Владельцам 3.8.6: не поставили патч - потеряли форум!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
OlgaB
Мастер
 
OlgaB's Avatar
Default [Статья] «Вирус на форуме, взломали форум». Что делать? 25

«Чувство паранойи должно преследовать кодера постоянно» (с)

Много бесполезных букв для тех, кто в вобле (и не только в ней) как «рыба в воде» и немного полезных букв для тех, кто в вобле «как рыба об лёд».

Достаточно много поднакопилось тем на форуме с характерными заголовками – взломали сайт, взломали форум, на форуме вирус etc… И многих, естественно, интересует вопрос «Что теперь делать?».

А ответ прост – устранять причину и следствие…

Начнём, пожалуй, с устранения следствия…

Частые следствия: 1. Сайт «взломан» (теперь на сайте вместо обычной странички - картинка, надпись etc…)
2. Этот сайт может угрожать безопасности вашего компьютера.

В первом случае, пожалуй, надо начать искать шеллы… Конечно, частенько «взломщики» убирают за собой следы…
Для поиска распространённых шеллов вам поможет скрипт айболит - ТЕМА ЗДЕСЬ
Иногда файл с шеллом может иметь дату последнего изменения отличную от других файлов (но в последнее время - крайне редко).
Если с помощью айболита нашли шелл – поздравляю, вам в какой-то мере даже повезло. Удаляем шелл (бывает, конечно, что шелл «замаскирован» под файл воблы – какой-то файл дистрибутива или от хака… Так что, в таких случаях, заменяем файл на «чистый» - из бэкапа или дистрибутива…)
Не забываем менять пароли от фтп etc…
Обязательно посмотрите, не появились ли у вас новые админы на форуме)

Второй случай (со стороны устранения последствий) считаю чуточку «сложнее»…
Конечно, можно также начать искать шеллы, но лучше для начала узнать - в связи с чем такое «клеймо». Яндекс обычно показывает какой вредоносный код содержит форум. По названию уже можно понять - в каких файлах нужно искать «вредоносный код» (примеры вредоносных кодов вы можете посмотреть ЗДЕСЬ )

Из личного опыта - чаще всего «вредоносный код» содержится в файлах с расширениями .js, .htm, .html… Реже попадается в .php

Недаром все здесь пишут «делайте бэкап».

Правильно, легче всего устранить второе «следствие» с помощью «бэкапа»… Перезалить с заменой «заражённые» файлы...

Если бэкап файлов отсутствует - заменяем файлами из дистрибутива… Конечно, если вы не редактировали файлы…)
Если файлы редактировались, то надо будет внести снова соответствующие правки… Или же воспользоваться программой, чтобы почистить файлы от вредоносного кода. Например, можно использовать FAR (Find and Replace - скрипт для поиска и замены текста в файлах сайта.)

Следует отметить, что «вредоносные коды» могут содержаться и в модулях/продуктах/шаблонах стиля.*
В этом случае вам не поможет «ай-болит».

Теперь, пожалуй, перейдём к причинам…

Причин мБ ну очень много… Для поиска причин в идеале нужны бы логи… Там смотрим подозрительные запросы…

Частыми причинами вышеуказанных следствий являются:
1. Уязвимости в хаках.
Да, да. Почаще заглядывайте в раздел «Безопасность» - в разделе кучка тем с уязвимыми хаками.
Сравнивайте со своим списком установленных хаков…
*Обращайте внимание на модули продуктов… Ведь когда у «взломщиков» есть доступ к админке – они могут понавешать левых модулей, которые, например, записывают пароли юзеров в txt/html файл… (Особенно обратите внимание на модули, который висят на global_start, login_process...)
Не стоит также забывать о том, что кодеры обновляют свои продукты… И обновляют они нЕ только добавляя функционал… Частенько они убирают возможные «уязвимости»… Следите за обновлениями!
Полезность Updated products list in admincp home

