Хакерская атака на форум - нужна помощь знающего человека

[DenisBB]

поставь phpbb 3:bis: :D :D :D
выловить не получится.:34:
и ваще че вам денег жалко ? поделитесь с кулхацкером он заслужил.:cool:

он наверное и хакнул вас

[DenisBB]

Друг мой я преимушественно инфосек по виндовским апликациям
Но из тех симптомов что были названы - скорее всего был произведен перехват [administrative credentials] затем был создан дополнительный [account] или даже несколько этим [accounts] были преданы админстративные права
Для начала - закройте на сайте возможность [execute script] оставьте только [put/get]
Кроме того не знаю сколько у вас юзеров но я бы проверил всех на предмет наличия административных привелегий. Далее я бы посоветовал всем юзерам с админ доступом поменять [passwords]. И ввести на какое то время процедуру верификации образования нового [accounta]
Как по мне то у вас был [men-in-the-middle] тип аттаки

оставь, подобные рода проблемы, тем кто с этим работает

тока самый последний идиот будет делать man in the middle в этом случае. и то если он идиот, как он его сделает?

[crazy-mike]

Не обязательно ...
Если напрямую сервер выставить в интернет то да а если да же сделать простейший [NAT tanslation] на какой нибудь простельной [ASA] или [Netscreen] то все [DoS/DDoS] будут осыпаться как озимые на переднем интерфэйсе

На бесплатных хостингах - их практически "напрямую" выставляют в Интернет. ;)
NAT (biNAT) вообще-то мало что даёт - потому что всё равно создаётся по одному соединению на каждый http-запрос и на обслуживание этого соединения сервер "размножается" по fork() или pthread_create(). Можно ограничивать число соединений с отдельным IP-адресом (это обычно в конфиге вебсервера можно делать). Но обычно DoS-атаки пытаются отсекать на промежуточных маршрутизаторах (и с функциями NAT в том числе).

[crazy-mike]

Майки, а с этого места поподробнее. А то нас клиенты за..за.. заимали уже своими попытками все засекретить - запрятать с глаз чужих...
Идиёты !!!

http-аутентификация для веб-сервера apache2 порождает "подпроцесс" ncsa_auth (или что-то похожее). По одному дополнительному процессу на каждое "соединение". "Таблица процессов" в этом случае имеет возможность "переполниться" намного быстрее. Есть очень грубый способ "избавляться" от "флуда запросов" - просто рестартовать веб-сервер время от времени (через crontab - к примеру). Технологии виртуализации позволяют делать "рестарт виртуальных машин" для таких случаев. ;)

[химик]

оставь, подобные рода проблемы, тем кто с этим работает

тока самый последний идиот будет делать ман ин тхе миддле в этом случае. и то если он идиот, как он его сделает?

Денис ... наиболее верояный вариант - у людей произошла компрометация административного экаунта ... как это уже второе дело ...
Вопрос стоит в том как им фиксануть проблему ...
П.С. [Men-in-the-middle] всё таки наиболее вероятный вариант

[Koza]

Химик, ВОР над вами долго смеялся, а потом сказал, что вы дурак. Впрочем, не принимайте близко к сердцу, он сказал, что кроме Дениса в этой теме пока все не в теме.

[химик]

Химик, ВОР над вами долго смеялся, а потом сказал, что вы дурак. Впрочем, не принимайте близко к сердцу, он сказал, что кроме Дениса в этой теме пока все не в теме.

Да я не обижаюсь просто не внимательно почитать на чём у этих умников форум ... а оказывается на [PHP2] ... а (чисто для шибко образованных) ... информация о сессии хранится вообше просто открытым текстовым файлом на сервере ... со всеми вытекаюшими
Собственно говоря [PHP2] тот же самый бэйсик заточенный чуть-чуть под веб а посему взмолать его может любой чайник
Так Вор может продолжать смеятся :rofl: блин умник тоже нашёлся

[crazy-mike]

Собственно говоря [PHP2] тот же самый бэйсик заточенный чуть-чуть под веб а посему взмолать его может любой чайник

safe_mode , disabled_functions , disabled_classes и ещё куча разных настроек с restricted environment - и скорее любой чайник себе носик сломает...:grum:
Там вся "безопасность" как раз и зависит от способа организации "restricted environment"...Особенно смешная ситуация получается - когда "на сайт" пытаются загружать файлы по ftp с наследуемыми атрибутами из "винды". :grum: Текстовый файл с ограниченными правами доступа на просмотр - не так уж и легко "прочитать" (если всё правильно настроено)...

[Alex_3112]

Как 2 пальца ...
проблема не в том что бы круто зашивровать кредентиалс а в том что бы использовать (в идеале конечно) больше чем [1 factor authenication]

А тогда это уже не "men-in-the-middle" тип атак.

[химик]

сафе_моде , дисаблед_фунцтионс , дисаблед_цлассес и ещё куча разных настроек с рестрицтед енвиронмент - и скорее любой чайник себе носик сломает...:грум:
Там вся "безопасность" как раз и зависит от способа организации "рестрицтед енвиронмент"...Особенно смешная ситуация получается - когда "на сайт" пытаются загружать файлы по фтп с наследуемыми атрибутами из "винды". :грум: Текстовый файл с ограниченными правами доступа на просмотр - не так уж и легко "прочитать" (если всё правильно настроено)...

Майк только не в [PHP2] ...
Алекс - я не спец по [computer forenstic] я но в круг моей експертизы входит такая вешь как [remote access] и веши относяшиеся к нему ... а посему из того что уважаемый автор рассказал в первом посте можно было сделать только очень ограниченный ряд заключений
а) админстративный экаунт был скомпрометирован ... неоднократно
б) форум работает на старом энжине
А наиболее логичный способ достичь этого [men-in-middle] если мне сильно не изменяет память то к этой же категории отностися [session hijack] .. но инфо по сессии можно было получить из отркыртого текстового файла который лежит на сервере и для этого конечно [men-in-the-middle] не является обязательным условием годится просто [social engineering]
А что касается умничся Козы в качестве пономочного (не будем углублятся в энтимологию этого слова ) представителя Вора так вместо того что бы пальцы гнуть дал бы людям совет ...
По моим каналам народ советует отмигрировать как минимум в [PHP4] .. с естественно чистой юзерской базы ..