Обнаружен взлом форума

[Helber]

3 минуты назад, Compilier сказал:

Тоесть,даже если у человека,IP динамический(по скрипт будет понимать,да и в IP эта инфа есть,то если человек зайдёт с другой страны его кикнет)

Ну только факультативно, т.е. кому это нужно, тот пусть и включает.

А то я с компа захожу с обычного айпи, а со смарта через поляков (там VPN всегда включен). А многие могут через разные страны постоянно входить.

 

@Compilier , просто совет, цитируйте выборочно - выделите текст и жмите Цитировать

Изменено 21 авг 2018, 09:50 пользователем Helber

[Antei75]

1 минуту назад, Compilier сказал:

А вот,вообще угарная идея. Все знают,проверку карты,когда списывают и возвращают денежку,можно так-же сделать,но с крипто кошелькам,пусть списывают мелочь(0.00000001 к примеру) и возвращают. Таким образом можно предотвратить,идеи и возможностей масса. 

лишено смысла...  в проверке карты фишка именно в том что пользователь должен узнать точную сумму списания с карты и ввести её на сайте для подтверждения. А с криптокошельком что таким образом можно подтвердить? Да и каким образом, отдавать приватные ключи кому то??

[SovKolxoz]

9 минут назад, Вьшекн сказал:

людям, у которых есть акки в вк, фб етк не стоит заморачиваться вообще о безопасности..

ага, от слов "вообще забыть", потому что те ресурсы имеют сооовсем иную цель от заявленной...  ?

 

лишний раз убеждаюсь в том, что следует пользовать отдельный комп для "всего-и-всех", в котором не должно быть ничего ценного и второй для "приватных" задач, скажем, для онлайн-банка или кошельков...  
 

[Вьшекн]

31 минуту назад, SovKolxoz сказал:

лишний раз убеждаюсь в том, что следует пользовать отдельный комп для "всего-и-всех", в котором не должно быть ничего ценного и второй для "приватных" задач, скажем, для онлайн-банка или кошельков...  

и отдельную симку в кнопочной нокии для смс-ок от банкклиентов етк.

[kolobok123789]

7 минут назад, Вьшекн сказал:

и отдельную симку в кнопочной нокии для смс-ок от банкклиентов етк.

 

[zuks]

58 minutes ago, SovKolxoz said:

ага, от слов "вообще забыть", потому что те ресурсы имеют сооовсем иную цель от заявленной...  ?

 

лишний раз убеждаюсь в том, что следует пользовать отдельный комп для "всего-и-всех", в котором не должно быть ничего ценного и второй для "приватных" задач, скажем, для онлайн-банка или кошельков...  
 

гляньте в сторону Qubes OS, она как раз под такие задачи

[kazahin]

а какой прикол кому то из моего аккаунта..? ну взломали, забрали данные и что? это же не кошелек.. тут денег нету...
разве что спамить ним начнут - этого конечно не хотелось бы..  так что лучше подстраховаться и сменить..

[alzov]

39 минут назад, kolobok123789 сказал:

 

Достаточно айфона.

[Аверс]

11 часов назад, polym0rph сказал:

Сегодня ночью был обнаружен внедренный вредоносный код, суть которого сводилась к перехвату введенных данных при авторизации на форуме.

Такой способ позволяет получить пароли пользователей в открытом виде, т.к. в базе они все хранятся в виде хэшей и использовать их невозможно.

Предварительное расследование инцидента показало, что взлом произошел 8 августа, то есть все данные  учетных записей, которые логинились на форуме с 8 по 21 августа 2018 точно считаются скомпрометированными.

 

Но пока полной картины нет, я настоятельно рекомендую всем пользователям срочно сменить пароли на форуме, даже если в этот период они нигде не вводились.

Если вдруг такой же пароль использовался на других сервисах,  то их необходимо тоже срочно сменить.

 

Если не получается по каким-то причинам войти на форум или сменить пароль, пишите на [email protected]

 

1 BTC от меня лично тому, кто сольет с доказательствами взломщика. Ну вдруг кто-то чего-то случайно знает. Можно анонимно.

 

По мере появления новостей буду этот пост дополнять.

у вас же есть аккаунт на https://bitcointalk.org может оповестить народ? не все регулярно сюда заходят, могут не знать. 

я думаю можно в разделе новости https://bitcointalk.org/index.php?board=128.0 в крайнем случае перенесут в корневую ветку. 

Изменено 21 авг 2018, 17:30 пользователем Аверс

[Helber]

@Аверс , плюс поставить не могу, но мысль хорошая.

 

 

[TAIFUN]

4 часа назад, polym0rph сказал:

Судя по тому, что мы нашли - угрозы нет. Но я допускаю, что мы могли найти еще не все, поэтому рекомендую на всякий случай сменить.

ai-bolit в помощь

+ слежение за выходом новых версий движка форума, сайта и патчей

+ тоже самое и для установленных аддонов/хаков

+ слежение за выходом новых версий ПО для сервера

[DeL Esprit]

лучше всего сбросить пароли всем.

[KeenEdge]

@polym0rph  Очевидно при взломе упёрли и всю SQL базу данных которая включает всю личную переписку со всеми (содержащиеся в ней адреса, телефоны и номера карт)?

Ну что - спасибо. Ждём когда это где-то всплывёт.

 

 

[Helber]

@KeenEdge , выше говорят, база в продаже, не знаю, та или нет

[kolobok123789]

47 минут назад, alzov сказал:

Достаточно айфона.

 

[AlexShmalex]

2 часа назад, Helber сказал:

Я не думаю, что Полиморф пренебрегал двухфакторкой, а ее, надеюсь, сломать не смогли.

