Добрый день! Не уверен, что данная тема уместна здесь, но всеже...


Есть у меня форум, описанный в заголовке. Недавно произошл с ним неонятный случай. Кто-то сломал тацлицу юзеров. Причем она не была удалена, а на запрос к ней мускуль отвечал, что-то типа данная таблица не доступна или помечена как поврежденная (marked as crashed как-то так). Я отключил денвер и включил его только на следующий день. Вся база phpbb была удалена, но не мной))

В связи с этим вопрос: что могло вызвать такое действо и куда копать что-бы оно не повторилось.

И еще один вопрос. Я тут у вас почитал про анонимайзеры и прочее. Можно ли от него чем-нибудь спастись.

как минимум, так это обновить до 2.0.23
хотя вообще лучше поставить что-то типа вбули, или смф

а чем они лучше?))

почти непохек

как минимум, так это обновить до 2.0.23
хотя вообще лучше поставить что-то типа вбули, или смф
:D
В плане безопасности изменение только одно:
[По части безопасности] Исправлена возможная XSRF-уязвимость в ЛС и обработке групп
Я отключил денвер и включил его только на следующий день. Вся база phpbb была удалена, но не мной))
Ранил и убил...
Помните: Денвер - это инструмент разработчика, а не средство хостинга. Несмотря на то, что проекты в Денвере можно открыть для всеобщего доступа, мы категорически не рекомендуем это делать. Дело тут в безопасности: Денвер, как правило, запускается с правами Администратора, а значит, скрипты, запущенные под его управлением, могут делать на машине все, что угодно. Малейшая "дыра" в безопасности скрипта откроет хакеру доступ к вашей машине.

Авторы Денвера не несут ответственности за любые разрушения, причиненные хакерами тем, кто открыл Денвер наружу и по неосторожности допустил в своих скриптах уязвимость в безопасности.

Это я все знаю, но за порушенную систему с хакера скальп снимут) У нас форум на локалке на работе. А работаю я на гос. предприятии)))

Так всетаки. Как проследить откуда корни растут у этого удаления.

хм. по логам?

Логи доступа апача? я там не нашел ничего странного. Может я не знаю что ищу? Не подскажите примерный вид того что надо искать)))?

А если подтерли?
shifteee, самое первое посмотри, есть ли у тебя шеллы на борту, потом уже за логи принимайся. Если потерли - обрубай интерет.
У нас форум на локалке на работе. А работаю я на гос. предприятии)))
Хто-то побаловался...

Я в курсе что побаловались и знаю кто) Ибо не в первой) Можно конечно начистить рожу, но это не интересно и к дальнейшему моиму развитию не привидет. А я программированием занимаюсь как хобби. Самоучка, так сказать.

Я просмтрел файлы и кроме картинок (реально картинок) и архивов там нет. Тогда еще ваопрос. Если в присоединенную картинку или аватару забить код, будет ли оно отображаться как картинка? или мне все картинки просмотривать в блокноте?)))

Морду чистить не надо) будьте выше этого) Просто взломайте его тоже :)
Если переименовать shell.php в shell.gif будет отображаться как картинка, но превью не будет видно)
Что значит в присоединенную картинку? Если я правильно понял, можно все картинки можно попробовать открыть в блокноте.
Но опять же смысл? Обновите базу касперского и прогоните по компьютеру - так надежнее :)
Логи доступа апача? я там не нашел ничего странного. Может я не знаю что ищу? Не подскажите примерный вид того что надо искать)))?
Найдите файлы access.log, error_log, и скиньте на форум в архиве rar
Я посмотрю, что там. Желательно за всю неделю соберите если возможно(хз как там логируется, уже не помню.)

Встречный вопрос по залитию шелла. Имеется phpbb 2.0.22 без модов (чистый) также у меня есть дотспу в админку... (сбрутил). Как залить shell.php в папку форума. Доступа к фтп и мускулу конечно же нет. Жду дельного совета.

number0, никак нельзя залить.

