Взлом форума

**Girl** » 26.05.2014, 22:22

Приветствую всех.
У меня в форуме встроен чат - симпл чат.
Позавчера моя приватная переписка попала к людям которые не должны были это видеть - отправили скриншот специально . То есть. под админским ником висели со мной параллельно. Пароль состоял из букв и цифр , нигде более не был ( соцсети и т.д.) Как узнать как могли взломать и на уровне чего ?

**VEG** » 26.05.2014, 23:02

Girl, вариантов очень много, начиная от методов социальной инженерии (каким-то обманным путём могли установить вам троян, например), заканчивая нахождением уязвимости в каком-то ПО сервера. Угнать ваши данные могли, например, если вы заходили на форум через какую-то публичную Wi-Fi сеть (это делается очень легко, если сайт работает по http, а не по https). Вариантов можно придумать массу. Для начала как вы думаете, вас кто-то взломал целенаправленно, или случайно? Случайно взломали — это когда, например, троян распространяется обычным образом (никто специально его вам не подкидывает), вы заражаетесь, автор получает все ваши данные и уже смотрит что с ними делать. Целенаправленно — это когда кто-то намеренно пытался взломать именно вас, а не кого-то другого. В зависимости от этого те или иные варианты станут наиболее вероятными.

**Girl** » 26.05.2014, 23:56

VEG, взлом целенапрвленный на мой аккаунт , заказчику нужна была моя личка + сведения по персональным данным некоторых пользователей + разговор в приватчате . Через Wi-Fi не заходила- даже не подключён. Какие -либо файлы на комп ни от кого не принимала давным-давно, да и от случайных людей вообще никогда.

**VEG** » 27.05.2014, 00:11

По ссылке из уведомлений на форум не переходили? Могли прислать вам письмо с уведомлением на очень похожий домен, а там поддельный сайт запросил бы у вас пароль, который достался бы злоумышленнику. Хорошо подстроенный фишинг можно легко не заметить, потому что в письме ссылка будет отображаться с нормальным доменом, а поддельный домен засветится только в адресной строке браузера, куда перед вводом пароля можно и не заглянуть или не обратить внимание на лишний символ в доменном имени, например. Ну а дальше под подозрением весь софт на вашем хостинге и даже сам хостинг. Уже было у нас здесь на форуме, что сайт одного из наших пользователей постоянно взламывали из-за того, что хостер поленился обновить ПО на сервере или неправильно его настроил.

**Girl** » 27.05.2014, 00:18

Фишинг отпадает, скорее всего хостер- не так давно был переезд на новые сервера.
Спасибо, пишу им.

**factotum** » 27.05.2014, 00:45

Girl, а какие меры 101 предпринимали? смена пароля, сброс чего там в админке?

**VEG** » 27.05.2014, 10:55

Так быть уверенным в том, что виновен именно хостер, не совсем коррекно. Как правило, это большая редкость, и теряют свои пароли именно сами пользователи, даже если они достаточно опытны. Например, надеясь на антивирус, ставят пиратское ПО из сомнительных источников, а там легко может оказаться какой-то новый зловред. Даже вебмастера часто делают глупости. Например, загружают на сервер в публичную директорию PhpMyAdmin с предустановленным паролем, или когда пароль к базе простой.
В случае взлома лучше всего полностью переустанавливать весь форум и моды, потому что если злоумышленник получил доступ к серверу (по FTP, например), то он мог легко добавить небольшой незаметный бэкдор в любой файл.
Также рекомендую сохранить копии всех логов на сервере (HTTP, SSH, FTP), если по скриншоту вы можете определить примерное время его создания — появится зацепка в виде IP-адреса автора скриншотов. Может быть там где-то недалеко по времени и сам несанкционированный доступ будет заметен.

Добавлено спустя 2 минуты 45 секунд:
Вообще если есть логи, и известен ID сообщения, скриншот которого вам прислали, то даже не зная времени скриншота можно легко найти нужные записи в логах, потому то у каждого сообщения в личке уникальный URL. В общем вам нужны логи за максимально продолжительный срок за последнее время.

**Test** » 27.05.2014, 11:03

И в самих модах дыры могут быть.

**Alexandr_** » 27.05.2014, 13:30

Держа сайт на любом "хостинге" вы тем самым, ставите жирную точку, не только на безопасности, но и вообще, на владении вами, вашего-же сайта.

**odseg** » 26.06.2014, 13:39

Держа сайт на любом "хостинге" вы тем самым, ставите жирную точку, не только на безопасности, но и вообще, на владении вами, вашего-же сайта.

ваше решение вдс или полноценный физ.сервер для форума ? :lol:

Я предполагаю такое будет оправдано лишь в 1% использования форума, затраты и профит несоизмеримы.