Siberian-troll » 22 янв 2011, 18:35
От deathshadow на HMPro:
Что ж, вот вам общая ситуация и боевые планы:
Похоже, что у нас было ДВА взлома почти одновременно или наложившихся друг на друга - мерзкий и быстрый поверх медленного и коварного.
Быстрый каким-то образом сумел дать себе права админа и начал удалять юзеров ВРУЧНУЮ, и гнал mySQL команды на удаление почтовых индексов из базы данных. Те, что он не успел удалить, впрочем, мы тоже использовать не сможем. Поскольку они имели админские права, мы не можем (и не будем) доверять любому из существующих аккаунтов. Странно, но используя существующий админский пароль, они были невидимы на форуме как полключившийся ник - так что, думаю, они нашли прокол в системе безопасности, или использовали оставленную лазейку от провалившейся попытки взлома в июле (хотя мне казалось, я ее убил)... ну или... прошло ДВА ДНЯ с выпуска SMF 1.1.13, описывавших новую лазейку. (а я как раз собирался апгрейдится) Может, четырехдневное запоздание это уже слишком много?
Медленный/коварный, похоже, тишком и потихоньку изменял php файлы форума, с (как я полагал) вроде бы провалившейся атаки в конце октября, и оживился и начал действовать как раз тогда, как "шустрый" начал развлекаться.
Неясно, было ли это двумя совершенно независимыми атаками или же медленной и отлично распланированной атакой, длившейся несколько месяцев... Перебирая ежемесячные бэкапы я не склонен доверят январскому, декабрьскому и даже ноябрьскому, поскольку они все, похоже, исподволь заражены, содержа куски и обрывки предыдущих попыток взлома. ТАК ЧТО...
Я с Рипли.
Пытаясь найти в этом всем хоть что-то хорошее: раз уж мы "у разбитого корыта", то я воспользуюсь ситуацией, и переведу нас на SMF 2.0 пусть даже он пока и сырой. Я собирался дождаться окончательной версиии, но раз уж все равно придется начинать с пустого листа - пусть он будет новейшего образца.
Мне потребуется несколько дней, пока я окончательно не удовлетворюсь качеством новой системы безопасности (Народ, все могло бы быть ГОРАЗДО хуже!! Помоги нам господь, если б основной сайт работал на turdpress или boomla) после чего я заставлю админов и модеров залезть внутрь и расставить все точки над i и перечеркнуть каждую t, восстанавливая форумы и настройки. За компанию мы пересмотрим привила и определим конкретно кто за что отвечает.
Вероятно мы НЕ воскресим новые форумы до ГДЕ-ТО ПОСЛЕ ПОНЕДЕЛЬНИКА, и я очень за это извиняюсь. Увы, старые форумы начали гнить и взламываться и взламываться, и чиниться и чиниться - да как и всему прочему - после трех лет жизни им нужна была порядочная уборка. (Смотрим на все с оптимизмом!)
Буду стараться держать вас в курсе дела.
Да, и если кто знает чей IP 192.251.226.205 (он немецкий), окажите мне услугу и вставьте сапог А в задницу Б. Надо было прислушаться с словам Джорджа - я возвел несокрушимую линию стационарных укреплений вокруг сервера - и получил линию Мажино. А какой-то хитрый немец обошел ее через Бельгию.
Как кто-то сказал - "Стационарные укрепления - это памятник человеческой тупости"