• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

ПЕНТЕСТИНГ Взломан XenForo


P

pligin

Гость
Приветствую.
Был взломан мой форум на XenForo 1.5.6.
Была слита таблица пользователей и полностью удален форум вместе с базой.
Был залит файл adminer-4.3.1.php в папку ny_garlands (в ней не было индексного пустого файла)
Также запросы шли к неким файлам в корне сайта f.php и z.php
Есть ли желающие исследовать данный случай?
 
Последнее редактирование модератором:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Привет !

Мало информации:

1. Какие плагины установлены ? В плагинах есть шеллы и уязвимости. Примеры: В плагине хайда, была уязвимость удаленного исполнения кода. В плагинах у Brivium были закладки. Это первое.

2. Вы используете варезные версии ? Если-да, то нужно качать с проверенных источников, вот эти:







3. Версия движка старая, установлены-ли все патчи ?

И последнее у вас хостинг или выделенный сервер ? Если выделенный сервер, то нужно закрыть FTP и желательно SSH.

Также нужно обновить софт на сервере, если сервер.

Сейчас вам нужно просмотреть все файлы форума на наличие шеллов, сделать это можно так:

1. В движке в админке (Инструментах) есть валидатор, проверьте им;

2. Скачайте файлы на локальный компьютер и проверьте антивирусом, например Nod, Kaspersky;

3. Посмотрите время создания/изменения файлов;

4. Также рекомендую проверить этим:

Пока всё вкратце, далее уже нужна более подробная инфа, пока попробуйте то-что написано...:)
 
P

pligin

Гость
Привет !

Мало информации:

1. Какие плагины установлены ? В плагинах есть шеллы и уязвимости. Примеры: В плагине хайда, была уязвимость удаленного исполнения кода. В плагинах у Brivium были закладки. Это первое.

2. Вы используете варезные версии ? Если-да, то нужно качать с проверенных источников, вот эти:







3. Версия движка старая, установлены-ли все патчи ?

И последнее у вас хостинг или выделенный сервер ? Если выделенный сервер, то нужно закрыть FTP и желательно SSH.

Также нужно обновить софт на сервере, если сервер.

Сейчас вам нужно просмотреть все файлы форума на наличие шеллов, сделать это можно так:

1. В движке в админке (Инструментах) есть валидатор, проверьте им;

2. Скачайте файлы на локальный компьютер и проверьте антивирусом, например Nod, Kaspersky;

3. Посмотрите время создания/изменения файлов;

4. Также рекомендую проверить этим:

Пока всё вкратце, далее уже нужна более подробная инфа, пока попробуйте то-что написано...:)
1.
Ads Manager 1.16.1
Brivium - Modern Statistics 2.6.0
Esthetic Collaborative Shopping 1.1.3.2
External Accounts Extended 2.9.5
Post Ratings 1.7.5
WaterMark Add-on 1.2
XenForo Resource Manager 1.2.3
[bd] Paygates 1.5.2
[bd] Paygates: Interkassa 1.3
[bd] Paygates: Payeer 1.2
[HAL] Поделиться в соц. сетях 1.2
[tLk] ReadPC 1.1.0
2. Варезные версии с XenForo.info
3. Про патчи не слышал. Нужно обновить до последней версии? Какие патчи использовать?
VPS Debian 7.10 x64 на Digitalocean
FTP: у пользователя размещено несколько сайтов, но удален был один
SSH: изменен порт + fail2ban блокирует после 3-х неверных попыток авторизации
Валидатор говорит, что все отлично
На вирусы проверено
Форум был полностью удален. Восстановлен из бэкапа. На момент создания бэкапа активности в данном направлении не было (согласно логов) - все файлы изменены давно.
Антивирус от Яндекс испробую
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Esthetic Collaborative Shopping 1.1.3.2
Там как-раз был шелл, нужно патчить, если не патчили.

Описание - Ломаем XenForo через аддоны от Esthetic

Brivium - Modern Statistics 2.6.0
Тут по мойму были закладки, если не качали с проверенных источников, то возможно.

Нужно обновить до последней версии? Какие патчи использовать?
Лучше-да, если возможно лучше обновить до последней версии, там несколько патчей было...

Ну и пароли надеюсь не 12345678 были ! :)
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
Здравствуйте.
3. Про патчи не слышал. Нужно обновить до последней версии? Какие патчи использовать?
Движок в принципе необходимо регулярно обновлять, разработчики не просто так выпускают обновы, которые не только что-либо улучшают, но иногда и закрывают уязвимости.

Интересно, почему не обновлялись, что мешало своевременно это делать?