Ну, конечно, если вы сами себе кодер – не исключайте собственной невнимательности…
И вообще… Не надо хаками превращать форум в новогоднюю ёлку) Прежде чем ставить какой-то хак – убедитесь в том, что он вам действительно нужен.
Если вы нашли «уязвимый» хак – либо фиксим «уязвимость», либо удаляем продукт. Не надо оставлять всё как есть и надеяться на то, что больше никто не будет «ломать». И когда хаки удаляете – удаляйте их файлы на сервере…

Небольшой списочек хаков с уязвимостями: Уязвимость в tapatalk / Ещё одна
VBSEO
Уязвимость vBulletin vBShout 6.0.8
ChangUonDyU Advanced Statistics
Уязвимость в хаке Yet Another Awards System
Уязвимость в Dragonbyte Gallery - DBGallery 1.2.3 и 1.2.4
Уязвимость в Dbtech vBQuiz - Викторины
Уязвимость Inferno vBShout
Уязвимость в хаке ibProArcade 2.6.8+
Extra IM and Network
Yet Another Usergroup Legend (AJAX)
Уязвимость EasyPages
Second Level Login by liamwli
Advanced Forum Rules (версии 4.0.2 и 5.0.2 и ниже)
vBulletin - DBTech vBDonate (к сожалению, не помню в какой версии была уязвимость)
Gameroom v1.2.0
ajaxReg - Ajax Registration, with instant field checking
Уязвимость vBSocial.com Wall
Уязвимость Point Market System
Уязвимость microSUPPORT Plugin
Уязвимость OzzMods Reviews Plugin
Уязвимость vBulletin vbBux and vbPlaza v4
Уязвимость Customizable Roster
Уязвимость в хаке Verify Email Before Registration для 4.х


2. Уязвимости в движке.
Изначально ставим рекомендуемые версии движка, а не дырявые…
На данный момент актуальны:
3.8.4 PL2, 3.8.7 PL5, 3.8.9
4.2.3

(про 5 до сих пор промолчу… пофиксят один баг - появится ещё два )

Если у вас, например, 3.8.6, то нЕ забывайте про патч. Если у вас дырявая версия 4, то делайте обновление до стабильно версии. Ну или… откат на тройку
АХТУНГ! В версии 4.2.0 PL3 есть xss.

3. Настройки движка.
Конечно, речь про включенный html там, где он абсолютно не нужен…
И, кстати, лишний раз напомню о модерах и СМ. У них есть доступ к панели модератора, а там есть возможность создавать на форуме объявления (html).

4. Уязвимости в других движках.
Если у вас рядом с воблой ещё понаставлено сайтов типа DLE, joomla etc, то не забывайте и про них почитывать (про обновления как самих движков, так и плагинов, которые вы понаставили)

5. Халатность админа…
Нефиг всем подряд давать админку, нефиг ставить простые пароли как на админские акки, так и на БД, админку etc…
Кстати, не забывайте о доп. пароле на админку.

Полезности Ставим пароль на директорию
[FAQ] .htaccess .htpasswd

6. У Вас в настройках PHP register_globals=ON?
Тема ТУТ

7. Гавнопартнёрки.
С каждым днём их всё больше и больше… С выбором партнёрок просто рекомендую быть аккуратнее)

8. RIP-стили.
Тут сильно не буду расписывать… Любой нормальный админ должен открыть файл со стилем и посмотреть код… Именно в RIPах часто встречаются левые коды…

9. Папка INSTALL
В связи с недавними событиями - это просто отдельный пункт.
Обязательно удаляем папку install.

10. Соц. инженерия
Мне казалось, что это уже прошлый век, но нет)
Обратите внимание на тему Гениальная идея школохакеров. Взломай свой сайт сам.
Да, это коснулось DLE, но не только его)
Будьте внимательны)

11. ???
На этом пункте мой список «из личного опыта» заканчивается, мБ кто-то ещё продолжит пункты?


