Взлом сайта на InstantCMS

Наш сайт взломан, хотив всех предупредить чтобы обязательно обновлялись!

 
Вам сайт взламывали?
Для голосования необходима регистрация на сайте
Всего голосов: 54
Дата окончания опроса: 05-11-2012
Опрос закончен.
Посетитель
small user social cms
Сообщений: 63
Сайт coolplay.ru был взломан Ярославом Викторовичем Неверо 19.05.2010 с 8.35 до 10.45 с использованием уязвимости системы управления сайтом. Уязвимость найдена и заблокирована.

Был подменен файл index.php, в котором была размещена партнерская ссылка номер 3188 (zloe-video.ru) на страницы с порнографическими материалами.

Адрес подключения к интернету Неверо Я.В.

IP 86.57.208.105 – byfly.86.57.208.105.grodno.by - провайдер БелТелеком www.beltelecom.by, Беларусь, готов сотрудничать с нами и подтвердить факт, подключения Неверо Я. В. к сети Интернет, по запросу из правоохранительных органов предоставить записи посещенных узлов сети Интернет.

Официальные записи в лог-файлах нашего провайдера:

86.57.208.105 - - [19/May/2010:08:00:21 +0400] "GET /templates/banner.php HTTP/1.1" 200 113 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.51"

93.85.9.36 - - [19/May/2010:08:35:45 +0400] "POST /templates/banner.php HTTP/1.1" 200 4956 "http://coolplay.ru/templates/banner.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.51"

Ярослав Виторович Неверо нарушил две статьи УК РФ.

Оригинал темы, там фотки и данные о хакере Неверо Ярославе Викторовиче.
http://coolplay.ru/forum/thread2550-1.html
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4729
qecz:
с использованием уязвимости системы управления сайтом.

Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Реклама
cms
Модератор
small user social cms
МедальПочетный тестер InstantCmsКубок зрительских симпатий
Сообщений: 710
И кстати, сами на том форуме нарушают закон, причем не только российский, но и международный sad . Международная Конвенция о защите прав граждан при обработке их персональных данных... и Российский Федеральный закон № 152 О персональных данных. незаконный сбор систематизация, накопление, хранение, распространение персональных данных другого человека без его письменного на то согласия по форме, указанной в ФЗ (не стал дословно, дословно можно в самих этих документах почитать). Это также подпадает под действие и 272-й статьи тоже, а еще под кучу других. Так что лучше было бы убрать персональные данные, а то признает ли суд вину взломщика или нет - еще вопрос, а вот вина разместившего чужие персональные данные очевидна и легко доказуема.
Редактировалось: 1 раз (Последний: 20 мая 2010 в 15:30)
И тогда, все будет так, как должно было бы быть..., даже если все будет наоборот...
Посетитель
small user social cms
Сообщений: 63
fuze[drums:
]
qecz:
с использованием уязвимости системы управления сайтом.

Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.

Взломали через пользователя, которого перевели в админа.

Копия сообщения из лички.

Обновляться надо. Всем удачи.

Парня спалили по ип, и мылу которое он "забыл№. Его данные взяты из открытых источников и не подпадают под действие закона. Если "баянист" пишет на стене номер телефона и я его перепечатываю. )

Копия из лички:

Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.

Лечение
1. Если вы уже обновились до 1.6.2 - скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.

Профилактика
1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.
Посетитель
small user social cms
МедальКубок зрительских симпатийСамый позитивный участник форума!Золотая медаль имени ЛезгинкиАвторитет форума
Сообщений: 1778
qecz:
Официальные записи в лог-файлах нашего провайдера:
Не смешите...
Все не то, чем кажется и не наоборот...
Посетитель
small user social cms
Медаль
Сообщений: 119
qecz:

fuze[drums:
]
qecz:
с использованием уязвимости системы управления сайтом.

Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.

Взломали через пользователя, которого перевели в админа.

Копия сообщения из лички.

Обновляться надо. Всем удачи.

Парня спалили по ип, и мылу которое он "забыл№. Его данные взяты из открытых источников и не подпадают под действие закона. Если "баянист" пишет на стене номер телефона и я его перепечатываю. )

Копия из лички:

Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.

Лечение
1. Если вы уже обновились до 1.6.2 - скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.

Профилактика
1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.

Простите, а как можно изменить файл index.php имея права Админа на сайте?
Посетитель
small user social cms
МедальКубок зрительских симпатийСамый позитивный участник форума!Золотая медаль имени ЛезгинкиАвторитет форума
Сообщений: 1778
Otus7:
имея права Админа на сайте
Только так 8))
Все не то, чем кажется и не наоборот...
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 439
+5 за вопрос.
А действительно как? rofl
Посетитель
small user social cms
Медаль
Сообщений: 119
Gray:

Otus7:
имея права Админа на сайте
Только так 8))

Это как? Можно подробнее? Я то всегда думал, что только через FTP или панель у Хостинг-Провайдера. Хочу восполнить знания.
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4729
qecz:
Взломали через пользователя, которого перевели в админа.

Ну конечно если пренебрегать очевидными средствами безопасности - защита папки /admin, а также пренебрегать советами Администратора "Урежьте права группы Администраторы", конечно Вас взломают. И здесь далеко дело на в самой ЦМС, а в том, как человек относится к своему сайту.
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 119
Я просмотрел InstantCMS, впринципе, имея права Админа можно разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением. Попробовал на примере файла (с невредоносным кодом) с Расширением PHP.
Редактировалось: 1 раз (Последний: 20 мая 2010 в 20:33)
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4729
Otus7:
Я просмотрел InstantCMS, впринципе, имея права Админа можно разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением. Попробовал на примере файла (с невредоносным кодом) с Расширением PHP.

Положите в папки /upload и /images файл .htaccess вот с таким содержанием:
Код PHP:
  1. php_flag engine 0
  2. AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .p$
  3. RemoveType php
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
Медаль
Сообщений: 119
fuze[drums:
]Положите в папки /upload и /images файл .htaccess вот с таким содержанием:
Код PHP:
исходный код
печать?
1 php_flag engine 0
2 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .p$
3 RemoveType php

Думаю необходимо включить в Движок.
Посетитель
small user social cms
МедальКубок зрительских симпатийСамый позитивный участник форума!Золотая медаль имени ЛезгинкиАвторитет форума
Сообщений: 1778
Otus7:
Это как? Можно подробнее?
На одном нашем форуме на СМФ, залили шелл и пошалили малость.
Otus7:
разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением.
Вот так и залили.
Все не то, чем кажется и не наоборот...
Посетитель
small user social cms
Сообщений: 63
fuze[drums:
]
qecz:
Взломали через пользователя, которого перевели в админа.

Ну конечно если пренебрегать очевидными средствами безопасности - защита папки /admin, а также пренебрегать советами Администратора "Урежьте права группы Администраторы", конечно Вас взломают. И здесь далеко дело на в самой ЦМС, а в том, как человек относится к своему сайту.

1. Что значит защита папки админ?

2. Права группы администраторы были урезаны.

3. Проблема не в ЦМС - это 100%. Цель темы - предупредить людей, пользующихся инстантом, о том, что надо эти правила выполнять, и обновлять систему и относится к своему сайту лучше.

Если бы я обновил сайт сразу, 17.05, то 19.05 сайт не был бы взломан.
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.