phpBB 2.0.22 Вопрос защиты
 

Добрый день! Не уверен, что данная тема уместна здесь, но всеже...


Есть у меня форум, описанный в заголовке. Недавно произошл с ним неонятный случай. Кто-то сломал тацлицу юзеров. Причем она не была удалена, а на запрос к ней мускуль отвечал, что-то типа данная таблица не доступна или помечена как поврежденная (marked as crashed как-то так). Я отключил денвер и включил его только на следующий день. Вся база phpbb была удалена, но не мной))

В связи с этим вопрос: что могло вызвать такое действо и куда копать что-бы оно не повторилось.

И еще один вопрос. Я тут у вас почитал про анонимайзеры и прочее. Можно ли от него чем-нибудь спастись.

как минимум, так это обновить до 2.0.23
хотя вообще лучше поставить что-то типа вбули, или смф

а чем они лучше?))

почти непохек

:D
В плане безопасности изменение только одно:
Ранил и убил...

Это я все знаю, но за порушенную систему с хакера скальп снимут) У нас форум на локалке на работе. А работаю я на гос. предприятии)))

Так всетаки. Как проследить откуда корни растут у этого удаления.

хм. по логам?

Логи доступа апача? я там не нашел ничего странного. Может я не знаю что ищу? Не подскажите примерный вид того что надо искать)))?

А если подтерли?
shifteee, самое первое посмотри, есть ли у тебя шеллы на борту, потом уже за логи принимайся. Если потерли - обрубай интерет.
Хто-то побаловался...

Я в курсе что побаловались и знаю кто) Ибо не в первой) Можно конечно начистить рожу, но это не интересно и к дальнейшему моиму развитию не привидет. А я программированием занимаюсь как хобби. Самоучка, так сказать.

Я просмтрел файлы и кроме картинок (реально картинок) и архивов там нет. Тогда еще ваопрос. Если в присоединенную картинку или аватару забить код, будет ли оно отображаться как картинка? или мне все картинки просмотривать в блокноте?)))

Морду чистить не надо) будьте выше этого) Просто взломайте его тоже :)
Если переименовать shell.php в shell.gif будет отображаться как картинка, но превью не будет видно)
Что значит в присоединенную картинку? Если я правильно понял, можно все картинки можно попробовать открыть в блокноте.
Но опять же смысл? Обновите базу касперского и прогоните по компьютеру - так надежнее :)
Найдите файлы access.log, error_log, и скиньте на форум в архиве rar
Я посмотрю, что там. Желательно за всю неделю соберите если возможно(хз как там логируется, уже не помню.)

Встречный вопрос по залитию шелла. Имеется phpbb 2.0.22 без модов (чистый) также у меня есть дотспу в админку... (сбрутил). Как залить shell.php в папку форума. Доступа к фтп и мускулу конечно же нет. Жду дельного совета.

number0, никак нельзя залить.

Ershik, хм.. неужели безвыходная ситуация? Убитие всех юзеров и месаг не интересует...

Почему сразу безвыходная? Да, в публичном доступе нет возможности заливать шелл через phpbb 2.0.22-2.0.23
Но что если попробовать воспользоваться человеческим фактором? У тебя есть пароль? Попробуй авторизоватся с этим паролем на e-mailе настоящего администратора, может там сохранилось письмо от хостера с логинами и паролями к фтп службе.
Или попробуй авторизоватся с таким же паролем на биллинг панели..да много чего можно там попробовать сделать. Посмотри на соседних сайтах, в личках - может там пароль оставлял, у меня была ситуация, когда не знал пароля у данного человека, а находил его в личках в "отправленных" у суппорта системы.

А никто не думал, что в денвере по умолчанию к мускулю доступ root без пароля?

По умолчанию...Если ставить на локалку(дайте мне локалку, дайте!!!! =)) то логично поставить пароль)

Роешь не в ту сторону. phpbb 2.0.22 год как без дырок был, никто ничего серьезного не нашел. Если бы были сплойты в приватах, то давно бы уже всплыло в публик. В последнем обновлении до 0.23 из уязвимостей какая-то вшивая xss :)
Но я бы для страховки апачем запретил доступ в админке к БД и там к редактированию скинов. НА случай если бд портили через админку.

да, так и есть. В поддержке денвера я так и не нашел как это поменять, но я отключил доступ к мускулу с удаленного компьютера.

Если это мне, то в админке стоит htaccess c с запретом доступа всем кроме 2х компов.

Или это не спасает?

shifteee, толку от штассера, если возможно, шелл есть...
Опять же mysql клиент от rst это не остановит. Для надежности, нужно было установить пароль. Уверен в документации или на форуме Денвера этот вопрос поднимался.

Еще одно. Это не пустой форум. Там установлены моды. шутбокс, портал, галерея. Все скачано с phpguru.net

Единствонное что вызывает сомнения - это собственноручно написааный скрипт блогов. Но он фактически не работал :) Я допустил ошибку и нельзя было создавать новый блог. Добавлялись вместо блогов новые сразу сообщения, но он ничего не выводил на экан :)

функцию реал эскеп слешес не юзал :)

Поднимался, но для другой версии) Я внимательно капал, но не накопал. Шелл поищу, спасибо)

Отрыл в логах такие строчки:

172.22.12.63 - - [28/Feb/2008:13:36:04 +0400] "OPTIONS / HTTP/1.1" 200 358
172.22.12.63 - - [28/Feb/2008:13:36:04 +0400] "PROPFIND /%D1%82%D0%B7%2047%D0%BA%D1%81 HTTP/1.1" 405 2108

172.22.11.62 - - [28/Feb/2008:13:18:07 +0400] "OPTIONS / HTTP/1.1" 200 358
172.22.11.62 - - [28/Feb/2008:13:18:07 +0400] "PROPFIND /ADMIN%24 HTTP/1.1" 405 2103

Подскажите что это?