Сегодня кто-то сломал сайт. Шелл был загружен (этим все сказано), пока что логи мне не подсказали как это было сделано.

---
От 20 августа:
Видео(тутор) дружественного взлома CRACKL@B (SanyaX):
rapidshare.de/files/30130736/cracklab_is_fucked.rar.html

Дырки уже заделаны, но из видео узнаете как можно сломать IPB форумы.

Дырки уже заделаны, но из видео узнаете как можно сломать IPB форумы.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy
Самое прикольное, что опера 9 при обновлении страницы вообще слетела и закрылась, а потом ...

-----
Research is my purpose

| Сообщение посчитали полезным:

тоже самое на ИЕ

-----
TBR

| Сообщение посчитали полезным:

Не знаю в какой момент,но сайт работает устойчиво, покрайней мере у меня.

| Сообщение посчитали полезным:

Не знаю в какой момент,но сайт работает устойчиво, покрайней мере у меня.

| Сообщение посчитали полезным:

Bad_guy, трояна на главную страницу форума не прикрутили? То у меня Касперыч матерился... Правда уже не ругается.

-----
Blame the victim!

| Сообщение посчитали полезным:

Error_Log Аналагично кстати недавно сломали сайт www.wow1.ru прилипили картинку с надписью САЙТ СЛОМАН КОТЕНГОМ че ра урод такой

| Сообщение посчитали полезным:

1nn0cent пишет:
трояна на главную страницу форума не прикрутили?
ага, после "Основной форум" вставили iframe с адресом на вирь.

| Сообщение посчитали полезным:

Каспер сказал что файл по ссылке
"инфицирован Trojan-Downloader.HTML.Agent.ae"

| Сообщение посчитали полезным:

DrWeb онлайн скан с базами от 2006-08-14,23:17:22 как всегда сосет, не видя в файле ничего подозрительного

| Сообщение посчитали полезным:

да это у каспера параноя

-----
TBR

| Сообщение посчитали полезным:

Bad_guy

переходи на ASP.NET там нет дырок

-----
have a nice day

| Сообщение посчитали полезным:

Bad_guy пишет:
пока что логи мне не подсказали как это было сделано.
Кажется я догадался, хотя и плохо если ошибаюсь, но по многим критериям похоже, что был подломан хостер, потому как шелл появился из неоткуда (видимо с параллельного сломанного аккаунта). Потом был поставлен iframe юзающий эксплоит закачки трояна - видимо кому-нибудь он и скачался, у кого SP1 еще, однако iframe висел не больше получаса.

Nimnul пишет:
переходи на ASP.NET там нет дырок
боюсь хостерам это не понравится

-----
Всем не угодишь

| Сообщение посчитали полезным:

Когда ломают хостера, это может печально закончиться для хацкера. Надеюсь, хостер уже в курсе слома?

| Сообщение посчитали полезным:

Nimnul
слишком смелое утверждение =) дыры есть везде

| Сообщение посчитали полезным:

Bad_guy, я так понял, нынче актуальна смена паролей участников форума? Во избежание различных провокаций и нехорошестей.

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

Bitfry
Я думаю что в этом нет большого смысла. Потому что ломавшему челу до лампы такие дела, ему нужен траф под тронизацию, чтобы на этом зарабатывать.

-----
Всем не угодишь

| Сообщение посчитали полезным:

>>му нужен траф под тронизацию, чтобы на этом зарабатывать.
а вот каким методом дости4 ему до лампо4ки, для заливок с кряклаба могуд имхл даж и акки пробрутить

ЗЫ: у меня первая мысль была не про банальный ip reverse lookup, а про дырявость BB-кодов

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

так и вижу на заглавной странице сентябрьского ксакепа "Как мы ломали cracklab"

-----
in search of sunrise

| Сообщение посчитали полезным:

ProTeuS пишет:
для заливок с кряклаба могуд имхл даж и акки пробрутить
Не совсем понимаю о чем это.