Итак… Вроде бы нашли причину, устранили следствие… Но снова кто-то «взломал» или яндекс не снял «клеймо»?
Снова идём по этим же пунктам и думаем дальше…


Мифы

Ещё полезности: Чиним свой сайт после взлома (Перевод).
AntiShell - скрипт для предупреждения взлома сайта.
Отслеживание изменения модулей
Инспектор файлов
Обзор автоматических аудиторов

Last edited by OlgaB : 08-07-2015 at 10:40 PM.
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
Sven
Верстальщик
 
Sven's Avatar
Default 0

Quote:
Originally Posted by OlgaB View Post
8. RIP-стили.
Тут сильно не буду расписывать… Любой нормальный админ должен открыть файл со стилем и посмотреть код… Именно в RIPах часто встречаются левые коды
А что, обычно тупо копируют код? О_о
Я для себя спрашиваю, просто интересно)

А так, плюс однозначно)

Sven добавил 02.09.2013 в 21:00
Quote:
Originally Posted by OlgaB View Post
Реже попадается в .php
В случае с воблой, такое
Quote:
Originally Posted by OlgaB View Post
Сайт «взломан» (теперь на сайте вместо обычной странички - картинка, надпись etc…)
Как раз замена индексного файла. Иногда попадались модули

Last edited by Sven : 09-02-2013 at 10:01 PM. Reason: Добавлено сообщение
 
Old  
OlgaB
Мастер
 
OlgaB's Avatar
Default 0

@Sven, имелось ввиду, что человек качает с интернета какой-нибудь стиль и ставит себе на форум...
Мне самой не раз попадались именно в рипах каких-либо стилей левые коды... И коды различных партнёрок...

OlgaB добавил 02.09.2013 в 21:02
Quote:
Originally Posted by Sven View Post
Как раз замена индексного файла
Смотря как "взломан" Бывает редиректы ставят на другие сайты/форумы. Тогда надо htaccess смотреть

Last edited by OlgaB : 10-10-2013 at 09:33 PM. Reason: Добавлено сообщение
 
Old  
Sven
Верстальщик
 
Sven's Avatar
Default 0

В файле же тоже может быть редирект)
Да и я имел ввиду когда что-либо пишут или ставят картинки
 
Old  
TAIFUN
Человек
vBSSecurity
 
TAIFUN's Avatar
Default 1

Не только в рипах, но и в зануленных движках. Особенно в DLE. Недавно искал на просторах интернета дистрибутив DLE.. скачал - в каждом то ссылки на партнёрки, то зловреды...
 
Old  
gap
Знаток
 
gap's Avatar
Default 0

В продолжение темы восстановления форума: Инструкция с оффсайта
 
Old  
Luvilla
Блондинка с электро......
 
Luvilla's Avatar
Default 0

Quote:
Originally Posted by gap View Post
Инструкция с оффсайта
никаких глобальных откровений там нет...
но если бы Вы перевели статью и выложили перевод, отдельной темой, это было бы полезно
 
Old  
gap
Знаток
 
gap's Avatar
Default 0

Quote:
Originally Posted by Luvilla View Post
но если бы Вы перевели статью и выложили перевод, отдельной темой, это было бы полезно
Без проблем. ;) Только чуть позже.
 
Old  
viliksar
Продвинутый
 
viliksar's Avatar
Default 0

Quote:
Originally Posted by OlgaB View Post
И, кстати, лишний раз напомню о модерах и СМ. У них есть доступ к панели модератора, а там есть возможность создавать на форуме объявления (html).
Нашёл этот пункт здесь:
В разделах и модераторах, при редактировании прав конктретно каждого модератора к конкретно каждому разделу форума.

Last edited by viliksar : 03-11-2014 at 06:36 PM. Reason: Добавлено сообщение
 
Old  
siriusmelaf
Знаток
 
siriusmelaf's Avatar
Default 0

Quote:
Originally Posted by OlgaB View Post
Из личного опыта - чаще всего «вредоносный код» содержится в файлах с расширениями .js, .htm, .html… Реже попадается в .php
я в прошлом году столкнулся. тему еще тут где-то создавал.
ну в общем вредоносный код был в аватарке *.gif
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 12:47 AM.


Powered by vBulletin® Version Х.З.
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.