision Power Board, polegająca na wykorzystaniu złośliwego kodu PHP ukrytego w zdjęciach profilowych, umożliwiające włamywaczowi wykonanie złośliwego kodu oraz wysłanie na serwer FTP zainfekowanych plików. W tym poradniku opiszę jak sprawdzić, czy forum padło ofiarą ataku oraz jak usunąć szkody i zabezpieczyć forum po ataku.

 

Oznaki włamania na forum:

 

1. Obecność na serwerze FTP pliku /uploads/profile/photo-128.jpg . Jeśli na Twoim forum znajduje się taki plik, otwórz go za pomocą notatnika (np. Notepad++) i jeśli wewnątrz tego pliku znajduje się kod php, to Twoje forum zostało zaatakowane.

 

2. Na serwerze znajdują się inne szkodliwe pliki w folderach /cache/ oraz /hooks/, mogą także znajdować się w innych folderach. Mogą mieć różne nazwy, najczęściej pojawiają się pod postacią plików: view-cache.php, zx.php, ipbcache.php,df.php,0e168b.php. Jeśli znalazłeś podejrzane pliki na serwerze - Twoje forum zostało zaatakowane.

 

3. Plik tmpgw4ia4 znajdujący się w folderze tmp, mod-tmp lub w jakimkolwiek innym folderze, w którym zapisywane są sesje na Twoim forum, również świadczy o dokonanym ataku na Twoje forum.

 

Co robić w przypadku wykrycia ataku:

 

1. Robimy kopię zapasową plików FTP i kasujemy z FTP wszystkie podejrzane pliki. Obowiązkowo usuwamy zainfekowany plik photo-128.jpg oraz sprawdzamy pozostałe zdjęcia profilowe, czy nie zawierają złośliwego kodu php.

 

2. Za pomocą phpMyAdmin logujemy się do bazy danych, wykonujemy jej kopię zapasową, odnajdujemy tabelę core_hooks_files, na jej końcu odnajdujemy odnośniki do zdjęcia profilowego photo-128.jpg oraz do pliku tmpgw4ia4. Usuwamy te linijki i zapisujemy zmiany.

 

3. Łatamy posprzątane forum łatkami bezpieczeństwa wydanymi przez Invision Power Services, a konkretnie tę datowaną na 6 listopada 2012 roku oraz drugą datowaną na 27 grudnia 2012 roku. Jeśli pobrałeś paczkę ze skryptem IPB z Client Area i zainstalowałeś forum po dacie 27 grudnia 2012 roku, to Twoje forum jest już zabezpieczone przed tą metodą ataku i nie musisz instalować tych łatek.

 

W razie dodatkowych pytań, wątpliwości czy problemów, załóż proszę temat z pytaniem we właściwym dziale http://forum.invisionize.pl

 

Źródło: ilser.by

Tłumaczenie i opracowanie: Jurij

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.