Вчера взломали мой форум
  • Привет ребят, вчера группа хакеров, захватила в прямом смысле один из моих форумов)
    слава богу у меня админ профи, он быстро всё вернул обратно и нашёл дыру через которую они пробрались на форум(

    В общем у кого стоит булка, пишите, я расскажу как убрать эту дыру, потому что эти хакеры щас активизируются и обнаглели так, что впрямую атакуют сайт макса +100500

    Вот их группа в контакте, может кому-то пригодится, там сайты которые они уже сломали написаны и те которые запланированы для взлома, там же и ссылка на их сайт
    удален
  • прям ОПГ какие то в инете))
    Давайте уж тут рассказывайте, там - неинтересно
  • Я уверен что бывалые уже конечно знают, но метод такой (не пользуйтесь токо, не опускайтесь до уровня этих хакеров)

    Этот способ работает на самой распространённой версии вбуллетин 3.8.6

    Просто заходите на форум версии 3.8.6 (в интернете их кишит), далее в раздел справка, потом переключаете форум на янгл язык, это в булке делается за 1 секунду, потом в поле "поиск по справке" пишите слово "-----" и нажимаете искать и о чудо, заместо найденного текста в справке, появятся логин и пароль и все остальные данные от вашей базы данных :)

    после этого они идут в phpmyadmin и хешурют в md 5 пароль от самого вашего профиля админа, и после этого у них в руках ваша база данных и ваш профиль админа, а у вас ничего не останется(


    могу подробнее написать если не понятно)

    Защититься можно так, просто сносите к чертям англ язык! иначе попка(
  • Вобла, поди, нуленая?
  • спасибо, я думаю владельцам булок сие пригодится
    . Слово я на всякий случай удалил, а то щас как пойдут форумы ломать)

    Вобла, поди, нуленая?

    Ну это к доктору не ходи)
  • Вобла, поди, нуленая?


    Не имеет значения, это дыра в двигле, которую успешно нашли и щас ей херачат форумы на булке 3.8.6 :(
  • Не имеет значения, это дыра в двигле, которую успешно нашли и щас ей херачат форумы на булке 3.8.6 :(

    Да не, это больше на закладку похоже..
  • Да не, это больше на закладку похоже..

    Угу причем закладку явно ключница делала.))
  • Через их группу я вышел на статью самого того, что открыл этот баг и вот как он всё описывает!


    Собственно как же нам взломать vBulletin? Что нам потребуется:

    - Умение пользоваться гуглом.
    - Голова.
    - Руки. Но можно и ногами.
    - Везение.

    Начнем. Мы будем использовать найденную мной уязвимость в faq.php

    Сейчас нам понадобится умение под пунктом один, то есть умение юзать гугл. Заходим в гугл и пишем: "powered by vbulletin 3.8.6", можно поиграться с запросами, например: "Городской форум powered by vbulletin 3.8.6". Смотрим на результаты поиска и на что мы должны обратить внимание:

    В первую очередь обращаем внимание на эти две вещи. Переходим по таким ссылками и смотрим:

    - Возможность смены языка форума на английский.
    - Наличие faq.php
    - (Обычно это всегда есть)

    Если все это присутствует, то идем в faq.php (справка) и вводим в поиске: blabla. И что мы увидим:

    Database Name: forumchina
    Database Host: localhost
    Database Port: 3306
    Database Username: simcard
    Database Password: SbZZPFavJxQRRG2n


    Что дальше? А дальше мы пробуем найти phpMyAdmin, если он не написан на второй строчке данных которые мы получили после того как мы заюзали баг. То есть:

    Код
    Database Host: db.blabla.ru


    Но такое встречается крайне редко, обычно там написано:

    Код
    Database Host: localhost


    Так-что путь до phpMyAdmin приходится искать самому. Возможные пути:

    Код
    phpmyadmin
    myadmin
    mysql


    Скорей всего есть еще, но я знаю только эти

    Пробуем подставить возможные пути: www.site.com/phpmyadmin и т.д. Кстати следует знать такую вещь, что если форум находится на поддомене, то есть: www.forum.site.com или в папке: www.site.com/forum. То нужно убрать их и уже тогда пробовать подставлять возможные пути админки.

    И так вы нашли phpMyAdmin, радости полные штаны должно быть именно в этот момент, так-как мы проделали самое главное и дело за малым.

    Вводим данные и заходим в phpMyAdmin, выбираем в левом меню название базы данных форума и видим таблицы где содержаться все настройки и данные от форума. Ищем таблицу: user. Теперь нужно посмотреть руководство форума и посмотреть кто там администратор, узнали ник, возвращаемся в phpMyAdmin и ищем в таблице "user". Нашли? Отлично. Редактируем его и ищем следующее:

    Код
    Password: тут будет хэш в md5


    Меняем его на: b6f5c0cb6c29ebdf64317902e3d39dca
    Теперь ищем:

    Код
    salt: тут будет сгенерированные знаки.


    Меняем на: +^f
    Кстати немного расскажу вам про salt иногда ее называют солью. Допустим вы зарегистрировались на форуме с паролем "qwerty" и происходит следующее:

    Скрипт генерирует нам случайным образом соль(у всех пользователей она будет разная) и заносит её в базу данных. Допустим нам сгенерировал вот такую : (@#*
    Скрипт берёт нашу соль и хеширует её методом md5.
    Скрипт берёт наш пароль (у нас он qwerty) и тоже хеширует его методом md5.
    Скрипт берёт нашу хешированную соль и наш хешированный пароль, и снова хеширует их методом md5.

