Удаление папки /install/ - обязательно!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
TAIFUN
Человек
vBSSecurity
 
TAIFUN's Avatar
Default [Админам] Атака хакеров Team Animus и ликвидация последствий | Elimination of hacker attack ... 24

Сегодня ночью около 03:00 по Киевскому времени, произошла массовая атака хакерами Team Animus на форумы, которые использовали хак Cyb - Advanced Forum Rules (версии 4.0.4 и 5.0.4 и ниже).

Один из кусков кода из-за которого хакеры имели возможность выполнить SQL инъекцию.
Code:
$vbulletin->db->query_write("UPDATE " . TABLE_PREFIX . "forum SET cyb_frules = '" . $vbulletin->GPC['rules_id'] . "' WHERE forumid IN ($cfrules_forums) ");

Анамнез и симптоматика:
(может быть так, что какой-то из пунктов вы не найдёте на своём форуме. Хакеры действовали по-разному. На одном форуме вставляли видео-заглушку, на другом не ставили её)
  1. Вы зашли на форум и увидели такое видео (см. скриншот выше)
  2. Вы зашли на форум, а он отключен и вы не можете попасть в админку (вы уже не админ)
  3. На форуме пропали все админы и появился новый с никнеймом Team Animus
  4. На FTP появились новые файлы, которые вы не заливали
  5. У всех пользователей красуется в статусе "Hacked by Team Animus"

Как ликвидировать последствия взлома
:
1. Для начала нам нужно сделать себя администратором форума. Есть несколько способов, предлагаю один из них (желательно всё делать быстро, не отвлекаясь):
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) ищем свой аккаунт и меняем ему группу пользователей на 6 (администраторы)


2. Теперь удаляем хак Cyb - Advanced Forum Rules

3. Затем нам нужно удалить хакера
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) ищем аккаунт хакера (у него стоит группа с ID 6 - администраторы)
г) удаляем его аккаунт

4. На всякий случай перезаливаем все файлы форума (кроме графики, фавикона).
На некоторых форумах эти хакеры редактировали индексные файлы.

5. Теперь нам нужно поменять статус всем пользователям, ибо он таков:


Хочу сразу предупредить, что просто отключив у группы пользователей возможность установки своего статуса вы никак не удалите статусы (см. скриншот).
Потому как после взлома у каждого пользователя установлена опция "Особый статус: Да, установки администратора (HTML разрешён)"

Делаем следующий SQL запрос:
Code:
UPDATE user SET prefix_customtitle = 0 WHERE usergroupid = 'X';
где prefix_ - это префикс таблиц базы форума, если вы его используете. Если не используете, то запрос будет такой:
Code:
UPDATE user SET customtitle = 0 WHERE usergroupid = 'X';
где X - это ID группы пользователей.

Сделать столько запросов сколько групп пользователей на вашем форуме. То есть для каждой группы 1 запрос.

6. Теперь обновите счётчики.
Идём в админку > Обслуживание > Обновление счётчиков > Обновить статусы пользователей

7. Хакеры могли залить шелл на FTP. Чаще всего имя файла vba.php и находится он в папке /includes/ или /includes/xml/
Но я настоятельно рекомендую "прошерстить" весь FTP на наличие новых файлов, потому как файл могли залить с другим названием и залить его в другую папку.

8. Измените автоинкремент. ID аккаунта хакера скорей всего был на вашем форуме 13371337, в связи с этим все последующие юзеры будут с ID 13371338, 13371339 и так далее.
Исправляем эту ситуацию таким образом:
а) идём в phpMyAdmin или подключаемся к мускулу через SSH
б) открываем таблицу user
в) нажимаем "Операции"
г) идём в админку форума > пользователи > поиск > последние регистрации > смотрим какой ID у последнего зарегистрированного пользователя (например 657), затем возвращаемся в PMA к таблице: user > операции
и заменяем 13371338 на число = ID последнего зарегистрированного юзера + 1
То есть если ID последнего юзера равен 657, то в поле ставим 658

PMA


SSH


Если после всех манипуляций на вашем форуме уже зарегистрированы новые пользователи, тогда меняем им ID отталкиваясь от последнего правильного ID и только потом меняем автоинкремент в настройке таблицы.
Видео смотреть тем, кто внимательно читал это сообщение http://www.youtube.com/watch?v=ZsXvdDIn-CQ
После изменения ID пользователям, которые были зарегистрированы после аккаунта хакера нужно выполнить следующее:

Админка > Обслуживание > Обновление счётчиков > Восстановить повреждённые профили пользователей

9. Перезалейте все файлы хаков, которые установлены на форуме и перезапишите xml файлы продуктов
10. Пересмотрите список модулей и продуктов. Удалите те, которые вы не ставили и которыми вы не пользуетесь
11. Измените пароли к базам данных, которые вы используете на своём сервере или хостинг аккаунте

=======================
Если кто-то ничего не понял или не может выполнить зачистку - мои контакты в подписи.
=======================
For English users

1. Go in PMA (phpMyAdmin) or SSH connecting
2. Open table user
3. Search your account in forum database and change usergroupid for your account (set ID 6)

4. Go in Admin CP and delete product Cyb - Advanced Forum Rules
5. Delete administrator Team Animus
6. Reupload forum files
7. Run SQL query
Code:
UPDATE user SET prefix_customtitle = 0 WHERE usergroupid = 'X';
Because all users have option "Can Use Custom Title" - Hacked by Team Animus

8. Update the counters - Update User Titles and Ranks
9. Search vba.php or another new files that you have not added to the ftp
/includes/xml/... or another directory
10. Changed autoincrement value in USER table to {LatestUserID} +
more ... http://www.vbulletin.org/forum/showp...81&postcount=1
===================
© TAIFUN
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
AntiPiton
Эксперт
 
AntiPiton's Avatar
Default 0

Что-то я даже сайта не могу найти этих хакеров ... я им пришлю пару тысяч писем в качестве аванса, но ДДОСА то никто не отменял.
 
Old  
M.C.
Продвинутый
Default 0

сам продукт обновили: http://www.vbulletin.org/forum/showthread.php?t=201312 нужен перевод! ;)
 
Old  
kerk
k0t
 
kerk's Avatar
Default 4

ежики кололись и плакали, но продолжали жрать кактус
печально...
 
Old  
syn
Эксперт
vBSNews
 
syn's Avatar
Default 0

Quote:
Originally Posted by kerk View Post
ежики кололись и плакали, но продолжали жрать кактус
фточку
 
Old  
KodeR
Простоузер
Default 0

Вот нашёл один форум хекнутый http://www.ellinforest.com/forum/
 
Old  
Gulia
Специалист
 
Gulia's Avatar
Default 0

Quote:
Originally Posted by KodeR View Post
Вот нашёл один форум хекнутый http://www.ellinforest.com/forum/
Оффтоп
 
Old  
Mile
Знаток
 
Mile's Avatar
Default 0

А как непосредственно ввели эту инъекцию?
 
Old  
kerk
k0t
 
kerk's Avatar
Default 0

подкожно
или внутремышечно
 
Old  
hoo
Мастер
 
hoo's Avatar
Default 0

M.C., с полпятого утра уже с переводом http://vbsupport.org/forum/showthrea...978#post348978
 
 

Tags
team animus, взлом, защита

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 04:27 PM.


Powered by vBulletin® Version Alan Edition
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.