Ershik, хм.. неужели безвыходная ситуация? Убитие всех юзеров и месаг не интересует...

Почему сразу безвыходная? Да, в публичном доступе нет возможности заливать шелл через phpbb 2.0.22-2.0.23
Но что если попробовать воспользоваться человеческим фактором? У тебя есть пароль? Попробуй авторизоватся с этим паролем на e-mailе настоящего администратора, может там сохранилось письмо от хостера с логинами и паролями к фтп службе.
Или попробуй авторизоватся с таким же паролем на биллинг панели..да много чего можно там попробовать сделать. Посмотри на соседних сайтах, в личках - может там пароль оставлял, у меня была ситуация, когда не знал пароля у данного человека, а находил его в личках в "отправленных" у суппорта системы.

А никто не думал, что в денвере по умолчанию к мускулю доступ root без пароля?

По умолчанию...Если ставить на локалку(дайте мне локалку, дайте!!!! =)) то логично поставить пароль)

Роешь не в ту сторону. phpbb 2.0.22 год как без дырок был, никто ничего серьезного не нашел. Если бы были сплойты в приватах, то давно бы уже всплыло в публик. В последнем обновлении до 0.23 из уязвимостей какая-то вшивая xss :)
Но я бы для страховки апачем запретил доступ в админке к БД и там к редактированию скинов. НА случай если бд портили через админку.

А никто не думал, что в денвере по умолчанию к мускулю доступ root без пароля?

да, так и есть. В поддержке денвера я так и не нашел как это поменять, но я отключил доступ к мускулу с удаленного компьютера.

Роешь не в ту сторону. phpbb 2.0.22 год как без дырок был, никто ничего серьезного не нашел. Если бы были сплойты в приватах, то давно бы уже всплыло в публик. В последнем обновлении до 0.23 из уязвимостей какая-то вшивая xss :)
Но я бы для страховки апачем запретил доступ в админке к БД и там к редактированию скинов. НА случай если бд портили через админку.

Если это мне, то в админке стоит htaccess c с запретом доступа всем кроме 2х компов.

Или это не спасает?

shifteee, толку от штассера, если возможно, шелл есть...
...но я отключил доступ к мускулу с удаленного компьютера.
Опять же mysql клиент от rst это не остановит. Для надежности, нужно было установить пароль. Уверен в документации или на форуме Денвера этот вопрос поднимался.

Еще одно. Это не пустой форум. Там установлены моды. шутбокс, портал, галерея. Все скачано с phpguru.net

Единствонное что вызывает сомнения - это собственноручно написааный скрипт блогов. Но он фактически не работал :) Я допустил ошибку и нельзя было создавать новый блог. Добавлялись вместо блогов новые сразу сообщения, но он ничего не выводил на экан :)

функцию реал эскеп слешес не юзал :)

shifteee, толку от штассера, если возможно, шелл есть...

Опять же mysql клиент от rst это не остановит. Для надежности, нужно было установить пароль. Уверен в документации или на форуме Денвера этот вопрос поднимался.

Поднимался, но для другой версии) Я внимательно капал, но не накопал. Шелл поищу, спасибо)

Отрыл в логах такие строчки:

172.22.12.63 - - [28/Feb/2008:13:36:04 +0400] "OPTIONS / HTTP/1.1" 200 358
172.22.12.63 - - [28/Feb/2008:13:36:04 +0400] "PROPFIND /%D1%82%D0%B7%2047%D0%BA%D1%81 HTTP/1.1" 405 2108

172.22.11.62 - - [28/Feb/2008:13:18:07 +0400] "OPTIONS / HTTP/1.1" 200 358
172.22.11.62 - - [28/Feb/2008:13:18:07 +0400] "PROPFIND /ADMIN%24 HTTP/1.1" 405 2103

Подскажите что это?