Поскольку требованием безопасности форума было удалять файл install/install.php, а не всю папку install/, то все форумы указанных версий (фактически, самых свежих), в которых эта папка не удалена, подвержены риску взлома. В конце-концов эксплоит-таки был выпущен. И попал в детские шаловливые ручки.
Вчера был взломан один из моих форумов на vBulletin. Спустя примерно 16 часов с момента взлома был обнаружен пользователь с правами администратора. Пользователь был тут же забанен, а мне предстояло ответить на два вопроса:
1. Что он успел натворить?
2. Кто он и что ему было нужно?
В поисках ответа на первый вопрос, я посмотрел логи действий в админке. И (о чудо! и это первый звоночек) обнаружил следы:
02:10 установка плагина (названия нет)
02:17 удаление плагина (id=1030)
В этот 7-минутный промежуток, видимо, и производились какие-то манипуляции с форумом. Однако, diff файлов и сверка БД (поверхностная, т.к. изменений за 16 часов произошло много) не дало никаких результатов. Возможно, злоумышленник не смог сделать того, зачем пришел, либо я просто не нашел ничего.
Поиски ответа на второй вопрос привели меня в Алжир, выдали всю информацию о кулхацкере, включая его реальный IP, email, аккаунты на youtube и фейсбуке, и историю его «подвигов» (см www.hack-db.com).
Разве что домашнего адреса с телефоном у меня нет. Но если бы и были, я не представляю, какие действия можно предпринять в отношении него.
Главный вывод: владельцы форумов на vBulletin — удалите папку install полностью! Возможно, мне повезло (или я пока не знаю о том, что не повезло), но vbuletin.com просто кишит постами о взломах с последствиями самой различной тяжести.
P.S. Заранее прошу прощения, если написал банальщину или всем уже давно известную информацию. Просто когда попал под раздачу эксплоитов, первое желание — узнать, второе — рассказать.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers. Five Filters recommends:
- Massacres That Matter - Part 1 - 'Responsibility To Protect' In Egypt, Libya And Syria
- Massacres That Matter - Part 2 - The Media Response On Egypt, Libya And Syria
- National demonstration: No attack on Syria - Saturday 31 August, 12 noon, Temple Place, London, UK
Комментариев нет:
Отправить комментарий