    И в итоге получается соленый хэш, который довольно сложно расшифровать.

    Ладно, немного отошли от темы. Давайте дальше. И так мы сменили password и salt и получили пароль: 123. Заходим на форум и без проблем заходим под ником админа с паролем 123 в аккаунт. Дальше можно зайти в админку форума и делать что захотим.
  • dhonchik Да верим мы вам, но поймите, что вышеописанное - не баг движка. Это элементарная закладка(сам такого плана иногда делаю, если не уверен в клиенте ).

    Один вопрос - какого хрена, при поиске в базе данных, происходит чтение конфигурационного файла форума? И сразу становится ясно, что это не баг движка.

    Беру свой кусок кода, прогоняю его через обсфукатор(что бы не сразу вычислили), вставляю в нужный файл(например faq.php) и при передаче сценарию определенной переменной(например $id=Hnd;lIh47JKLFG) - она запускает мой кусок кода, где я читаю конфиг и передаю его в браузер.
    Вот и все.

    Спасибо за информацию, не принимайте близко к сердцу.
  • Выборочно проверил - получил доступ только на одном форуме.


    многие форумы уже позакрывали к себе доступ (тупо пряча справку или некторые делают так, есть хак который меняет версию булки (просто в конфиге меняет цифры) и в поиске 3.8.6 не вылазит), те кто в выдачах на верхах тоже уже спрятались

    многие уже на самом деле просто захвачены, вчера только они 134 форума так съели :(

    Но оооочень многие ещё ничего не подозревают(
  • галактеко опасности
    :))
  • 8 лет назад взламывая буржуйские форумы барыжил icq номерами. Тогда ещё не было соли и пароли просто хешировались. Было проще, собирал кучу хэшей, запускал брутфорс на локалке по хешам, дня через два получал результат. Далее качаем всю базу данных, опять брутфорс по всем пользователям форума с хорошими icq. в 25% случаев пароль с форума подходил и на почту и на icq. Заходим в асю меняем пароль, почту и привет! Далее по каждому контакту их полученных icq рассылаем сообщение с трояном. Во времена были...
  • 8 лет назад взламывая буржуйские форумы барыжил icq номерами. Тогда ещё не было соли и пароли просто хешировались. Было проще, собирал кучу хэшей, запускал брутфорс на локалке по хешам, дня через два получал результат. Далее качаем всю базу данных, опять брутфорс по всем пользователям форума с хорошими icq. в 25% случаев пароль с форума подходил и на почту и на icq. Заходим в асю меняем пароль, почту и привет! Далее по каждому контакту их полученных icq рассылаем сообщение с трояном. Во времена были...

    Трата времени)

    Лучше уж без шума и пыли ломать жирные форумы и где нибудь в тихушку ставить ссылку на свой сайт.

    Откуда у хакеров такое неистребимое желание нагадить? даже без личной пользы
  • Откуда у хакеров такое неистребимое желание нагадить? даже без личной пользы

    Оттуда, что у большинства из них неистребимый сдвиг по фазе.
  • Оттуда, что у большинства из них неистребимый сдвиг по фазе.

    С их умом (ну согласитесь, стоящие хакеры люди умные) и упорством можно было бы неплохо так я думаю заработать на чем нибудь. А они прожигают свои знания и время на всякую ерунду.
  • С их умом (ну согласитесь, стоящие хакеры люди умные) и упорством можно было бы неплохо так я думаю заработать на чем нибудь. А они прожигают свои знания и время на всякую ерунду.

    Вот-вот, лучше бы делом занялись бы :\"> А то даже перейдя на группу вконтакте, представленную выше, уже становится смешно от прочтения их целей: ЭМО, РЭП, клаббера...идиотизм.
  • мож в личку скинете словечко пойду по буржуинету погажу в виде беков

    хочу пр 10
  • мож в личку скинете словечко пойду по буржуинету погажу в виде беков

    хочу пр 10

    upyachka
    если не подойдет - псто зохвачен!
  • Я, конечно, не все хостинги пробовал... Но на всех, где был, в phpmyadmin не зайти "просто так", набрав прямой url. Везде вход только из панельки хостера, если только специально не установлен доп. адрес для доступа к базе. И пароль к базе без пароля в панельку ничего не стоит.

    Не надо пользоваться школохостерами и нулёными скриптами - и будет счастье!

  • dhonchik, можете дать файл faq.php, чтобы можно было понять - закладка или баг? Естественно, той версии, которая ломалась, а не исправленная.

    Увы, но это мой админ всё делал и правил, я не знаю что и как)

    Вот-вот, лучше бы делом занялись бы :\"> А то даже перейдя на группу вконтакте, представленную выше, уже становится смешно от прочтения их целей: ЭМО, РЭП, клаббера...идиотизм.

    Это всё бред ихний, они ломают всё подряд и даже хорошие женские форумы про собачек там например и мой вообще под их тематику не подходил)

Привет, незнакомец!

Похоже, Вы новенький! Чтобы начать обсуждение, кликните на одну из кнопок ниже ;)

Войти с помощью OpenID

Категории

В этой теме: