Forum "zhackowane" - hakerzy wyciągnęli nazwy użytkowników i hasła md5 z bazy danych.

Założony przez  Ptaq86.

26.03.2012, 09:11 (Ten post był ostatnio modyfikowany: 27.03.2012, 13:58 przez RadnoK.)
#1
wersja skryptu MyBB:1.6.6
adres forum: http://www.postcrossing-forum.pl
na czym polega problem (screen, opis, komunikaty):

Witam,

Jakiś czas temu miałem włamanie na forum - (wtedy wersja byłą 1.6.5 - choć była już dostępna 1.6.6) wtedy zaktualizowałem do najnowszej.
Poprzedni hack to był link do strony gdzie byli wszyscy userzy wyciągnięci + ich hasła zakodowane w md5. W każdym razie ktoś dobrał się do bazy co najmniej userów.
Dziś rano dostałem PW - a w nim coś takiego jak na screenie.

[Obrazek: hackt.gif]

Czy w wersji 1.6.6 odnotowano już jakieś dziury?
Co do pluginów, niestety ich mam trochę:

Cytat:Cytowanie selektywne (1.2)
Fit on Page (2.3)
Ignorowanie tematów (1.0)
MyShoutbox (1.7)
ProStats /pro?'stats/ (1.9.2)
Nieprzeczytane posty (2.3)
Dodatkowe pytanie antyspamowe podczas rejestracji (1.0)
Kto Był Dzisiaj Online (1.2)
RadnoK napisał 27.03.2012, 13:57:
Sprawa bardziej pasuje do Hyde Parku gdyż nie nie ma to bezpośredniego związku z silnikiem MyBB.
[Obrazek: modnotice_howto.png]
26.03.2012, 19:08
#2
Jeżeli ktoś ci zhakował forum i jeszcze takie treści wysyła to zgłoś to na policje.
26.03.2012, 22:33
#3
Moim zdaniem to jakiś fake, po pierwsze - Jaki cel mieliby ci hackerzy (dla żartów? Baaardzo rzadko się zdarza teraz), po drugie - dlaczego niby miałoby ich interesować forum z 130 użytkownikami? Sprawdź IP tego "Administratora", stawiam, że albo Polskie, albo z jakiegoś publicznego Proxy. Dane osobowe pewnie też zmyślone, albo w Google znalezione.
27.03.2012, 08:22
#4
Znaczy, są podejrzenia - że to ktoś z konkurencyjnego forum. Z którym użytkownikom się "nie układają" wzajemne relacje. Ja tam tylko od strony technicznej się zajmuję - więc nie wnikam w szczegóły. Ale generalnie wzajemne relacje nie są za dobre.

Takie były IP osoby która wysłała mi maila:
IP rejestracji: 74.120.15.150
Ostatnio używane IP: 62.220.135.129
27.03.2012, 11:31
#5
http://whatismyipaddress.com/ip/74.120.15.150 - Anonymous Proxy
http://www.stopforumspam.com/ipcheck/74.120.15.150 - tutaj może coś cie zainteresować
http://whatismyipaddress.com/ip/62.220.135.129 - Anonymous Proxy
http://www.stopforumspam.com/ipcheck/62.220.135.129 - tutaj także się zainteresuj
27.03.2012, 14:01
#6
A może po prostu miałeś proste hasła do bazy?
27.03.2012, 14:18
#7
Sprawdziłeś logi FTP + Apache?
27.03.2012, 22:48
#8
@Cybul
Dzięki, dodałem tego moda, nie jest to rozwiązanie - ale może choć trochę utrudni.
http://mods.mybb.com/view/stopforumspam-com-for-mybb

@Errorer
Nawet po pierwszym włamie jak miałem wersje 1.6.5 zmieniałem hasło do bazy, to z mieniałem z wygenerowanego (poprzez DirectAdmin) na inne wygenerowane. Więc szans do zgadnięcia 0.

@Siper
Mam administratora który zajmuje się serwerem, to przejrzał logi i stwierdził, że nie ma tam nic podejrzanego. Logi w panelu admina forum - tez czyste.

Może ktoś wie jaka byłą dziura w 1.6.5? Bo wtedy mi wykradziono dane z tabeli userów. Czy to było coś z tym związane? I teraz mając 1.6.6 teoretycznie może z tym już nie będzie problemu.
28.03.2012, 14:47 (Ten post był ostatnio modyfikowany: 28.03.2012, 14:47 przez Siper.)
#9
Ptaq86 napisał(a):Może ktoś wie jaka byłą dziura w 1.6.5? Bo wtedy mi wykradziono dane z tabeli userów.

Zapytam się... zmieniłeś hasło po włamaniu?
28.03.2012, 22:35
#10
Tak, zmieniłem.



Użytkownicy przeglądający ten wątek:

1 gości