Jump to content

Recommended Posts

_My7bzV9wAU.jpg

 

Седьмого апреля была опубликована информация о критической уязвимости в пакетах расширения Heartbeat OpenSSL.

К сожалению, я в это время был в поездке и не смог оперативно узнать об уязвимости и исправить ее.

Девятого апреля я залогинился на форуме, чем, предположительно, воспользовался некий злоумышленник и использовал указанную выше уязвимость для перехвата моей сессии.

 

Получив права администратора на сайте, данный злоумышленник не нашел ничего более умного и интересного, чем написать из под моей учетной записи "Я - ИДИОТ", после чего он начал удалять темы с форума.

Заметив это, форум был отключен во избежание утечки  личной информации пользователей.

 

Был восстановлен бэкап от восьмого апреля на новом сервере. Крайне маловероятно, что злоумышленник мог получить доступ а админ-панель или в ОС сервера форума, но было принято решение перестраховаться и все развернуть с нуля.

 

Десятого апреля новый форум был открыт для пользователей. Из-за восстановления резервной копии, к сожалению, были потеряны сообщения и регистрации за последние сутки.

Настоятельно рекомендую всем, кто осуществлял вход на форум с 7 по 9 апреля сменить пароли.

 

Приношу личные извинения всем, кто пострадал из-за этой атаки на форум.

На форуме еще ведутся некоторые восстановительные работы, обо всех замеченных проблемах после восстановления можете писать тут.

А тому скрипткидди, который осуществил столь "гениальную" атаку, я желаю набираться ума и направлять свою энергию в более конструктивное и полезное для других русло.

Share this post


Link to post
Share on other sites

Расскажи лучше как такое сделать с другим форумом. Очень хочу!

Share this post


Link to post
Share on other sites

polym0rph, а поведай плиз секрет, зачем вообще к форуму ходить через ssl? :)

Share this post


Link to post
Share on other sites

Прикрутить порт или VPN влом было.

Edited by myseasat

Share this post


Link to post
Share on other sites

Блин, можно же было более полезно использовать админ-доступ. Вот идиот.

Share this post


Link to post
Share on other sites

Блин, можно же было более полезно использовать админ-доступ. Вот идиот.

Действительно , наверняка была школота.

Share this post


Link to post
Share on other sites

 

 

polym0rph, а поведай плиз секрет, зачем вообще к форуму ходить через ssl? :)

На ранних этапах существования форума пользователи просили внедрить SSL, чтобы уменьшить вероятность просмотра их трафика третьими лицами.

Share this post


Link to post
Share on other sites

Класс! А тут бывают достойные юристы? Ведь это ставит любые операции выполненные через клиент-банк под вопрос. И в суде есть некислый шанс выкрутится.

Share this post


Link to post
Share on other sites

У меня не получается сменить пароль. Пишет неверный текущий пароль, хотя он верный. По крайней мере такой сохранен в автозаполнении Хромом.

 

Разобрался :)

Edited by phants

Share this post


Link to post
Share on other sites

Хочется внести небольшое предложение - для ситуаций аппаратного сбоя или удачной попытки взлома форума с последующей переустановкой системы - подготовить какую-нибудь страничку а-ля "На форуме ведутся технические работы, приходите позже" и выставлять её на время проведения работ. А то народ гадает гадает что случилось...

 

 

p.s.

 А тому скрипткидди, который осуществил столь "гениальную" атаку, я желаю набираться ума и направлять свою энергию в более конструктивное и полезное для других русло.

 

Как например продавать рутовые шелл=аккаунты на сервера? :)

Пардон, не сдержался.

Edited by boombastic

Share this post


Link to post
Share on other sites

Офигеть. Хакеры с молочными зубами ломают форум о сетевой безопасности криптовалют. Поездки вещь, конечно, полезная.

Share this post


Link to post
Share on other sites

Как человек, который тоже держит форум на в своё время популярном ресурсе - предложение делать бекап 2 раза в сутки (ночью и около 5 часов дня) - в случае подобной "задницы" можно сохранить бОльшее количество ценной информации. Несколько раз реально спасало.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...