Мой форум гости спамили... не сильно... но сегодня... так засыпало, что я боялся, что сервак повиснет))
отключил форум - стало немного меньше...
возможно выставил права раньше неправильно... и в то время бэкдорами напичкали... не имеет значения причина, но выход я вижу один - переустановка
Пожалуйста, подскажите файлы конфигурации, списка юзеров и т.д. которые надо перенести на свежую установку что бы форум кроме спама не изменился
1. DreaMinder - 22 января 2010 — 14:18 - перейти к сообщению
2. electron - 22 января 2010 — 14:36 - перейти к сообщению
скорее всего не получится, т.к. многие файлы форума работают "в связке" друг с другом. выход только один - закрыть форум на профилактику, почистить ручками спамерные темы и сообщения, удалить спамеров-пользователей, потом сделать как описано в третьем посте ЭТОЙ темы (если темы открыты гостям) и только после этого снова открыть форум.
3. DreaMinder - 22 января 2010 — 15:03 - перейти к сообщению
эт плохо...
пользователей-спамеров нету, гости все мутят при том, что везде создание тем и сообщений гостям запрещено!
я то читстить могу... но при закрытом форуме сообщений просто немного меньше...
в настройках у меня все стоит в оптимальном режиме кроме "разрешить задавать пользователям себе пароль"
эх...
пользователей-спамеров нету, гости все мутят при том, что везде создание тем и сообщений гостям запрещено!
я то читстить могу... но при закрытом форуме сообщений просто немного меньше...
в настройках у меня все стоит в оптимальном режиме кроме "разрешить задавать пользователям себе пароль"
эх...
4. electron - 22 января 2010 — 15:08 - перейти к сообщению
DreaMinder пишет:
гости все мутят при том, что везде создание тем и сообщений гостям запрещено
по-моему такого в принципе не может быть. по крайней мере в последней версии форума
5. DreaMinder - 22 января 2010 — 15:49 - перейти к сообщению
у меня rc - последняя версия.... и к сожалению спамят...
раньше в основном раз в день про мобильный сканер, потом прекратилось... а сегодня 2 часа спамили... с ссылками и примерно таким текстом: jhkjhkjhe3dehdksjf
ну так я думаю, что спамят по фтп или напрямую как-нить через бекдор, который установили когда у меня было 777 на всю папку форума (1 день так простояло)
сейчас прекратиолсь... но как пересчитать количество сообщений? у меня -10 почти везде)))))
раньше в основном раз в день про мобильный сканер, потом прекратилось... а сегодня 2 часа спамили... с ссылками и примерно таким текстом: jhkjhkjhe3dehdksjf
ну так я думаю, что спамят по фтп или напрямую как-нить через бекдор, который установили когда у меня было 777 на всю папку форума (1 день так простояло)
сейчас прекратиолсь... но как пересчитать количество сообщений? у меня -10 почти везде)))))
6. electron - 22 января 2010 — 16:02 - перейти к сообщению
озвучьте адрес своего сайта
7. DreaMinder - 22 января 2010 — 16:20 - перейти к сообщению
єє.. у меня шаблон в разработке... я временно из-за глюков удалил пару ссылок форума и его частей...
через файрфокс НЕ смотреть! а то вообще мне стыдно будет)))
http://forum.novi40k.ru
здесь был замечен спамер http://forum.novi40k.ru/topic5-2.html
другие темы почистил
через файрфокс НЕ смотреть! а то вообще мне стыдно будет)))
http://forum.novi40k.ru
здесь был замечен спамер http://forum.novi40k.ru/topic5-2.html
другие темы почистил
8. electron - 22 января 2010 — 16:58 - перейти к сообщению
ну для начала.... не все темы у вас закрыты от гостей :
9. DreaMinder - 22 января 2010 — 17:09 - перейти к сообщению
ну один форум для постинга открыт, но спамят во все и оставляя темы в основном
(я ценю вашу помощь, и не собираюсь спорить... т.е. не тратьте свое время на скрины)(неудобно) )
(я ценю вашу помощь, и не собираюсь спорить... т.е. не тратьте свое время на скрины)(неудобно) )
10. electron - 22 января 2010 — 17:48 - перейти к сообщению
DreaMinder пишет:
(я ценю вашу помощь, и не собираюсь спорить... т.е. не тратьте свое время на скрины)(неудобно) )
неудобно пить вверх ногами и спать на потолке
ну в принципе, больше ничего подозрительного не увидал. критические обновления форума установлены после той даты, когда вы скачали дистрибутив?
по поводу спама : я б на вашем месте проверил бы файлы форума, да и вообще всего сайта на наличие "чужих" файлов. форум проверить проще пареной репы : открываете форум по фтп и дистрибутив в проводнике на компе и сравниваете. чужие файлы сразу покажут себя.
так же можно было бы сделать бэкап всего что есть на фтп и прогнать это антивирусом с последней антивирусной базой.
11. DreaMinder - 22 января 2010 — 18:02 - перейти к сообщению
угу, спс.. займусь проверкой) просто боюсь, что зараза сидит внутри стандартного файла который доступен на запись...
