Взлом сайта на InstantCMS

Наш сайт взломан, хотив всех предупредить чтобы обязательно обновлялись!

Вам сайт взламывали?

Да
нет
не знаю
Всего 40 голосов Опрос завершён
#1 20 мая 2010 в 14:55
Сайт coolplay.ru был взломан Ярославом Викторовичем Неверо 19.05.2010 с 8.35 до 10.45 с использованием уязвимости системы управления сайтом. Уязвимость найдена и заблокирована.

Был подменен файл index.php, в котором была размещена партнерская ссылка номер 3188 (zloe-video.ru) на страницы с порнографическими материалами.

Адрес подключения к интернету Неверо Я.В.

IP 86.57.208.105 – byfly.86.57.208.105.grodno.by — провайдер БелТелеком www.beltelecom.by, Беларусь, готов сотрудничать с нами и подтвердить факт, подключения Неверо Я. В. к сети Интернет, по запросу из правоохранительных органов предоставить записи посещенных узлов сети Интернет.

Официальные записи в лог-файлах нашего провайдера:

86.57.208.105 — - [19/May/2010:08:00:21 +0400] "GET /templates/banner.php HTTP/1.1" 200 113 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.51"

93.85.9.36 — - [19/May/2010:08:35:45 +0400] "POST /templates/banner.php HTTP/1.1" 200 4956 "coolplay.ru/templates/banner.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.51"

Ярослав Виторович Неверо нарушил две статьи УК РФ.

Оригинал темы, там фотки и данные о хакере Неверо Ярославе Викторовиче.
coolplay.ru/forum/thread2550-1.html
#2 20 мая 2010 в 15:13

с использованием уязвимости системы управления сайтом.

qecz

Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.
#3 20 мая 2010 в 15:29
И кстати, сами на том форуме нарушают закон, причем не только российский, но и международный😥. Международная Конвенция о защите прав граждан при обработке их персональных данных… и Российский Федеральный закон № 152 О персональных данных. незаконный сбор систематизация, накопление, хранение, распространение персональных данных другого человека без его письменного на то согласия по форме, указанной в ФЗ (не стал дословно, дословно можно в самих этих документах почитать). Это также подпадает под действие и 272-й статьи тоже, а еще под кучу других. Так что лучше было бы убрать персональные данные, а то признает ли суд вину взломщика или нет — еще вопрос, а вот вина разместившего чужие персональные данные очевидна и легко доказуема.
#4 20 мая 2010 в 18:50

]

с использованием уязвимости системы управления сайтом.

qecz

Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.

fuze[drums

Взломали через пользователя, которого перевели в админа.

Копия сообщения из лички.

Обновляться надо. Всем удачи.

Парня спалили по ип, и мылу которое он "забыл№. Его данные взяты из открытых источников и не подпадают под действие закона. Если "баянист" пишет на стене номер телефона и я его перепечатываю. )

Копия из лички:

Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.

Лечение
1. Если вы уже обновились до 1.6.2 — скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.

Профилактика
1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.
#5 20 мая 2010 в 19:03

Официальные записи в лог-файлах нашего провайдера:

qecz
Не смешите…
#6 20 мая 2010 в 19:52


]

с использованием уязвимости системы управления сайтом.

qecz

Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.

fuze[drums

Взломали через пользователя, которого перевели в админа.

Копия сообщения из лички.

Обновляться надо. Всем удачи.

Парня спалили по ип, и мылу которое он "забыл№. Его данные взяты из открытых источников и не подпадают под действие закона. Если "баянист" пишет на стене номер телефона и я его перепечатываю. )

Копия из лички:

Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.

Лечение
1. Если вы уже обновились до 1.6.2 — скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.

Профилактика
1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.

qecz

Простите, а как можно изменить файл index.php имея права Админа на сайте?
#7 20 мая 2010 в 20:02

имея права Админа на сайте

Otus7
Только так 8))
#8 20 мая 2010 в 20:05
+5 за вопрос.
А действительно как? rofl
#9 20 мая 2010 в 20:09


имея права Админа на сайте

Otus7
Только так 8))

Gray

Это как? Можно подробнее? Я то всегда думал, что только через FTP или панель у Хостинг-Провайдера. Хочу восполнить знания.
#10 20 мая 2010 в 20:16

Взломали через пользователя, которого перевели в админа.

qecz

Ну конечно если пренебрегать очевидными средствами безопасности — защита папки /admin, а также пренебрегать советами Администратора "Урежьте права группы Администраторы", конечно Вас взломают. И здесь далеко дело на в самой ЦМС, а в том, как человек относится к своему сайту.
#11 20 мая 2010 в 20:30
Я просмотрел InstantCMS, впринципе, имея права Админа можно разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением. Попробовал на примере файла (с невредоносным кодом) с Расширением PHP.
#12 20 мая 2010 в 20:40

Я просмотрел InstantCMS, впринципе, имея права Админа можно разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением. Попробовал на примере файла (с невредоносным кодом) с Расширением PHP.

Otus7

Положите в папки /upload и /images файл .htaccess вот с таким содержанием:
  1. php_flag engine 0
  2. AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .p$
  3. RemoveType php
#13 20 мая 2010 в 20:50

]Положите в папки /upload и /images файл .htaccess вот с таким содержанием:
Код PHP:
исходный код
печать?
1 php_flag engine 0
2 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .p$
3 RemoveType php

fuze[drums

Думаю необходимо включить в Движок.
#14 20 мая 2010 в 21:28

Это как? Можно подробнее?

Otus7
На одном нашем форуме на СМФ, залили шелл и пошалили малость.

разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением.

Otus7
Вот так и залили.
#15 20 мая 2010 в 21:58

]

Взломали через пользователя, которого перевели в админа.

qecz

Ну конечно если пренебрегать очевидными средствами безопасности — защита папки /admin, а также пренебрегать советами Администратора "Урежьте права группы Администраторы", конечно Вас взломают. И здесь далеко дело на в самой ЦМС, а в том, как человек относится к своему сайту.

fuze[drums

1. Что значит защита папки админ?

2. Права группы администраторы были урезаны.

3. Проблема не в ЦМС — это 100%. Цель темы — предупредить людей, пользующихся инстантом, о том, что надо эти правила выполнять, и обновлять систему и относится к своему сайту лучше.

Если бы я обновил сайт сразу, 17.05, то 19.05 сайт не был бы взломан.
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.