ProTeuS пишет:
у меня первая мысль была не про банальный ip reverse lookup, а про дырявость BB-кодов
Дело в том, что чел первый раз засветился в логах зайдя с главной страницы, потом он начал вводить адреса файлов которые он явно не мог знать не видя потроха сайта, а потом уже пошло юзанье вдруг ниоткуда взявшегося шелла - очень похоже на подлом из соседнего аккаунта.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy пишет:
очень похоже на подлом из соседнего аккаунта.
это очень легко проверить самому

| Сообщение посчитали полезным:

Bad_guy пишет:
Дело в том, что чел первый раз засветился в логах зайдя с главной страницы, потом он начал вводить адреса файлов которые он явно не мог знать не видя потроха сайта
это можно сделать элементарно даже с помощью Google Hacking, либо набум (движки ведь оперсорс)

Bad_guy пишет: а потом уже пошло юзанье вдруг ниоткуда взявшегося шелла - очень похоже на подлом из соседнего аккаунта
а шеллы ниоткуда не бурется, опять таки результат нового скула (которые всегда на форуме были), ХСС, либо какой-нить дыры с атта4ами...

Если все это вместе собрать (найти потенциальную дыру, сравнить айпи, юзер-агенты зашедших в момент заливки на других форумах, реверснуть заливаемого троя), то можно найти не только канал уте4ки, а и самого горе-хаккира

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

Paxan пишет:
это очень легко проверить самому
На что ты меня толкаешь ?
ProTeuS пишет:
это можно сделать элементарно даже с помощью Google Hacking, либо набум (движки ведь оперсорс)
Нет, файлы не движковые, а мои - нечто вроде dfghj.dat и тд - и их адреса запрашивались без брута и угадывания, а сразу.
ProTeuS пишет:
а шеллы ниоткуда не бурется
Мне хочется верить что шелл скопировали с соседнего акка, да и в логах чисто (за вчера) - незнаю может уже когда раньше залили... гм хотя нет дата файла была вчерашняя.
ProTeuS пишет:
опять таки результат нового скула
Там была не инъекция а банальная правка базы через шелл я тоже сначал начал искать инъекцию.

ProTeuS пишет:
можно найти не только канал уте4ки, а и самого горе-хаккира
Да собсно он походу засветил свой реальный IPшник (пригород питера диалапный вроде) только толка мне с этого никакого.

-----
Всем не угодишь

| Сообщение посчитали полезным:

>>Да собсно он походу засветил свой реальный IPшник (пригород питера диалапный вроде) только толка >>мне с этого никакого
мдааа, к 4ему катиться мир....
если такое с4атье привалило и есть его реальный айпи, то можно пробить его по знакомым модерам на нескольких топовых хак-проэктах, даю гарантию 100%, 4то там ЕСТЬ этот айпи.
Ну эт, коне4но, если нужно разобраться в ситуации (узнать способ заливки)...

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS
Ну найдешь ты, что шел заливал некто с ником Huy, и что дальше?

| Сообщение посчитали полезным:

хехе, дальше смотрим в инфе у HUJа аську, мыло, телефон и далее уже дейтсвуем по ситуации и по потрбености
(это нужно имхо делать для дальнейшего препятствия подобным заливкам)

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

| Сообщение посчитали полезным:

ProTeuS пишет:
хехе, дальше смотрим в инфе у HUJа аську, мыло, телефон и далее уже дейтсвуем по ситуации и по потрбености

Если чел ломал сайт, я думаю инфа будет неверной!

| Сообщение посчитали полезным:

Здравсвуете люди. Протеус задал вопрос на античате кто взломал сайт. Не знаю я решил проверить и взлом получился как видите. Прошу обратиться в icq 4070080 для устранение проблемы. Жду вас....

| Сообщение посчитали полезным:

хм, а можно простым смертным будет узнать способ взлома, естественно после устранения возможности его повторения по этой технологии. Хотя бы в общих чертах (можно и не совсем в общих)?))

| Сообщение посчитали полезным:

пока что (icq 4070080) не отвечает, нашли тут топик
www.forum.antichat.ru/showthread.php?s=06b930a28f7a24d4dd4a9ca67d862649&p=182922#post182922

mrJ
После устранения конечно расскажу, только пусть мне сначала расскажут

-----
Всем не угодишь

| Сообщение посчитали полезным: