Дырку надо искать в форумном движке. Это не похоже воровство пароля.
291. Comdir - 07 Августа, 2012 - 19:17:45 - перейти к сообщению
292. Aдминиcтpaтop - 07 Августа, 2012 - 22:28:57 - перейти к сообщению
Уважаемый Comdir
Дырку я найти не в состоянии на движке форума.
Тех поддержка в лице уважаемого Mark пока мне предлагала искать вирусы на моём компьютере. Я искал. Не нашёл.
Уважаемый alpet
Если можно, подскажите, как дебилу, предельно конкретно, что за набор знаков запретить? Это я могу сам сделать.
Дырку я найти не в состоянии на движке форума.
Тех поддержка в лице уважаемого Mark пока мне предлагала искать вирусы на моём компьютере. Я искал. Не нашёл.
Уважаемый alpet
Если можно, подскажите, как дебилу, предельно конкретно, что за набор знаков запретить? Это я могу сам сделать.
293. Aлeкcaндр Клячин - 07 Августа, 2012 - 23:22:02 - перейти к сообщению
Посмотрел историю посещений.
Взломщики входят под заковыристыми никами.
Этих ников в базе данных форума не существует!
Нет таких пользователей!
А потом пишут сообщения с моими аккаунтами.
Может, это и есть дыра в движке форума?
Так что, искать чёрную кошку в моих компьютерах можно долго, потому что её там нет?
Не нужны при этом пароли. Ищут такие боты подпись "звания" - администратор и пишут свою рекламу, озаглавленную моими аккаунтами?
(Добавление)
Вот, для примера, кусок истории посещений.
Адреса участников я удалил. Простите, что не сразу, не сообразил.
Взломы(?) выделил я красным цветом:
Взломщики входят под заковыристыми никами.
Этих ников в базе данных форума не существует!
Нет таких пользователей!
А потом пишут сообщения с моими аккаунтами.
Может, это и есть дыра в движке форума?
Так что, искать чёрную кошку в моих компьютерах можно долго, потому что её там нет?
Не нужны при этом пароли. Ищут такие боты подпись "звания" - администратор и пишут свою рекламу, озаглавленную моими аккаунтами?
Вот, для примера, кусок истории посещений.
Адреса участников я удалил. Простите, что не сразу, не сообразил.
Взломы(?) выделил я красным цветом:
Цитата:
7.08.12 - 22:38:28 :: Guest :: 178.122.165.122
07.08.12 - 22:38:04 :: Huiklg :: z68Vgch1jB :: 188.123.248.103
07.08.12 - 22:38:04 :: Guest :: 188.123.248.103
07.08.12 - 22:38:03 :: Guest :: 188.123.248.103
07.08.12 - 22:37:51 :: Guest :: 95.29.112.232
07.08.12 - 22:37:43 :: Guest :: 207.46.204.233
07.08.12 - 22:37:39 :: Guest :: 65.52.104.84
07.08.12 - 22:37:37 :: Guest :: 207.46.204.233
07.08.12 - 22:37:17 :: Guest :: 94.231.36.68
07.08.12 - 22:37:02 :: Guest :: 109.61.144.164
07.08.12 - 22:36:59 :: Guest :: 94.232.23.2
07.08.12 - 22:36:53 :: Guest :: 136.169.193.187
07.08.12 - 22:36:28 :: Guest :: 178.154.243.113
07.08.12 - 22:36:26 :: Guest :: 92.100.18.78
07.08.12 - 22:36:24 :: Guest :: 66.249.72.51
07.08.12 - 22:36:20 :: Guest :: 78.154.170.147
07.08.12 - 22:36:11 :: Guest :: 80.249.82.111
07.08.12 - 22:35:54 :: Guest :: 178.154.243.113
07.08.12 - 22:35:46 :: Guest :: 66.249.66.80
07.08.12 - 22:35:38 :: Guest :: 212.86.237.254
07.08.12 - 22:35:36 :: Guest :: 65.52.104.90
07.08.12 - 22:35:17 :: Guest :: 94.45.97.91
07.08.12 - 22:35:11 :: Guest :: 66.249.66.80
07.08.12 - 22:35:06 :: Guest :: 66.249.72.51
07.08.12 - 22:34:54 :: Guest :: 195.18.12.165
07.08.12 - 22:34:48 :: Feodor ::
07.08.12 - 22:34:12 :: Guest :: 46.146.77.180
