Jump to content
polym0rph

Обнаружен взлом форума

Recommended Posts

а яндех браузер сам генерит пароли типа A6раKада6Pа при регистрации и сохраняет же их. не приходится запоминать )

полезно канешь только вот вопрос остается в безопасности самого браузера

Share this post


Link to post
Share on other sites
10 минут назад, SaN4 сказал:

полезно канешь только вот вопрос остается в безопасности самого браузера

Я не стану рассуждать про кражу кук и сохраненных данных форм - не очень компетентен, только отмечу, что если браузер "полетит" без действий хакеров (например, юзер просто почистит куки), пароли окажутся там, где пребывают души нерожденных.

Share this post


Link to post
Share on other sites
10 часов назад, scopus сказал:

@polym0rph   как то определил тогда,

Ну если был массированный скан, и есть успешные заходы в учетки, то я понимаю, что или пароль типа Qwerty123 или проходят по чужим пертым базам в надежде на юзеров, которые везде одинаковые пароли ставят.

Чтобы с таких учеток потом народ не кидали, я их блокирую. Если потом подает голос, что живой - тогда будем посмотреть)  А так чаще всего вскрывают какие-то старые брошенные учетки.

Share this post


Link to post
Share on other sites

@polym0rph, скажи, а если я зашел на форум и сижу, а еще кто-то в это же время войдет под моим именем с другой машины, меня выкинет из сеанса?

Share this post


Link to post
Share on other sites
13 часов назад, YoshCat сказал:

в хромой запросил обновление пароля, сохранил

в браузере сохранил пароль?

Share this post


Link to post
Share on other sites
25 минут назад, rammendo сказал:

а если я зашел на форум и сижу, а еще кто-то в это же время войдет под моим именем с другой машины, меня выкинет из сеанса?

Нет. Ты же можешь с нескольких компьютеров разных на форуме сидеть. И никого не выкидывает.

Share this post


Link to post
Share on other sites

Переводите форум на блокчейн стима или графен и проблема взломов решена

Edited by Hellenic

Share this post


Link to post
Share on other sites
24.08.2018 в 01:20, polym0rph сказал:

Нет. Ты же можешь с нескольких компьютеров разных на форуме сидеть. И никого не выкидывает.

@polym0rph , немного другой вопрос. Если я введу обычный пароль и код 2FA, войду, и в те же 30 секунд хакер введет только что украденные пароль и код - он тоже сможет войти?

Если да, это стоило бы запретить. Вряд ли много обычных людей логинятся практически одновременно с двух разных адресов и устройств.

 

Вообще же двухфакторку запилили вовремя. Если бы ее не было, число взломанных менял могло бы быть гораздо выше. Сегодня и вчера я проверил примерно по сотне последних тем в разделах Обменники и p2p, на предмет обнаружения подозрительных постов и переправленных реквизитов. Про темы, созданные именно в последние 2 недели, часто нельзя ничего говорить с уверенностью, но в более заслуженных всё тихо, мошеннические адреса телеги и т.п. никто вроде не пытался вставлять. Только один явно подозрительный случай на глаза попался

Ну, и конечно, остаются те взломанные акки, которые не проявили себя, как описано выше.

 

Вдобавок, какие аккаунты и сейчас, после сброса паролей, теоретически все еще могут находится под чужим контролем: жулик зашел, поменял почту в акке на свою, потом владелец изменил пароль (или пароль сбросили централизованно, как описано выше) - но почта-то в акке уже левая.

 

Не знаю, есть ли реально такие случаи. Мониторьте свои профили и истории входов.

Edited by Helber
Уточнение формулировки

Share this post


Link to post
Share on other sites
1 час назад, Helber сказал:

Если я введу обычный пароль и код 2FA, войду, и в те же 30 секунд хакер введет только что украденные пароль и код - он тоже сможет войти?

Да.

Хотя на практике это маловероятно. Насколько я помню код инклуда, 2fa кстати не собирали пароли. Гораздо более частое событие, что утаскивают дамп базы, из него берут 2fa ключ и в любой момент могут генерить правильные коды авторизации.

