Взлом центра

Все что касается центра - www.ourfriends.info

Модератор: Moderor$

Ответить
Аватара пользователя
RedScorp™
Site Admin
Site Admin
Сообщения: 3966
Зарегистрирован: 29 окт 2003, 18:28
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Взлом центра

Сообщение RedScorp™ » 17 ноя 2009, 17:48

Ну вот только я стал забывать про Гадю Петрович что на форуме баловалась, так вот пжалуст докопались до центра. В частности разработчики нашего движка DLE допустили серьезную ошибку (или специально сделали, в общем хез кто прав, кто виноват. Ибо 8.2 вышла давно, а уязвимость нашли только после выхода 8.3. А ошибка существует только в 8.2 версии!!!) в модуле восстановления пароля и благодаря ей можно было сбросить пароль админа на любой с указанием чужого мыла. Оповещение о данной проблеме было 12 ноября по почте (мне кстати пришло где-то в воскресенье вечером, с вложенным патчем) и рсс. Все бы ничего, такое периодически случается и из-за этого я не спешу переходить на новые версии движка, но! видать судьба... В итоге нас слегка посчупали, поломали и нагадили. Не сильно, так слегка... В частности:
1. сменили пасс админу
2. слили копию базы
3. добавили фрейм в шапку с открытием порно-ресурса (ссылку указывать не буду!)
Посмотрим по логам что и как...
1. смена пароля:
77.108.197.178 - - [14/Nov/2009:12:54:30 +0500] "GET /admin.php?mod=центр HTTP/1.1" 200 6050 "http://ourfriends.info/index.php?do=lostpass&юзер" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.01"
Собственно ни пасс от базы, ни реальный пасс админа гадя не получил. Просто был сгенерен абсолютно новый.

2. сливание базы:
77.108.197.178 - - [14/Nov/2009:12:56:16 +0500] "GET /фолдер/архив.sql.gz HTTP/1.1" 200 10299165 "http://ourfriends.info/admin.php?mod=дамп" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.01"
Чем нам это грозит... Пароли хранятся в базе не в открытом виде, так что смысл расшифровывать отпадает. НО! Я так полагаю скоро начнется новая рассылка спама по мылам/асям указанным на центре. Не новости надо полагать Гаде нужны же...

3. добавление фрейма (непосредственно из админ-панели):
77.108.197.178 - - [14/Nov/2009:18:31:00 +0500] "GET /admin.php?mod=шкурка HTTP/1.1" 200 31296 "http://ourfriends.info/admin.php?mod=действия" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.01"
Ну, честно говоря, это было забавно. Фрейм был размером как раз с рабочую область браузера, т.е. наш центр был просто чуток ниже (ну если пролистать экран). Однако добавление именно куска фрейма (причем сильно кривого) говорит об отсутствии элементарных знаний в области html. Если бы чел вставил просто строку - это одно, а тут кусок готового кода вперемешку с другими тегами (которые по идее нарушают целостность вообще html страницы). Но с другой стороны Гадя намеренно это сделала (я имею ввиду "взлом"). Ведь не влом же было сидеть и искать сайты именно с движкой 8.2.К нам она попала благодаря моей же новости об выходе новых версий.

Код: Выделить всё

Сайт:               Яndex.ruЗапрос:             Powered by DataLife Engine 8.2Попал в новость:    DataLife Engine v.8.2 Final ReleaseКогда:              14 ноября 12:52:40ИП:                 77.108.197.178
Мне было очень интересно и повторив запрос выяснилось что наш центр 380й в полученном списке.
А вот и инфа про IP адресс:

Код: Выделить всё

whois 77.108.197.178 inetnum:        77.108.192.0 - 77.108.207.255netname:        PTCOMMNETdescr:          JSC Penzenskie Telecommunikatsiicountry:        RU
Так что опять обновляемся....
Последний раз редактировалось RedScorp™ 18 ноя 2009, 11:24, всего редактировалось 1 раз.
Изображение Изображение
Аватара пользователя
Wayfinder™
Soldier
Soldier
Сообщения: 627
Зарегистрирован: 14 янв 2004, 14:13
Откуда: Уральск
Контактная информация:

Re: Взлом центра

Сообщение Wayfinder™ » 18 ноя 2009, 08:52

RedScorp™ писал(а): Пароли хранятся в базе не в открытом виде, так что смысл расшифровывать отпадает. НО! Я так полагаю скоро начнется новая рассылка спама по мылам/асям указанным на центре. Не новости надо полагать Гаде нужны же...
Собственно там и не пароли лежат а их хэши.
♀+♂=☺
Всю жизнь мы занимаемся поиском своего пути... © Wayfinder™
Никогда не бойся делать то, что ты не умеешь. Помни, ковчег был построен любителем. Профессионалы построили "Титаник" ©перто
Аватара пользователя
5p1d3r_dj
Embryo
Embryo
Сообщения: 50
Зарегистрирован: 08 янв 2008, 11:53

Re: Взлом центра

Сообщение 5p1d3r_dj » 18 ноя 2009, 09:29

Wayfinder™ писал(а):Собственно там и не пароли лежат а их хэши.
Ога, а кому нуно будет расшифровывать хеш-суммы, мне и в голову не придет!
ИзображениеИзображение
«При достаточном количестве глаз все ошибки лежат на поверхности»
\Л.Торвальдс\
Аватара пользователя
RedScorp™
Site Admin
Site Admin
Сообщения: 3966
Зарегистрирован: 29 окт 2003, 18:28
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Re: Взлом центра

Сообщение RedScorp™ » 18 ноя 2009, 11:23

В общем вечером дома перелопачивал шаблоны на поиски всяк хрени. Потом занялся обновлением и можно сказать затрахался. Ну да ладно, будем ждать синий шаблон в файлопомойках (правда есть одно маааахонькое "но" - движка у нас была 8.2, а шаблон от 7.5 и там, уж простит меня Гадя, много косяков... влом было править) и свежий спам в почте.

Хотя на будущее необходимо продумать меры предосторожности. Как выяснилось не все предусмотрено разработчиками. Сначала подумывал даже (по совету чела с сайта разработчиков) прописать доступ к файлу админки:

Код: Выделить всё

<Files "admin.php">    Order Deny,Allow    Deny from All    Allow from IP/Mask</files>
Но есть один трабл, какие сети включать?! Ведь этот файл отвечает и за полное редактирование новости. А следовательно я запарюсь вбивать туда подсети и уж тем более править потом... Поэтому решение скорее всего будет таким: необходимо указать определенные параметры в .htaccess файликах (аля запреты) и расположить их в каждой папке (в папку с резервной базой, генерируемой движком, уже положил). Ну или с учетом того что я все равно ручками все правлю - тупо вырубить модуль в админке по управлению шаблонами (пока не знаю чем мне это грозит, жду ответа спецов).
Изображение Изображение
Ответить

Вернуться в «www.ourfriends.info»