07.08.12 - 22:34:10 :: Guest :: 77.34.87.152
07.08.12 - 22:33:08 :: Guest :: 95.106.231.41
07.08.12 - 22:33:04 :: Guest :: 66.249.66.80
07.08.12 - 22:32:59 :: Guest :: 66.249.72.51
07.08.12 - 22:32:23 :: intedsamise :: WsYDCIG761 :: 31.23.172.220
07.08.12 - 22:32:18 :: Guest :: 31.23.172.220
07.08.12 - 22:32:13 :: Guest :: 46.138.167.151
07.08.12 - 22:32:12 :: Guest :: 46.109.57.2
07.08.12 - 22:32:05 :: Guest :: 46.233.214.243
07.08.12 - 22:31:44 :: Guest :: 178.234.161.200
07.08.12 - 22:31:27 :: Guest :: 188.168.210.55
07.08.12 - 22:31:13 :: Guest :: 80.249.82.111
07.08.12 - 22:31:00 :: Mark ::
07.08.12 - 22:30:56 :: Guest :: 66.249.66.80
07.08.12 - 22:30:47 :: Klimchuga ::
07.08.12 - 22:30:04 :: Guest :: 178.187.64.71
07.08.12 - 22:29:38 :: arigato ::
07.08.12 - 22:29:34 :: Guest :: 217.21.36.71
07.08.12 - 22:29:23 :: Guest :: 178.67.194.228
07.08.12 - 22:29:11 :: Guest :: 82.193.155.236
07.08.12 - 22:29:03 :: Guest :: 87.110.78.40
07.08.12 - 22:28:59 :: Illuthtak :: lydcc20091314 :: 59.57.15.88
07.08.12 - 22:28:55 :: Guest :: 91.215.220.165
07.08.12 - 22:38:04 :: Huiklg :: z68Vgch1jB :: 188.123.248.103
07.08.12 - 22:38:04 :: Guest :: 188.123.248.103
07.08.12 - 22:38:03 :: Guest :: 188.123.248.103
07.08.12 - 22:37:51 :: Guest :: 95.29.112.232
07.08.12 - 22:37:43 :: Guest :: 207.46.204.233
07.08.12 - 22:37:39 :: Guest :: 65.52.104.84
07.08.12 - 22:37:37 :: Guest :: 207.46.204.233
07.08.12 - 22:37:17 :: Guest :: 94.231.36.68
07.08.12 - 22:37:02 :: Guest :: 109.61.144.164
07.08.12 - 22:36:59 :: Guest :: 94.232.23.2
07.08.12 - 22:36:53 :: Guest :: 136.169.193.187
07.08.12 - 22:36:28 :: Guest :: 178.154.243.113
07.08.12 - 22:36:26 :: Guest :: 92.100.18.78
07.08.12 - 22:36:24 :: Guest :: 66.249.72.51
07.08.12 - 22:36:20 :: Guest :: 78.154.170.147
07.08.12 - 22:36:11 :: Guest :: 80.249.82.111
07.08.12 - 22:35:54 :: Guest :: 178.154.243.113
07.08.12 - 22:35:46 :: Guest :: 66.249.66.80
07.08.12 - 22:35:38 :: Guest :: 212.86.237.254
07.08.12 - 22:35:36 :: Guest :: 65.52.104.90
07.08.12 - 22:35:17 :: Guest :: 94.45.97.91
07.08.12 - 22:35:11 :: Guest :: 66.249.66.80
07.08.12 - 22:35:06 :: Guest :: 66.249.72.51
07.08.12 - 22:34:54 :: Guest :: 195.18.12.165
07.08.12 - 22:34:48 :: Feodor ::
07.08.12 - 22:34:12 :: Guest :: 46.146.77.180
07.08.12 - 22:34:10 :: Guest :: 77.34.87.152
07.08.12 - 22:33:08 :: Guest :: 95.106.231.41
07.08.12 - 22:33:04 :: Guest :: 66.249.66.80
07.08.12 - 22:32:59 :: Guest :: 66.249.72.51
07.08.12 - 22:32:23 :: intedsamise :: WsYDCIG761 :: 31.23.172.220
07.08.12 - 22:32:18 :: Guest :: 31.23.172.220
07.08.12 - 22:32:13 :: Guest :: 46.138.167.151
07.08.12 - 22:32:12 :: Guest :: 46.109.57.2
07.08.12 - 22:32:05 :: Guest :: 46.233.214.243
07.08.12 - 22:31:44 :: Guest :: 178.234.161.200
07.08.12 - 22:31:27 :: Guest :: 188.168.210.55
07.08.12 - 22:31:13 :: Guest :: 80.249.82.111
07.08.12 - 22:31:00 :: Mark ::
07.08.12 - 22:30:56 :: Guest :: 66.249.66.80
07.08.12 - 22:30:47 :: Klimchuga ::
07.08.12 - 22:30:04 :: Guest :: 178.187.64.71
07.08.12 - 22:29:38 :: arigato ::
07.08.12 - 22:29:34 :: Guest :: 217.21.36.71
07.08.12 - 22:29:23 :: Guest :: 178.67.194.228
07.08.12 - 22:29:11 :: Guest :: 82.193.155.236
07.08.12 - 22:29:03 :: Guest :: 87.110.78.40
07.08.12 - 22:28:59 :: Illuthtak :: lydcc20091314 :: 59.57.15.88