И ещё, pligin, свой рабочий комп не проверяли на всякую нечисть? Кейлоггеры и снифферы от "товарищей" ещё никто не отменял :-)).
 
P

pligin

Гость
Здравствуйте.

Движок в принципе необходимо регулярно обновлять, разработчики не просто так выпускают обновы, которые не только что-либо улучшают, но иногда и закрывают уязвимости.

Интересно, почему не обновлялись, что мешало своевременно это делать?

И ещё, pligin, свой рабочий комп не проверяли на всякую нечисть? Кейлоггеры и снифферы от "товарищей" ещё никто не отменял :-)).
Спасибо за внимание к данной теме.
Не делаю обновления, т.к. в большинстве случаев нужно будет искать дополнения для новых версий, что-то не будет работать... а так все настроено и работает... Этим вопросом займусь в скором времени...
Насчёт "друзей": есть знакомые только на уровне "включить компьютер, открыть браузер (но большинство не знают, что это "браузер" - у них "интернет"), посмотреть фильмы.
Если был бы кейлогер, одним сайтом не обошлось бы...
Удалено содержимое папки сайта, выше подняться не смогли... а у этого пользователя ещё много сайтов...
Были загружены три файла, о которых я писал в первом сообщении. Больше в логах нет информации.
И доступа к серверу никто не пытался получить... точнее не смог.
fail2ban частенько мне раньше показывал заблокированные IP для SSH.
Поменял порт SSH и прекратилось - не нашли новый порт)))
 

NIN@

Уважаемый пользователь
Форумчанин
Регистрация
26.03.2014
Сообщения
345
Репутация
430
Не делаю обновления, т.к. в большинстве случаев нужно будет искать дополнения для новых версий, что-то не будет работать...
Поверьте, это не так :-), а уж тем более в большинстве случаев обновление движка происходит без проблем и установленные ранее плагины продолжают корректно работать. НО, безусловно, рекомендуется содержать в актуальном состоянии не только сам движок, но и дополнения, и установленный стиль, тогда наверняка всё будет работать, как часики. Не по-хозяйски содержать форум в запущении...

А если всё же опасаетесь самостоятельно обновлять движок, обратитесь к специалисту в этой сфере, но, всё же уверена, любой админ ресурса должен уметь делать элементарные вещи.

И ещё, в списке плагинов есть [tLk] ReadPC для прочтения лс пользователей. Не буду о моральной стороне его использования, но Вы не рассматривали тот вариант, что в следствии неверной настройки прав этого плагина, например, у группы модераторов, могла произойти утечка важной информации, приведшей к таким последствиям?
 
P

pligin

Гость
Поверьте, это не так :-), а уж тем более в большинстве случаев обновление движка происходит без проблем и установленные ранее плагины продолжают корректно работать. НО, безусловно, рекомендуется содержать в актуальном состоянии не только сам движок, но и дополнения, и установленный стиль, тогда наверняка всё будет работать, как часики. Не по-хозяйски содержать форум в запущении...

А если всё же опасаетесь самостоятельно обновлять движок, обратитесь к специалисту в этой сфере, но, всё же уверена, любой админ ресурса должен уметь делать элементарные вещи.

И ещё, в списке плагинов есть [tLk] ReadPC для прочтения лс пользователей. Не буду о моральной стороне его использования, но Вы не рассматривали тот вариант, что в следствии неверной настройки прав этого плагина, например, у группы модераторов, могла произойти утечка важной информации, приведшей к таким последствиям?
Спасибо за участие в обсуждении.
Я умею и устанавливать, и обновлять, и редактировать, и делать модули...
В настройке прав можете не сомневаться, да и я единственный, кто имеет права выше пользовательских.
[tLk] ReadPC установлен исключительно для выявления попыток что-либо продавать через мой форум - на нем могу продавать я и только я.
По поводу взлома со мной уже связались и скоро выложу все подробности взлома и даже видео...
Как обычно это бывает в XenForo, переменная получает строку методом GET или POST, а потом эта строка идёт на исполнение.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Как обычно это бывает в XenForo, переменная получает строку методом GET или POST, а потом эта строка идёт на исполнение.
Значит кто-то встроил бекдур в плагин, или писал очень неопытный разработчик, как-раз в XenForo такое мало вероятно, т.к. всё фильтруется, а-то что вы написали ещё нужно специально постараться сделать !

Т.е. что-то типо eval ($str); нужно очень осторожно использовать, а лучше вообще не использовать ! :)
 
Автор темы Похожие темы Форум Ответы Дата
Антоха ПЕНТЕСТИНГ (Паблик) 3
Верх Низ