[Help] Юзер грозит взломать форум - нужен совет

Тема в разделе "vBulletin", создана пользователем alexo, 22 апр 2009.

Статус темы:
Закрыта.
  1. alexo

    alexo

    Регистр.:
    28 май 2006
    Сообщения:
    312
    Симпатии:
    5
    Привет
    Я админю на одном форуме на vBulletin.

    Форум не мой, я просто админю там.

    Вчера ночью ко мне обратился хозяин сайта и сказал, что один из юзеров, у которого был какой то конфликт с модераторами - каким то образом стал админом и стал самовольничать.

    Пришлось зайти и первым делом просто забанил юзера. Через 2 мин. смотрю кто то бан снял и он опять админ и даже вешает какие то объявления на форуме и успел удалить пару девочек, с которыми у него вроде и был конфликт. Пришлось просто удалить этого юзера. Тогда мне в голову не пришло как он это сделал, просто старался как то его обезвредить. Но через 5 минут мне всё таки в голову пришло посмотреть логи админки и заметил, что поднять до админа; снять бан; заново создать акк и сразу же сделать админом - делается через одного из админов на форуме (но с его Айпи). Т.е. у него есть доступ или пасс этого админ акк-а.

    Пришлось снизить этого администратора и поменять пасс (на всякий случай).
    После этого вроде все успокоилось.

    На всякий случай удалил всех админов (живых и мертвых) и единственное что мне пришло в голову, что он каким то образом достал или взломал пасс этого админ акк-а.

    Оставил 2 акк-а - для меня и для хозяина.

    С утра хозяин опять меня тревожит, что этот юзер опять на форуме и опять что то пишет (я ещё делал такую фичу, что юзеры первые 10 дней не могут открыть посты и все такое ). Получается, что ему кто то помог. Смотрю логи он зашел через админ акк хозяина сайта.

    Опять поменял пасс, снизил до юзера и всё такое. Но уже на думаю, что по второму разу он взломал пасс. Тут всё таки другое.

    Даже поговорил с ним по Айсикю - какой то подросток, кто в обыде на модера и хочет доказать, что он такой крутой -сякой, говорит что может залить шелл, за 5 мин взломать сайт ... итд

    Впечетление, что есть знания, но не из продвинутых и почти не опыта, зато очень наглый и самоуверенный.

    Пока что закрыл доступ его Айпи с сервера, но понятное дело, что - это фигня если знаешь что такой прокси.

    Версия Форума vBulletin 3.7.3 Patch Level 1, понимаю, что надо сделать апдейт, но всё таки для меня вопрос как он 2 раза взломал или достал пассы к акк-ам остался открытым.

    Пока всё тихо, но мало верится, что на долго.

    Подскажите, что может быть причиной.

    Надо ли мне в быстро обновить версию форума или всё таки вопрос в другом.

    Спасибо
     
  2. chibit

    chibit Life sucks.

    Регистр.:
    4 дек 2007
    Сообщения:
    419
    Симпатии:
    285
    Ну обновить форум тебе все равно придется ;)
    Проверь форум на наличие шеллов. Поставь какой-нибудь модуль с подробнейшим логированием, чтобы узнать как он это делает.
    Сними со всех админов обязанности.
     
  3. Шейла

    Шейла

    Регистр.:
    12 май 2008
    Сообщения:
    565
    Симпатии:
    158
    Конечно мало к теме защиты относиться. Тут тебе не подскажу.

    Но избавиться от этого кадра можно, социальный инженеринг рулит.

    Если есть его реальный IP выясни где его локация(или хотябы провайдера), и шугани его ментами и большими проблемами, которые выльются ему в копейку.

    Типа несанкционированое вмешательство в работу компьютерных сетей, нанесение вреда компьтерным сетям и т.д. и т.п. побольше страстей нагони, но только правдивых.
    Приведи ему пару статей из УК со сроками и ответственностью.

