Сайт coolplay.ru был взломан Ярославом Викторовичем Неверо 19.05.2010 с 8.35 до 10.45 с использованием уязвимости системы управления сайтом. Уязвимость найдена и заблокирована.
Был подменен файл index.php, в котором была размещена партнерская ссылка номер 3188 (zloe-video.ru) на страницы с порнографическими материалами.
Адрес подключения к интернету Неверо Я.В.
IP 86.57.208.105 – byfly.86.57.208.105.grodno.by — провайдер БелТелеком www.beltelecom.by, Беларусь, готов сотрудничать с нами и подтвердить факт, подключения Неверо Я. В. к сети Интернет, по запросу из правоохранительных органов предоставить записи посещенных узлов сети Интернет.
Официальные записи в лог-файлах нашего провайдера:
86.57.208.105 — - [19/May/2010:08:00:21 +0400] "GET /templates/banner.php HTTP/1.1" 200 113 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.51"
93.85.9.36 — - [19/May/2010:08:35:45 +0400] "POST /templates/banner.php HTTP/1.1" 200 4956 "coolplay.ru/templates/banner.php" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.51"
Ярослав Виторович Неверо нарушил две статьи УК РФ.
Оригинал темы, там фотки и данные о хакере Неверо Ярославе Викторовиче.
coolplay.ru/forum/thread2550-1.html
Наш сайт взломан, хотив всех предупредить чтобы обязательно обновлялись!
Вам сайт взламывали?
Да
нет
не знаю
Всего 40 голосов
Опрос завершён
#1
20 мая 2010 в 14:55
#2
20 мая 2010 в 15:13
с использованием уязвимости системы управления сайтом.
Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.
И кстати, сами на том форуме нарушают закон, причем не только российский, но и международный😥. Международная Конвенция о защите прав граждан при обработке их персональных данных… и Российский Федеральный закон № 152 О персональных данных. незаконный сбор систематизация, накопление, хранение, распространение персональных данных другого человека без его письменного на то согласия по форме, указанной в ФЗ (не стал дословно, дословно можно в самих этих документах почитать). Это также подпадает под действие и 272-й статьи тоже, а еще под кучу других. Так что лучше было бы убрать персональные данные, а то признает ли суд вину взломщика или нет — еще вопрос, а вот вина разместившего чужие персональные данные очевидна и легко доказуема.
Сегодня в 11:26
#4
20 мая 2010 в 18:50
]
с использованием уязвимости системы управления сайтом.
Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.
Взломали через пользователя, которого перевели в админа.
Копия сообщения из лички.
Обновляться надо. Всем удачи.
Парня спалили по ип, и мылу которое он "забыл№. Его данные взяты из открытых источников и не подпадают под действие закона. Если "баянист" пишет на стене номер телефона и я его перепечатываю. )
Копия из лички:
Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.
Лечение
1. Если вы уже обновились до 1.6.2 — скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.
Профилактика
1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.
#5
20 мая 2010 в 19:03
Не смешите…Официальные записи в лог-файлах нашего провайдера:
#6
20 мая 2010 в 19:52
]
с использованием уязвимости системы управления сайтом.
Интересно, какой уязвимости?
И что то я в этом очень сомневаюсь))) Скорее ФТП акнул или ssh, короче сам сервер, это мое имхо.
Взломали через пользователя, которого перевели в админа.
Копия сообщения из лички.
Обновляться надо. Всем удачи.
Парня спалили по ип, и мылу которое он "забыл№. Его данные взяты из открытых источников и не подпадают под действие закона. Если "баянист" пишет на стене номер телефона и я его перепечатываю. )
Копия из лички:
Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.
Лечение
1. Если вы уже обновились до 1.6.2 — скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.
Профилактика
1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.
Простите, а как можно изменить файл index.php имея права Админа на сайте?
#7
20 мая 2010 в 20:02
Только так 8))имея права Админа на сайте
#8
20 мая 2010 в 20:05
+5 за вопрос.
А действительно как?
А действительно как?
#9
20 мая 2010 в 20:09
Только так 8))имея права Админа на сайте
Это как? Можно подробнее? Я то всегда думал, что только через FTP или панель у Хостинг-Провайдера. Хочу восполнить знания.
#10
20 мая 2010 в 20:16
Взломали через пользователя, которого перевели в админа.
Ну конечно если пренебрегать очевидными средствами безопасности — защита папки /admin, а также пренебрегать советами Администратора "Урежьте права группы Администраторы", конечно Вас взломают. И здесь далеко дело на в самой ЦМС, а в том, как человек относится к своему сайту.
Я просмотрел InstantCMS, впринципе, имея права Админа можно разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением. Попробовал на примере файла (с невредоносным кодом) с Расширением PHP.
#12
20 мая 2010 в 20:40
Я просмотрел InstantCMS, впринципе, имея права Админа можно разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением. Попробовал на примере файла (с невредоносным кодом) с Расширением PHP.
Положите в папки /upload и /images файл .htaccess вот с таким содержанием:
#13
20 мая 2010 в 20:50
]Положите в папки /upload и /images файл .htaccess вот с таким содержанием:
Код PHP:
исходный код
печать?
1 php_flag engine 0
2 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .p$
3 RemoveType php
Думаю необходимо включить в Движок.
#14
20 мая 2010 в 21:28
На одном нашем форуме на СМФ, залили шелл и пошалили малость.Это как? Можно подробнее?
Вот так и залили.разрешить прикреплять к сообщению в Форуме совершенно любой файл, с любым расширением.
#15
20 мая 2010 в 21:58
]
Взломали через пользователя, которого перевели в админа.
Ну конечно если пренебрегать очевидными средствами безопасности — защита папки /admin, а также пренебрегать советами Администратора "Урежьте права группы Администраторы", конечно Вас взломают. И здесь далеко дело на в самой ЦМС, а в том, как человек относится к своему сайту.
1. Что значит защита папки админ?
2. Права группы администраторы были урезаны.
3. Проблема не в ЦМС — это 100%. Цель темы — предупредить людей, пользующихся инстантом, о том, что надо эти правила выполнять, и обновлять систему и относится к своему сайту лучше.
Если бы я обновил сайт сразу, 17.05, то 19.05 сайт не был бы взломан.