Форум вебмастеров

Уязвимости vBulletin Защити свой форум от взлома

Ответ
 
LinkBack Опции темы
Старый 24.06.2013, 23:02 #1 (Ссылка)
Администратор
Дополнительная информация
Восклицание

Взлом vBulletin через htaccess


Еще одна тема обзора уязвимостей, с которой столкнулся совсем недавно. Это взлом воблы и перенаправление трафика через .htaccess.

Первый признак, что с вашим форумом что-то не так - это исчезновение трафика с Яндекса.

Чтобы кто ни говорил, а именно Яндекс реагирует самый первый, если ваш форум заболел.

Итак, мы имеем пациента vBulletin 3.8.5 с установленным и пропатченным vbSEO. Форум хостится на шаред хостинге в Германии, и Яндекс обнаружил на форуме вредоносный код.

Интересный момент:
Сегодня проверка Яндекса вредоносный код показывает, завтра видит форум чистым. И так несколько раз подряд.

Что же на самом деле случилось с форумом, и почему он "угрожает безопасности вашего компьютера"? Именно такая надпись появляется, если просто забить URL в поисковую строку Яндекса.

Беглый обзор файлов в файловой системе по последним изменениям не дал ничего интересного. Все изменения были произведены достаточно давно: в феврале, а то еще и позже, но просмотр .htaccess в корневой папке показал, что туда злоумышленник прописал следующие строки:

Код:

Блок отключен
То есть в результате мы имеем следующее. При посещении вашего форума с компьютера не происходит абсолютно ничего. Как только пользователь переходит с мобильного устройства, его с вашего форума перекидывает на те пару сайтов, что мы видим в коде выше.


Теперь немного отвлечемся и я вкратце расскажу зачем это кому-то нужно.

Собственно сам ваш форум никому не нужен. Злоумышленнику важен трафик вашего форума, и если он достаточно большой, и если ваш форум посещают часто с мобильных устройств, то для них это золотое дно. Пользователь, зайдя на ваш форум со смартфона, вместо общения с вашими пользователями попадает на левый сайт, который предлагает, например обновить флэш плеер, или что-то еще. После обновления у вас на мобильном устройстве появляется вирус, который списывает деньги со счета. В одних случаях это немного, в других порядка 490 руб и выше. 490 руб это средняя планка.

В некоторых случаях сам взлом происходит через уязвимости самого движка, хаков, модулей и тд. Как мы помним истории периодически потрясают Рунет. Например, пациент мог быть вполне взломан во время той истории https://wmboard.net/uyazvimosti-vbul...ost-vbseo.html , и как выяснилось пропатчен форум был не до конца. Но, существует и иной вариант.

Многие форумы хостятся на шаред хостинге. То есть получается что на одном сервере уютно живет множество сайтов. 200, 300 и более. Все сайты разные, работают на самых разных движках, защищенных и нет, и если хостер не очень сильно заботится о безопасности, то через уязвимость на одном из них злоумышленник получает доступ к phpMyAdmin.
Лично у меня были несколько случаев взлома сайтов через Директ Админ.

Как лечить?
  • Проверить наличие изменений в файловой системе по дате. Если изменения есть, но вы ничего не меняли, заменить файлы из дистрибутива.
  • Проверить исходный код страницы форума на наличие сторонних скриптов, или непонятного кода.
  • В данном случае проверить ВСЕ файлы .htaccess форума. Как правило они изменяются все.
  • Сменить пароли на FTF, пароли базы данных, пароли панели управления хостинга, админские пароли.

Возможно сменить хостинг.
Veter вне форума   Ответить с цитированиемОтветить с цитированием
5 пользователя(ей) сказали cпасибо:
Helenka (25.06.2013), lukamal (25.06.2013), Sayf (25.06.2013), Ночная странница (25.08.2013), Прометей (25.06.2013)

Старый 25.06.2013, 00:43 #2 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Спасибо, хорошая статья. Сам столкнулся с этим полтора года тому назад. Было всё так, как Вы пишите: человек пытался зайти на форум с мобильного устройства и его просили обновить флеш плеер. Скачав файл js и запустив его он потерял 500 руб. При анализе были обнаружены изменения в файлах хотгагес.
Прометей вне форума   Ответить с цитированиемОтветить с цитированием

Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Взлом сайта на WordPress Allex WordPress 34 07.09.2019 07:34
Помогите с htaccess! gangster33 Вопросы от новичков 1 16.11.2016 16:21
Смена пароля на vBulletin через phpMyAdmin Ladomir vBulletin 7 12.01.2016 21:42
Перенаправление .htaccess Pumpkin Вопросы от новичков 2 27.07.2012 17:36
Перенаправления через .htaccess batman vBulletin 12 17.04.2012 22:33


Текущее время: 07:24. Часовой пояс GMT +3.

Powered by vBulletin®
Copyright ©2000 - 2022, WMboard.
Перевод: zCarot
 

Форум вебмастеров

Здесь делают сайты, учатся на них зарабатывать. Ты новичок, и ничего не понимаешь в создании сайтов и в интернет заработке? Не знаешь ответа на вопрос по сайтостроению? Мучают вопросы сео оптимизации?

Не беда, присоединяйся к сообществу вебмастеров, и зарабатывай вместе с нами!