07.08.12 - 22:28:55 :: Guest :: 91.215.220.165
294. Aдминиcтpaтop - 08 Августа, 2012 - 03:38:32 - перейти к сообщению
I read every word... twice. I thank you both, Bill and Frank., <a href="(для просмотра ссылки Вам необходимо авторизоваться) paid for surveys online</a>, qytuwt, <a href="(для просмотра ссылки Вам необходимо авторизоваться) raw dinner recipe</a>, ujvmb, <a href="(для просмотра ссылки Вам необходимо авторизоваться) warmup reviews</a>, 8700,
295. alpet - 08 Августа, 2012 - 14:39:31 - перейти к сообщению
Aдминиcтpaтоp
Просто проверять в тексте отправляемого сообщения, наличие некоторого количества ключевых слов, внутри ссылки (тег url). Например blogspot.com, на который ссылаются в последнем посте.
Судя по количеству IP адресов, атака происходит со стороны ботнета (множества зараженных систем под контролем одного хакера). В этом случае просто бесполезно банить IP-адреса.
Взлом форума вероятен, стоит убедится об всех установленных заплатах:(для просмотра ссылки Вам необходимо авторизоваться) И если заплаты не помогают, надо связываться с разработчиками/сообществом.
Вероятно придется заменить движок с сохранением БД, если они не смогут помочь с безопасностью.
Цитата:
Если можно, подскажите, как дебилу, предельно конкретно, что за набор знаков запретить? Это я могу сам сделать.
Просто проверять в тексте отправляемого сообщения, наличие некоторого количества ключевых слов, внутри ссылки (тег url). Например blogspot.com, на который ссылаются в последнем посте.
Судя по количеству IP адресов, атака происходит со стороны ботнета (множества зараженных систем под контролем одного хакера). В этом случае просто бесполезно банить IP-адреса.
Взлом форума вероятен, стоит убедится об всех установленных заплатах:(для просмотра ссылки Вам необходимо авторизоваться) И если заплаты не помогают, надо связываться с разработчиками/сообществом.
Вероятно придется заменить движок с сохранением БД, если они не смогут помочь с безопасностью.
296. Aдминиcтpaтop - 08 Августа, 2012 - 19:23:41 - перейти к сообщению
Уважаемый alpet
Я остерегаюсь кликать по ссылкам пиратским.
В тексте сообщения нет blogspot.com\n\n(Добавление)
Я прошу уважаемого Mark сказать, есть ли возможность противодействовать данной уязвимости.\n\n(Добавление)
Лично у меня нет подготовки для решения проблемы и нет дополнительных средств для оплаты решения проблемы. Очень жаль.
Я остерегаюсь кликать по ссылкам пиратским.
В тексте сообщения нет blogspot.com\n\n
Я прошу уважаемого Mark сказать, есть ли возможность противодействовать данной уязвимости.\n\n
Лично у меня нет подготовки для решения проблемы и нет дополнительных средств для оплаты решения проблемы. Очень жаль.
297. alpet - 08 Августа, 2012 - 19:58:09 - перейти к сообщению
Администратор
Ссылка "get paid for surveys online" как раз введет на этот сайт. Действительно кликать не стоит, поскольку там аналогично может быть вредоносное ПО.
Увидеть непосредственно ссылку можно в HTML коде страницы форума, и в plain-text содержимом записи базы данных, а отлавливать надо на этапе отправки формы сообщения.
В частности можно сделать проверку в сценарии post.php, что поможет если спам-бот не пишет напрямую в БД. Могу приблизительный код набросать, однако проверить мне его никак не получится.
