Приветствую всех.
У меня в форуме встроен чат - симпл чат.
Позавчера моя приватная переписка попала к людям которые не должны были это видеть - отправили скриншот специально . То есть. под админским ником висели со мной параллельно. Пароль состоял из букв и цифр , нигде более не был ( соцсети и т.д.) Как узнать как могли взломать и на уровне чего ?
Взлом форума
Список разделов › phpBBex 1.x (поддерживается) › Поддержка 1.x
Сообщений: 10
• Страница 1 из 1
VEG » 26.05.2014, 23:02
Girl, вариантов очень много, начиная от методов социальной инженерии (каким-то обманным путём могли установить вам троян, например), заканчивая нахождением уязвимости в каком-то ПО сервера. Угнать ваши данные могли, например, если вы заходили на форум через какую-то публичную Wi-Fi сеть (это делается очень легко, если сайт работает по http, а не по https). Вариантов можно придумать массу. Для начала как вы думаете, вас кто-то взломал целенаправленно, или случайно? Случайно взломали — это когда, например, троян распространяется обычным образом (никто специально его вам не подкидывает), вы заражаетесь, автор получает все ваши данные и уже смотрит что с ними делать. Целенаправленно — это когда кто-то намеренно пытался взломать именно вас, а не кого-то другого. В зависимости от этого те или иные варианты станут наиболее вероятными.
- VEG
- Администратор
- Откуда: Finland
- Репутация: 1668
- С нами: 12 лет 7 месяцев
Girl » 26.05.2014, 23:56
VEG, взлом целенапрвленный на мой аккаунт , заказчику нужна была моя личка + сведения по персональным данным некоторых пользователей + разговор в приватчате . Через Wi-Fi не заходила- даже не подключён. Какие -либо файлы на комп ни от кого не принимала давным-давно, да и от случайных людей вообще никогда.
- Girl
- Автор темы
- Репутация: 18
- С нами: 12 лет 1 месяц
VEG » 27.05.2014, 00:11
По ссылке из уведомлений на форум не переходили? Могли прислать вам письмо с уведомлением на очень похожий домен, а там поддельный сайт запросил бы у вас пароль, который достался бы злоумышленнику. Хорошо подстроенный фишинг можно легко не заметить, потому что в письме ссылка будет отображаться с нормальным доменом, а поддельный домен засветится только в адресной строке браузера, куда перед вводом пароля можно и не заглянуть или не обратить внимание на лишний символ в доменном имени, например. Ну а дальше под подозрением весь софт на вашем хостинге и даже сам хостинг. Уже было у нас здесь на форуме, что сайт одного из наших пользователей постоянно взламывали из-за того, что хостер поленился обновить ПО на сервере или неправильно его настроил.
- VEG
- Администратор
- Откуда: Finland
- Репутация: 1668
- С нами: 12 лет 7 месяцев
VEG » 27.05.2014, 10:55
Так быть уверенным в том, что виновен именно хостер, не совсем коррекно. Как правило, это большая редкость, и теряют свои пароли именно сами пользователи, даже если они достаточно опытны. Например, надеясь на антивирус, ставят пиратское ПО из сомнительных источников, а там легко может оказаться какой-то новый зловред. Даже вебмастера часто делают глупости. Например, загружают на сервер в публичную директорию PhpMyAdmin с предустановленным паролем, или когда пароль к базе простой.
В случае взлома лучше всего полностью переустанавливать весь форум и моды, потому что если злоумышленник получил доступ к серверу (по FTP, например), то он мог легко добавить небольшой незаметный бэкдор в любой файл.
Также рекомендую сохранить копии всех логов на сервере (HTTP, SSH, FTP), если по скриншоту вы можете определить примерное время его создания — появится зацепка в виде IP-адреса автора скриншотов. Может быть там где-то недалеко по времени и сам несанкционированный доступ будет заметен.
Добавлено спустя 2 минуты 45 секунд:
Вообще если есть логи, и известен ID сообщения, скриншот которого вам прислали, то даже не зная времени скриншота можно легко найти нужные записи в логах, потому то у каждого сообщения в личке уникальный URL. В общем вам нужны логи за максимально продолжительный срок за последнее время.
В случае взлома лучше всего полностью переустанавливать весь форум и моды, потому что если злоумышленник получил доступ к серверу (по FTP, например), то он мог легко добавить небольшой незаметный бэкдор в любой файл.
Также рекомендую сохранить копии всех логов на сервере (HTTP, SSH, FTP), если по скриншоту вы можете определить примерное время его создания — появится зацепка в виде IP-адреса автора скриншотов. Может быть там где-то недалеко по времени и сам несанкционированный доступ будет заметен.
Добавлено спустя 2 минуты 45 секунд:
Вообще если есть логи, и известен ID сообщения, скриншот которого вам прислали, то даже не зная времени скриншота можно легко найти нужные записи в логах, потому то у каждого сообщения в личке уникальный URL. В общем вам нужны логи за максимально продолжительный срок за последнее время.
- VEG
- Администратор
- Откуда: Finland
- Репутация: 1668
- С нами: 12 лет 7 месяцев
Test » 27.05.2014, 11:03
И в самих модах дыры могут быть.
- Test
- Гость
odseg » 26.06.2014, 13:39
ваше решение вдс или полноценный физ.сервер для форума ?Держа сайт на любом "хостинге" вы тем самым, ставите жирную точку, не только на безопасности, но и вообще, на владении вами, вашего-же сайта.
Я предполагаю такое будет оправдано лишь в 1% использования форума, затраты и профит несоизмеримы.
- odseg
- Откуда: Молодечно
- Репутация: 2
- С нами: 10 лет 5 месяцев
Сообщений: 10
• Страница 1 из 1