кто читает топик скажу как я сделаю:
сделаю копирование через альтернативный проводнику total comander или другой с сайта в чисто установленный скрипт и при этом отмечу "пропускать файлы совпадающее" и запомнить файлы которые копировались или посмотрю в отчет скопированных файлов
кто читает топик скажу как я сделаю:
сделаю копирование через альтернативный проводнику total comander или другой с сайта в чисто установленный скрипт и при этом отмечу "пропускать файлы совпадающее" и запомнить файлы которые копировались или посмотрю в отчет скопированных файлов
12. yura3d - 23 января 2010 — 13:34 - перейти к сообщению
DreaMinder пишет:
пользователей-спамеров нету, гости все мутят при том, что везде создание тем и сообщений гостям запрещено!
DreaMinder пишет:
но при закрытом форуме сообщений просто немного меньше...
Абсолютно согласен с electron по поводу:
electron пишет:
такого в принципе не может быть.
При закрытом форуме полностью исключается доступ ко всем функциями форума для всех пользователей (кроме администраторов форума). В Вашем случае явно имеет место брешь в безопасности на сервере, через которую и осуществляется спам в обход скриптов форума (поэтому и получается так, что защита, включённая в админке, не работает). Ну а в чём именно заключается проблема, сказать сложно, способов получения несанкционированного доступа существует масса: от вируса на Вашем компьютере, который крадёт пароли Total Commander, до залитого на сервер шелла. Также проблемы могут быть вызваны неправильной расстановкой прав доступа на файлы и папки форума, либо вирусами на самом сервере. В любом случае эта проблема непосредственно никак не связана со скриптами форума.
Отмечу также тот факт, что за год существования версии ExBB FM 1.0 RC1 не было найдено ни одного серьёзного прокола в системе безопасности форума, постоянная и стабильная работа этого форума (exbb.org) - яркое тому подтверждение.
13. DreaMinder - 23 января 2010 — 13:44 - перейти к сообщению
я не гоню на безопасность форума и в ней не сомневаюсь... начальный вопрос был в переносе файлов форума с сообщениями на новую установку (если мне запихнули бекдор, он так точно пропадет)
у меня 2 месяца назад форум простоял 1 день с открытым доступом...
мои действия:
1. еще 3 раз поменяю пароль от фтп
2. сверю вручную файлы форума
3. а лучше перенесу файлы на новую установку и переспрошу у форумчан какие?yura3d, переспрошу, как сказал мне сказали, во время жизни форума куча файлов меняется? если это не так, какие файлы нужно перенести что бы ничего не изменилось?
у меня 2 месяца назад форум простоял 1 день с открытым доступом...
мои действия:
1. еще 3 раз поменяю пароль от фтп
2. сверю вручную файлы форума
3. а лучше перенесу файлы на новую установку и переспрошу у форумчан какие?yura3d, переспрошу, как сказал мне сказали, во время жизни форума куча файлов меняется? если это не так, какие файлы нужно перенести что бы ничего не изменилось?
14. yura3d - 23 января 2010 — 13:54 - перейти к сообщению
DreaMinder пишет:
во время жизни форума куча файлов меняется?
Непосредственно сами скрипты форума, конечно же, не изменяются. Перенести данные форума на новую установку возможно. Для начала Вам нужно установить чистый форум (полностью, с запуском инсталлятора), и уже после установки скопировать в папку с новым форумом все файлы и папки со старого форума, список которых указан в вопросе Q3 из ExBB FAQ
DreaMinder пишет:
мои действия:
Ещё бы желательно проверить компьютер на вирусы (а ещё лучше, вообще не хранить пароли в Total Commander и других FTP-клиентах). Также неплохо было бы обратиться к службе поддержки хостинга (администратору сервера) с просьбой о предоставлении логов доступа к сайту за те временные интервалы, в которые происходило размещение спама на форуме. Таким образом можно будет сразу и точно определить, в чём заключается проблема. В противном случае проблема так и останется нелокализованной, и не факт, что атаке не подвергнется вновь установленный форум. Если на Вашем сайте используются другие скрипты (CMS, голосования и пр.) то очень большая вероятность, что взлом происходит из-за наличия лазеек в системе безопасности этих скриптов
15. DreaMinder - 23 января 2010 — 14:00 - перейти к сообщению
yura3d пишет:
проверить компьютер на вирусы
все чисто, каспер 2010 и файрвол outpost на стороже
yura3d пишет:
не хранить пароли в Total Commander
все пароли у меня в голове - я музыкант, играю мелодии на клаве... пароли по 15 символов и всегда в голове
yura3d пишет:
обратиться к службе поддержки хостинга
я попробую, спс, но поддержка как всегда забита
yura3d пишет:
Вашем сайте используются другие скрипты
сайт на личном php, все макс просто... никаких дыр быть не может
yura3d пишет:
Непосредственно сами скрипты форума, конечно же, не изменяются.
вот, вот за это большое спасибо