Намного лучше конечно произвести обновление движка форума, чтобы закрыть все известные уязвимости. Например свежий целиком релиз можно загрузить по ссылке:(для просмотра ссылки Вам необходимо авторизоваться) (Ссылки для скачивания дистрибутива ExBB FM 1.0 Final)
Или провести обновление изменившихся файлов, если вам известна точно текущая версия движка. Во всех случаях предварительно надо делать полный бэкап (резервное копирование), включая файлы базы данных.
Цитата:
Я остерегаюсь кликать по ссылкам пиратским.
В тексте сообщения нет blogspot.com
В тексте сообщения нет blogspot.com
Ссылка "get paid for surveys online" как раз введет на этот сайт. Действительно кликать не стоит, поскольку там аналогично может быть вредоносное ПО.
Увидеть непосредственно ссылку можно в HTML коде страницы форума, и в plain-text содержимом записи базы данных, а отлавливать надо на этапе отправки формы сообщения.
В частности можно сделать проверку в сценарии post.php, что поможет если спам-бот не пишет напрямую в БД. Могу приблизительный код набросать, однако проверить мне его никак не получится.
Намного лучше конечно произвести обновление движка форума, чтобы закрыть все известные уязвимости. Например свежий целиком релиз можно загрузить по ссылке:(для просмотра ссылки Вам необходимо авторизоваться) (Ссылки для скачивания дистрибутива ExBB FM 1.0 Final)
Или провести обновление изменившихся файлов, если вам известна точно текущая версия движка. Во всех случаях предварительно надо делать полный бэкап (резервное копирование), включая файлы базы данных.
298. Aдминиcтpaтop - 08 Августа, 2012 - 21:42:16 - перейти к сообщению
Спасибо.
У меня не хватает подготовки для такого вмешательства.
Я даже плохо понимаю, что Вы сказали.\n\n(Добавление)
В общих чертах понимаю. Но выполнить конкретные действия опасаюсь.
У меня не хватает подготовки для такого вмешательства.
Я даже плохо понимаю, что Вы сказали.\n\n
В общих чертах понимаю. Но выполнить конкретные действия опасаюсь.
299. Comdir - 08 Августа, 2012 - 22:29:27 - перейти к сообщению
Среди форумчан разве не найдется одного грамотного в этих вопросах человека? Который смог бы, скачав все необходимые обновления форумного движка, договориться с Администратором и разово поучаствовать? Сделать бэкап, поставить новый движок, восстановить на нем базу данных. Лично я не обладаю такой квалификацией, но кто-то же обладает!
Дальнейшее сопровождение форума уже будет не столь сложной процедурой, как ревизия и апдейт его движка.
Чтобы не ограничиваться одними ля-ля, готов поучаствовать финансово. Возможно, лицензия на новый движок платная? Да и на организацию таких работ понадобятся деньги.
Прошу админа указать, каким способом ему удобно получить взнос на обновление и защиту форума. Форум входит в круг моих интересов, это общение с единомышленниками, и я готов участвовать в его поддержании.
Дальнейшее сопровождение форума уже будет не столь сложной процедурой, как ревизия и апдейт его движка.
Чтобы не ограничиваться одними ля-ля, готов поучаствовать финансово. Возможно, лицензия на новый движок платная? Да и на организацию таких работ понадобятся деньги.
Прошу админа указать, каким способом ему удобно получить взнос на обновление и защиту форума. Форум входит в круг моих интересов, это общение с единомышленниками, и я готов участвовать в его поддержании.
300. Aдминиcтpaтop - 08 Августа, 2012 - 23:11:50 - перейти к сообщению
Уважаемый Comdir
Очень благодарен Вам за желание помочь.
По идее, есть вероятность, что сможет помочь Mark.
Если не сможет, тогда обсудим.
Может, так оставить? Взломщики не активны.
У нас масса проблем в работе, не только с форумом. Экономические и идеологические условия остро против нас.
Если работа рухнет, то и форум не станет интересен. Что с "бывшими" разработчиками говорить?
Очень благодарен Вам за желание помочь.
По идее, есть вероятность, что сможет помочь Mark.
Если не сможет, тогда обсудим.
Может, так оставить? Взломщики не активны.
У нас масса проблем в работе, не только с форумом. Экономические и идеологические условия остро против нас.
Если работа рухнет, то и форум не станет интересен. Что с "бывшими" разработчиками говорить?