Jump to content
polym0rph

Обнаружен взлом форума

Recommended Posts

Сегодня ночью был обнаружен внедренный вредоносный код, суть которого сводилась к перехвату введенных данных при авторизации на форуме.

Такой способ позволяет получить пароли пользователей в открытом виде, т.к. в базе они все хранятся в виде хэшей и использовать их невозможно.

Предварительное расследование инцидента показало, что взлом произошел 8 августа, то есть все данные  учетных записей, которые логинились на форуме с 8 по 21 августа 2018 точно считаются скомпрометированными.

 

Но пока полной картины нет, я настоятельно рекомендую всем пользователям срочно сменить пароли на форуме, даже если в этот период они нигде не вводились.

Если вдруг такой же пароль использовался на других сервисах,  то их необходимо тоже срочно сменить.

 

Если не получается по каким-то причинам войти на форум или сменить пароль, пишите на [email protected]

 

1 BTC от меня лично тому, кто сольет с доказательствами взломщика. Ну вдруг кто-то чего-то случайно знает. Можно анонимно.

 

По мере появления новостей буду этот пост дополнять.

UPD. 23.08.2018

Утром 23.08 была произведена автоматическая смена пароля на случайную комбинацию в целях недопустить использование аккаунта мошенниками для тех аккаунтов, которые по логам использовали форму логина в опасный период и до этого момента не сменили пароль самостоятельно. После смены зайти со старым паролем на форум уже не получится. Всего таких пользователей оказалось чуть более 1200 человек.

Если вы попали в этот список, для восстановления доступа к форуму вы можете воспользоваться штатной функциональностью восстановления забытого пароля, установив свой собственный новый пароль с подтверждением через почту. В случае возникновения проблем с восстановлением доступа, напишите на адрес [email protected] и вам помогут.

 

Некоторые пользователи жаловались, что после смены пароля на других устройствах не удается войти с новым паролем, ошибка "Введённый пароль является некорректным. Попробуйте ещё раз (убедитесь, что Caps Lock выключен)." Пока что жалобы были на браузер Google Chrome.
Решением оказалось сбросить запомненный браузером пароль. По какой-то причине Chrome использует запомненный старый пароль, а не тот, что был введен по факту в форму логина.

Share this post


Link to post
Share on other sites

О как! Шухер, господа!

Share this post


Link to post
Share on other sites

@YoshCat К сожалению. Вот всю ночь уже разбираемся с данной ситуацией.

Share this post


Link to post
Share on other sites

@polym0rph , спасибо за оперативность. Пароль сменил.

 

27 минут назад, polym0rph сказал:

Если вдруг такой же пароль использовался на других сервисах

 

Если такие юзеры еще остались, тогда рекомендую к ознакомлению.

Share this post


Link to post
Share on other sites

А что если сейчас происходит взлом, от акка полиморфа пишет взломщик и через изменение паролей хочет выведать эти самые пароли?

Share this post


Link to post
Share on other sites

Done.

 

А прикольная капча установлена...

Share this post


Link to post
Share on other sites

ca5cdac480db027774ac670dfa02c98f.png

 

Хотя не всегда их запоминаю :lol:

Share this post


Link to post
Share on other sites

@TheFuzzStone Опыт показывает, что таких довольно много. По крайней мере более 500 я лично заблочил, кого тут подобрали по чужим пертым откуда-то базам.

 

2 минуты назад, TheFuzzStone сказал:

спасибо за оперативность

Когда все подтвердилось и закрыли утечку, было принято решение сначала всех оповестить, потом уже дальше копать, т.к. тут напрямую может быть ущерб пользователям нанесен.

Дополнительно еще рассылка на почту будет.

Share this post


Link to post
Share on other sites

А автологин это считается передачей логина\пароля? Т.е. я всегда захожу без ввода, хз может где-то идентификатор какой стоит. Короче, тоже поменял на всякий случай.

Share this post


Link to post
Share on other sites
2 минуты назад, Alex_kr сказал:

А что если сейчас происходит взлом, от акка полиморфа пишет взломщик и через изменение паролей хочет выведать эти самые пароли?

Тогда у взломщика уже очень много прав, и в любом случае дело дрянь.

Только что, BoraBora сказал:

А автологин это считается передачей логина\пароля?

Нет, если живая сессия была и форум так пускал, ничего вводить не нужно было, то вариант утечки минимален.

Но пока еще не все нюансы раскопали, так что на всякий случай сменить пароль будет не лишним.