    Перед этим делай бекап, вдруг он тормоз безстрашный и бросится калечить твой фоорум.
    Сохрани все угрозы которые он выдвигал, вдруг пригодится.

    Составь меседж в оффициальном тоне с описанием всей ситуации и отправь.

    Если у него хоть немного интелекта есть он угомониться, пошипит поплюётся и забудет.
     
  4. Axom

    Axom

    Регистр.:
    25 апр 2007
    Сообщения:
    320
    Симпатии:
    94
    А форум на домашнем компе хостится?
    Потому что саму булку не так просто ломанут, один из крепких движков!
     
  5. swer

    swer

    Регистр.:
    15 июн 2008
    Сообщения:
    305
    Симпатии:
    38
    Раз ломает значит глуп,проверь ип,если это не прокси напиши абузу провайдеру и предоставь логи,его обязаны заблочить.
     
  6. zhekaxak

    zhekaxak

    Регистр.:
    16 авг 2007
    Сообщения:
    291
    Симпатии:
    68
    возможно булку он и не ломал, получил доступ к фтп, узнал пассы к бд, ну а дальше уже легче простого...
    хотя если в админке видно что он заходит под другими админами значит пароли он знает, возможно он дописал код чтоб после ввода пароля в форму авторизации он сохранлся гденибудь (у себя когда то такое нашел, правда на дле)

    попробуй изменить пароли ко всему: панель, фтп, база, всех админов.
    ну и проверить на лишние файлы или код допустим по дате изменения файлов смотреть чтоб не все проверять
     
  7. alexo

    alexo

    Регистр.:
    28 май 2006
    Сообщения:
    312
    Симпатии:
    5
    как я могу проверить форум на наличие шеллов ?

    можешь посоветовать какой-нибудь модуль для этого ? если честно не разу не встречал ничего такого.
    причем тут модери ... судя по логам админки они не причем, оба раза он заходил через админ акки. Последный раз через админ акк хозяина, он уж точно не даст пасс.

    хотя за вчера он несколько раз менял IP, но кажется что все таки реальный IP ставропольский.
    Я тоже думал об этом, но даже я не успел об этом обмолвиться при нашем разговоре (я всё таки старался говорить нормально -без наездов и грубых слов), он, идиот, говорит что можем пожаловаться, что булка на сайте не лицензионная. После этого я уже не начал говорить про то, как он сам нарушает закон, даже не создавать напрежение.
    да, на домашнем компе по имени дримхост.
    Я не думаю, что он ломанул ... так как сам грозился, что может залить шелл ..итд (т.е это к тому, что из его слов можно было предположить, что до этого он делал каким то дургим способом)

    фтп, пассы к бд не думаю, так как при этом он мог и меня (general Admin) выкинуть - чего не сделал.

    не думаю, но обязательно проверю.
     
  8. KPACHODAP

    KPACHODAP DELETED

    Регистр.:
    21 дек 2009
    Сообщения:
    640
    Симпатии:
    111
    просто отследить по логам захода в базу + фтп. также проверить на шелы файлы, также переместить все картинки из бд в файловую систему, и добавить в папки везде .htaccess

     
  9. diabl

    diabl Боцман

    Регистр.:
    24 мар 2009
    Сообщения:
    439
    Симпатии:
    156
    Нет не чего не возможного.
    Если человек поставил цель, он этого дабьёться, на кройняк Пинч впарит, или zeus тоже подойдёт

    Вот меня один модер тоже заколебал на этом форуме, забанил не за что.
     
  10. chibit

    chibit Life sucks.

    Регистр.:
    4 дек 2007
    Сообщения:
    419
    Симпатии:
    285
    Например Перейти по ссылке
    А вообще гугли
    Сорри, опечатка вышла... Хотел написать Админы))
    Попробуй в свободное время, когда он не включит проксю передать ему с левой аськи любой файл. Через Фарейвелл (Outpost например) вычислить IP как два пальца аппасать
     
Статус темы:
Закрыта.