- PVSM.RU - https://www.pvsm.ru -

Владельцам форумов на vBulletin — волна взломов

Недавно на сайте vBulletin.com было опубликовано [1] сообщение о вероятной подверженности эксплоитам файлов в инсталляционной папке.
Поскольку требованием безопасности форума было удалять файл install/install.php, а не всю папку install/, то все форумы указанных версий (фактически, самых свежих), в которых эта папка не удалена, подвержены риску взлома. В конце-концов эксплоит-таки был выпущен [2]. И попал в детские шаловливые ручки.

Вчера был взломан один из моих форумов на vBulletin. Спустя примерно 16 часов с момента взлома был обнаружен пользователь с правами администратора. Пользователь был тут же забанен, а мне предстояло ответить на два вопроса:

1. Что он успел натворить?
2. Кто он и что ему было нужно?

В поисках ответа на первый вопрос, я посмотрел логи действий в админке. И (о чудо! и это первый звоночек) обнаружил следы:
02:10 установка плагина (названия нет)
02:17 удаление плагина (id=1030)

В этот 7-минутный промежуток, видимо, и производились какие-то манипуляции с форумом. Однако, diff файлов и сверка БД (поверхностная, т.к. изменений за 16 часов произошло много) не дало никаких результатов. Возможно, злоумышленник не смог сделать того, зачем пришел, либо я просто не нашел ничего.

Поиски ответа на второй вопрос привели меня в Алжир, выдали всю информацию о кулхацкере, включая его реальный IP, email, аккаунты на youtube и фейсбуке, и историю его «подвигов» (см www.hack-db.com [3]).

Разве что домашнего адреса с телефоном у меня нет. Но если бы и были, я не представляю, какие действия можно предпринять в отношении него.

Главный вывод: владельцы форумов на vBulletin — удалите папку install полностью! Возможно, мне повезло (или я пока не знаю о том, что не повезло), но vbuletin.com просто кишит постами о взломах с последствиями самой различной тяжести.

P.S. Заранее прошу прощения, если написал банальщину или всем уже давно известную информацию. Просто когда попал под раздачу эксплоитов, первое желание — узнать, второе — рассказать.

Автор: psylosss

Источник [4]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/cms/43795

Ссылки в тексте:

[1] было опубликовано: http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/3991423-potential-vbulletin-exploit-vbulletin-4-1-vbulletin-5

[2] был выпущен: https://www.google.ru/?gws_rd=cr&ei=c0I7UtygF6Xy4QTj64DQBw#newwindow=1&q=vbulletin%20exploit%204.2&safe=off

[3] www.hack-db.com: http://www.hack-db.com

[4] Источник: http://habrahabr.ru/post/194462/