 

1 час назад, Rabbit_PGN сказал:

Такой проблемы в дальнейшем не предвидеться??

Гарантий отсутствия подобных проблем не имеет ни один сервис. И покажите хоть один большой сервис, который не взламывали. Но мы делаем сейчас все, чтобы усилить защиту и чтобы это больше не повторилось.

Share this post


Link to post
Share on other sites

Заметил уже несколько аккаунтов, которые зареганы давно, а тут вдруг активизировались, при том как-то уж очень по-тупому, во флейме начали сообщения набивать или что?

вот пример

https://forum.bits.media/index.php?/profile/34299-владлена/

 

Как это может быть связано со взломом?

3 часа назад, polym0rph сказал:

И покажите хоть один большой сервис, который не взламывали.

отож

Share this post


Link to post
Share on other sites
14 часов назад, izlevinv сказал:

в браузере сохранил пароль?

йа йа

Share this post


Link to post
Share on other sites
9 часов назад, izlevinv сказал:

@YoshCat спереть могут

Спереть могут все и везде.

Share this post


Link to post
Share on other sites
3 часа назад, YoshCat сказал:

Спереть могут все и везде.

Не все! Свои убеждения могу только продать! Но такую сумму еще не придумали озвучили! :crazy:

Share this post


Link to post
Share on other sites

О какой атаке речь?

Из всего написанного я так понял, кто то заюзал активную XSS, поставил JS сниффер на логин, верно?

Но поскольку тут пишут про всякие инклуды, это сбивает с толку, проникновение на сервер было? И как следствие, сниффер был проставлен непосредственно в серверный PHP код?

Share this post


Link to post
Share on other sites
1 час назад, Инвестиции сказал:

О какой атаке речь?

Из всего написанного я так понял, кто то заюзал активную XSS, поставил JS сниффер на логин, верно?

Но поскольку тут пишут про всякие инклуды, это сбивает с толку, проникновение на сервер было? И как следствие, сниффер был проставлен непосредственно в серверный PHP код?

Скорее всего кто то через рекламный банер воткнул, просто так xss не заюзать, либо же сам движек  форума дырявый.

Share this post


Link to post
Share on other sites
2 часа назад, Инвестиции сказал:

И как следствие, сниффер был проставлен непосредственно в серверный PHP код?

Да, воткнули в php коод.

Share this post


Link to post
Share on other sites
4 минуты назад, polym0rph сказал:

Да, воткнули в php коод.

 

Значит, ЛС и хэши паролей следует считать скомпрометированными.

Так положено.

Share this post


Link to post
Share on other sites
7 минут назад, Balthazar сказал:

Значит, ЛС и хэши паролей следует считать скомпрометированными.

К сожалению, вероятность этого довольно высока.

Share this post


Link to post
Share on other sites
6 минут назад, polym0rph сказал:

К сожалению, вероятность этого довольно высока.

О вероятности тут говорить не приходится. Обнаруженный "взлом" был просто отвлекающим маневром, своего рода финальный аккорд когда уже всё нужное было сделано. Такое намеренно делается топорным образом, дабы 100% обнаружили и возникло впечатление того, что взломщик некомпетентен и смог только поставить сниффер. И даже не возникла мысль о том что утекло куда больше данных, чем несколько сотен собранных сниффером паролей.

Edited by Balthazar

Share this post


Link to post
Share on other sites
3 часа назад, polym0rph сказал:

К сожалению, вероятность этого довольно высока.

Прискорбно. Внесете в первый пост дополнения насчет компрометации ЛС?

Share this post


Link to post
Share on other sites
14 минут назад, Helber сказал:

Прискорбно. Внесете в первый пост дополнения насчет компрометации ЛС?

 

Это итак очевидно и вытекает из первого поста. Естественно слили БД, кому тут нужен этот сниффер паролей - тут же не магазин где люди карты вбивают.
А вообще этот 2фа от гугла подарок для взломщиков, брут хешей снова набирает актуальность. Люди не вникают как оно работает, считают панацеей от всех атак и ставят простейшие словарные пароли, не подозревая что БД с ключами 2фа лежит на сервере рядом с хешами паролей.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...