Share this post


Link to post
Share on other sites

Слушайте, а давайте под шумок активируем визибл тех, кто жмакает зелено-красную кнопочку?

Share this post


Link to post
Share on other sites
Только что, BoraBora сказал:

Слушайте, а давайте под шумок активируем визибл тех, кто жмакает зелено-красную кнопочку?

что жжёт?:biggrin:

Share this post


Link to post
Share on other sites
Только что, BoraBora сказал:

Слушайте, а давайте под шумок активируем визибл тех, кто жмакает зелено-красную кнопочку?

Ну да, чтоб заодно еще срач пошел и репутационные войны, больше ада!

Share this post


Link to post
Share on other sites

В целом главное на ту почту, по которой зареган должен быть другой пароль чем на форуме и всё норм будет. Ну и популярыне сервисы типа пулов и кошей

Share this post


Link to post
Share on other sites

@polym0rph так войны и так идут, только страдают больше "а вдруг это этот гад!" невиновные)) А тут четко конкретному паразиту карму в унитаз слить, чтоб неповадно было)

@kerk та всегда найдется тот, кто писать не научился, но проявить себя хочется))

Share this post


Link to post
Share on other sites

@polym0rph  Вообще в таком случае нужно сразу  блокировать стандартную авторизацию и в принудительном порядке требовать смены пароля с подтверждением по мылу, иначе хз сколько акков уйдёт налево, ибо вполне вероятно, что некоторые юзеры не получат инфу о взломе в ближайшее время...

Share this post


Link to post
Share on other sites
1 минуту назад, BoraBora сказал:

@polym0rph так войны и так идут, только страдают больше "а вдруг это этот гад!" невиновные)) А тут четко конкретному паразиту карму в унитаз слить, чтоб неповадно было)

Да забей! Не стоит на это жизнь тратить :wink:

Share this post


Link to post
Share on other sites
1 минуту назад, Alex_kr сказал:

В целом главное на ту почту, по которой зареган должен быть другой пароль чем на форуме и всё норм будет. Ну и популярыне сервисы типа пулов и кошей

+ можно дополнительно поставить двухфакторную аутентификацию, это повысит уровень защиты.

 

2 минуты назад, BoraBora сказал:

А тут четко конкретному паразиту карму в унитаз слить, чтоб неповадно было)

Потом он в отместку то же самое делает, потом еще друзья подключаются и т.п. в итоге все сидят слитые в гораздо больших минусах чем сейчас, и недовольства и нарушений несравнимо больше. Зачем?

 

2 минуты назад, Antei75 сказал:

Вообще в таком случае нужно сразу  блокировать стандартную авторизацию и в принудительном порядке требовать смены пароля с подтверждением по мылу

Рассматриваем такой вариант. Но сначала было решено оповестить о ситуации.

Share this post


Link to post
Share on other sites

@polym0rph разумный довод. но походу уже стоит ограничение на количество жмаканий в день (десяток или около того), должно помочь особо резвым)

@kerk та я не парюсь особо, просто задолбало постоянное кваканье днем и ночью, и лог сообщений уже даже не смотрю.

Share this post


Link to post
Share on other sites
1 минуту назад, BoraBora сказал:

походу уже стоит ограничение на количество жмаканий в день (десяток или около того), должно помочь особо резвым)

Стоит. Ну будут все до лимита выгребать, каждый день как на работу ходить минусть на весь лимит. Короче, этого не будет.

 

Вообще систему репутации планируется полностью менять, но вот то форум DDoSят, то перебирают чужие базы, куча мошенников каждый день кого-то кинуть пытается, тут вот получилось заинклудить вредоносный код. И вот этим всем приходится заниматься в первую очередь, вместо того чтобы улучшениями форума заниматься.

Share this post


Link to post
Share on other sites

Если у меня фейсбук авторизация, могу спать спокойно?

Share this post


Link to post
Share on other sites

@samuel лучше перебдеть, чем недобдеть.

@polym0rph да, тяжел админский труд! держитесь, мы в вас верим!

Share this post


Link to post
Share on other sites

Двухфакторка обязательна и куча проблем пропадает.

И хорошо хоть этот форум нормальный в отличие от того (не буду показывать пальцем), на котором не так давно уводили базу юзеров с паролями, и где мыло можно просто поменять из профиля без подтверждений...

Share this post


Link to post
Share on other sites

Спасибо, что предупредили ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...