Поскольку требованием безопасности форума было удалять файл install/install.php, а не всю папку install/, то все форумы указанных версий (фактически, самых свежих), в которых эта папка не удалена, подвержены риску взлома. В конце-концов эксплоит-таки был выпущен. И попал в детские шаловливые ручки.
Вчера был взломан один из моих форумов на vBulletin. Спустя примерно 16 часов с момента взлома был обнаружен пользователь с правами администратора. Пользователь был тут же забанен, а мне предстояло ответить на два вопроса:
1. Что он успел натворить?
2. Кто он и что ему было нужно?
В поисках ответа на первый вопрос, я посмотрел логи действий в админке. И (о чудо! и это первый звоночек) обнаружил следы:
02:10 установка плагина (названия нет)
02:17 удаление плагина (id=1030)
В этот 7-минутный промежуток, видимо, и производились какие-то манипуляции с форумом. Однако, diff файлов и сверка БД (поверхностная, т.к. изменений за 16 часов произошло много) не дало никаких результатов. Возможно, злоумышленник не смог сделать того, зачем пришел, либо я просто не нашел ничего.
Поиски ответа на второй вопрос привели меня в Алжир, выдали всю информацию о кулхацкере, включая его реальный IP, аккаунты на youtube и фейсбуке, и историю его «подвигов» (см www.hack-db.com).
Разве что домашнего адреса с телефоном у меня нет. Но если бы и были, я не представляю, какие действия можно предпринять в отношении него.
Главный вывод: владельцы форумов на vBulletin — удалите папку install полностью! Возможно, мне повезло (или я пока не знаю о том, что не повезло), но vbuletin.com просто кишит постами о взломах с последствиями самой различной тяжести.
P.S. Заранее прошу прощения, если написал банальщину или всем уже давно известную информацию. Просто когда попал под раздачу эксплоитов, первое желание — узнать, второе — рассказать.
ссылка на оригинал статьи http://habrahabr.ru/post/194462/
Добавить комментарий