Взлом - форум полностью удален вместе с базой

[pligin]

Всем привет.
Сегодня в 17.46 GMT+3 был полностью удален мой форум. Также была удалена база.
Из следов нашел в логах обращение GET и POST одного IP к файлу z.php в корне сайта.
Форум бесперебойно работал с декабря 2015 года.
Мой форум

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Если есть желающие исследовать, предоставлю любые данные вплоть до root доступа к серверу.

 

[NightWos]

Всем привет.
Сегодня в 17.46 GMT+3 был полностью удален мой форум. Также была удалена база.
Из следов нашел в логах обращение GET и POST одного IP к файлу z.php в корне сайта.
Форум бесперебойно работал с декабря 2015 года.
Мой форум

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Если есть желающие исследовать, предоставлю любые данные вплоть до root доступа к серверу.

А что у вас делают странные файлы на сервере ?
Как из вариантов, возможно у Вас шаред хостинг, либо вы рядом со своим "контейнером" дали "другу" место на хостинге создав ему ftp аккаунт и прикрепив домен. Есть уязвимость (если честно забыл как называется) которая дает доступ к каталогам выше и злоумышленник с лёгкостью мог залить свой "шелл".

 

[pligin]

А что у вас делают странные файлы на сервере ?

Туда еще загрузили кое-что
в корне форума есть папка ny_garlands
в логах постоянно следующее

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[NightWos]

Туда еще загрузили кое-что
в корне форума есть папка ny_garlands
в логах постоянно следующее

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Обновил сообщение выше, почитайте и дайте ответ )

 

[Slowpoked]

Если я правильно понимаю, Вы готовы сейчас предоставить доступ любому пользователю? И неважно, что будет.

 

[pligin]

Обновил сообщение выше, почитайте и дайте ответ )

ответ я дал сообщением выше

Если я правильно понимаю, Вы готовы сейчас предоставить доступ любому пользователю? И неважно, что будет.

да. мне интересно когда и как загрузили adminer-4.3.1-en.php

 

[Slowpoked]

pligin, в таком случае, мне жаль Ваших пользователей.

P.S. Ждем слив БД от "помощников".

 

[pligin]

pligin, в таком случае, мне жаль Ваших пользователей.

P.S. Ждем слив БД от "помощников".

слили только таблицу xf_user
чем могут навредить моим пользователям?

 

[Mirovinger]

Полностью, или бэкап присутствовал ранее?

 

[tnAnGel]

слили только таблицу xf_user
чем могут навредить моим пользователям?

Пока нет возможности посмотреть что там содержится, но однозначно оповестить пользователей и сбросить пароли юзеров нужно первостепенно.

 

[Mirovinger]

Данные пользователей там, но не все, хэши паролей не там хранятся, но нет гарантий, что только ту таблицу утянули.

 

[pligin]

Данные пользователей там, но не все, хэши паролей не там хранятся, но нет гарантий, что только ту таблицу утянули.

по логам смотрел - слили только ту таблицу...

Полностью, или бэкап присутствовал ранее?

удалили папку public_html... естественно бэкапы делаются три раза в сутки и хранятся в облаке... но на восстановление нужно потратить минут 10...
и, как вчера, в тот самый момент, когда форум уничтожали я пошел прогуляться - в итоге форум не работал 2,5 часа...
нужно будет сделать оповещение о доступности форума...

И причиной стала папка без пустого index либо .htaccess, и этой папой была, сука, папка расширения новогодняя гирлянда, которую ставил для НГ 2016... именно дополнение я удалил, а папка осталась в корне вместе с "говном" своим...

 

[Captain]

Вывод один понакачают [А по щам?]ни с левых сайтов.

 

[кот]

естественно бэкапы делаются три раза в сутки и хранятся в облаке..

Как настроили?

 

[bphmth]

Как настроили?

например в ISPManager в разделе инструментов, есть "резервные копии", в настройках где можно выбрать тип хранилища, базы данных которые будут сохраняться (или исключить ненужные) и т.д. и т.п.

 

[pligin]

Как настроили?

Вариантов создания бэкапов на удаленных серверах/облаках огромное количество...
Выбор способа зависит от Вашей системы/сайта, размеров данных и т.п.
Google расскажет все... Почитайте и выберите наиболее подходящий для себя способ.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Вывод один понакачают х*йни с левых сайтов.

Согласен... Ставил эту х...ню когда только начал пользоваться форумом...
Сейчас только самое нужное для работы.

 

[bphmth]

прям чудеса, ТС написал мне в лс спросить насчет того, являюсь ли я юзером его форума, разговорились с ним и я вспоминаю, что тоже ставил гирлянды с левого сайта когда только начал изучать xenforo и спрашиваю, что за папка то такая, ТС мне даёт название папки (ny_garlands), я захожу в корневую домена и что я там вижу? перед моим глазами ny_garlands :Р

 

[Mirovinger]

по логам смотрел - слили только ту таблицу...


удалили папку public_html... естественно бэкапы делаются три раза в сутки и хранятся в облаке... но на восстановление нужно потратить минут 10...
и, как вчера, в тот самый момент, когда форум уничтожали я пошел прогуляться - в итоге форум не работал 2,5 часа...
нужно будет сделать оповещение о доступности форума...

И причиной стала папка без пустого index либо .htaccess, и этой папой была, сука, папка расширения новогодняя гирлянда, которую ставил для НГ 2016... именно дополнение я удалил, а папка осталась в корне вместе с "говном" своим...

Громкое заявление, новогодняя гирлянда не виновата, если ранее не качали не известно где.

 

[pligin]

Громкое заявление, новогодняя гирлянда не виновата, если ранее не качали не известно где.

Вы хотя бы сообщение полностью прочитали... "И причиной стала папка без пустого index либо .htaccess, и этой папой была..."

Громкое заявление, новогодняя гирлянда не виновата, если ранее не качали не известно где.

Вот она Новогодняя гирлянда - это XenForo.info
И в папке нет ни индекса ни .htaccess

 

[Mirovinger]

Реально, а то что запрет на выполнение и прочее, настраивается на уровне сервера, или Вы хотите сказать, что там у Вас были права на исполнение?
И не грубите, ровным счётом, виноваты в этом Вы сами, и причиной стал не этот каталог...