Я вот пренебрегал, просто по лени ¯\_(ツ)_/¯ Ну и доверял. Теперь поставлю.

 

Как поможет двухфакторка в произошедшей ситуации, примерно так же как и пасс-менеджер от касперкого и тд - никак!!! Всё это защиты от мальвари на вашем компе и ничем не поможет в текущей ситуации. И да почти все ресурсы рано или поздно ломаются и по много раз, от этого нет абсолютной таблетки,  это замкнутый круг. Поэтому только идиот может на 100% доверить свою безопасность какому бы то ни было удалённому серверу.
Вы хоть немного обдумайте ситуацию, она типична к сожалению. И да, респект админам, что сразу честно признались, а не засухарились оставив людей в неведении, как это часто бывает.

[Palamar]

6 часов назад, polym0rph сказал:

1 BTC от меня лично тому, кто сольет с доказательствами взломщика. Ну вдруг кто-то чего-то случайно знает. Можно анонимно.

 

По мере появления новостей буду этот пост дополнять.

 

как пароли шифруются в базе?

[Antei75]

3 минуты назад, Palamar сказал:

 

как пароли шифруются в базе?

эту информацию разглашать не следует...

[Helber]

9 минут назад, AlexShmalex сказал:

Как поможет двухфакторка в произошедшей ситуации, примерно так же как и пасс-менеджер от касперкого и тд - никак!!!

Вы в курсе вообще, как работает 2FA?

Допустим, я вбил в форму логин и пароль, они сличились с БД форума и одновременно ушли хакерам. Все, я зашел и хакеры знают мой пароль.

А бы если я следом вбил код 2FA, то хакерам он как телеге шестое колесо, код сам по себе. Потому как через 30 сек код "испортится". И зная только мой пароль, так просто не зайдешь, а знание кода 2FA ничем не поможет.

Кроме одного случая - когда код мгновенно (скорее всего автоматически) передается вместе с паролем злоумышленнику и он следом за владельцем логинится в каждом аккаунте. Ну а было такое массовое двойное логинивание или нет, это админам виднее. Могу лишь сказать, что входов с левых IP у меня в истории нет ни одного, что обнадеживает.

P.S. По идее от двойного логина с разных IP в одно и то же время должна срабатывать защита. На круто защищенных сервисах так и есть, имхо, у нас - вряд ли

Изменено 21 авг 2018, 12:13 пользователем Helber

[AlexShmalex]

10 минут назад, Helber сказал:

Вы в курсе вообще, как работает 2FA?

Допустим, я вбил в форму логин и пароль, они сличились с БД форума и одновременно ушли хакерам. Все, я зашел и хакеры знают мой пароль.

А бы если я следом вбил код 2FA, то хакерам он как телеге шестое колесо, код сам по себе. Потому как через 30 сек код "испортится". И зная только мой пароль, так просто не зайдешь, а знание кода 2FA ничем не поможет.

Кроме одного случая - когда код мгновенно (скорее всего автоматически) передается вместе с паролем злоумышленнику и он следом за владельцем логинится в каждом аккаунте. Ну а было такое массовое двойное логинивание или нет, это админам виднее. Могу лишь сказать, что входов с левых IP у меня в истории нет ни одного, что обнадеживает.

P.S. По идее от двойного логина с разных IP в одно и то же время должна срабатывать защита. На круто защищенных сервисах так и есть, имхо, у нас - вряд ли

 

Включаем голову) Откуда сервер знает что 2фа пасс верный? - правильно на сервере лежат все ключи от 2фа - бери и генерь пасы. 2фа поможет от кейлогеров/стиллеров и тд. которые юзер поймал на свою машину.

 

Изменено 21 авг 2018, 12:23 пользователем AlexShmalex

[Helber]

Только что, AlexShmalex сказал:

Откуда сервер знает что 2фа пасс верный? - правильно на сервере лежат все ключи от 2фа - бери и генерь пасы.

В открытом виде или в виде хэшей?

[AlexShmalex]

Только что, Helber сказал:

В открытом виде или в виде хэшей?

 

Чесно сказать я не знаю, ну а какие варианты? Или это через гугл как то мутится? - сомнительно если чесно. Мож кто знающий просвятит?

[TheIllusiveMan]

@AlexShmalex точно не через гугл

[Combowan]

во всем виноват бальтазар-он всегда во всем виноват с тех пор как пул с лайтами сьел мои 2 лайта ^_^

[KeenEdge]

14 минут назад, Antei75 сказал:

эту информацию разглашать не следует...

Если взломщики утянули и скрипты форума - то они это точно видят.

 

Стандартный код шифрования паролей в IPB выглядит примерно так как ниже (если кратко - оригинал пароля получить из базы данных не смогут, а могут только получить бесполезный хеш (даже нет смысла его пытаться расшифровать. Получить чистый пароль могут только если перехватить его при вводе (прямо из формы ввода), до этапа шифрования, что было сделано для тех кто логинился с 8 числа, как пишет админ).

Ну и как бы хрен с этим паролем. А вот если личные данные из личных переписок скачали (это волнующий вопрос) - которые хранятся не зашифрованные - это хуже.

 

	public function encryptedPassword( $password )
	{
		/* New password style introduced in IPS4 using Blowfish */
		if ( mb_strlen( $this->members_pass_salt ) === 22 )
		{
			return crypt( $password, '$2a$13$' . $this->members_pass_salt );
		}
		/* Old encryption style using md5 */
		else
		{
			return md5( md5( $this->members_pass_salt ) . md5( \IPS\Request::legacyEscape( $password ) ) );
		}
	}