Конференция Библиотеки Battletech

[Siberian-troll]

ну, посты, вроде, они обещают вернуть. Кажется.
Хотя что-то он там писал про "подправленные php файлы"

Основной упор они делали на невозможность восстановления базы пользователей.

[Leonid]

Ерунда какая-то. Базу форума последнюю, накатить новый дистрибутив, при необходимости запустить скрипт обновления формата данных базы под новую версию. Много раз уже делалось. На критичные папки движка доп.пароль. Вычисленных нехороших людей побанить. Погонять в тестовом режиме, подправить код по вкусу. Хотя бывают некоторые моменты, которые лучше публично не освещать.

[Darth Val]

плюс, у них должны бекапы быть ежедневные...


Леонид, на мой взгляд ситуация весьма простая.
Если бы у них было все как описано, то следовало бы:
1) восстановить базу данных из бэкапа
2) разослать всем пользователям форума по почте уведомление о компрометации системы
3) восстановить форум на новом чистом движке, в "тестовом режиме" (например, запретив "авторизацию" пользователей)
3.1) придумать процедуру "подтверждения" истинности своей учетной записи (активировав, например, известных членов комьюнити, а потом - по системе инвайтов и подтверждений других людей)

если ты хочешь секретность через неясность ввести, запутав членов коммьюнити, относительно произошедшей ситуации - ну простите

"Перебирая ежемесячные бэкапы я не склонен доверят январскому, декабрьскому и даже ноябрьскому," - предполагаю, что реальный бэкап у них происходил 1 раз в месяц. Хотя должен был бы хотя бы раз в неделю, а лучше - раз в день. Иначе - я плохо себе представляю нормальную работу системы. при этом, не утрачены ли указанные бэкапы военно-морским способом?

Троль, а не мог бы ты скинуть ссылку на обсуждение которое ты перевел, или привести посты на оригинальном языке? У меня есть вопросы по терминологии))))

Теперь доп комменты:
- "Быстрый каким-то образом сумел дать себе права админа и начал удалять юзеров ВРУЧНУЮ, и гнал mySQL команды на удаление почтовых индексов из базы данных. Те, что он не успел удалить, впрочем, мы тоже использовать не сможем. Поскольку они имели админские права, мы не можем (и не будем) доверять любому из существующих аккаунтов."
каких юзеров удалял быстрый взлом? из-под какого аккаунта он осуществлял РУЧНОЕ удаление??? mySQL командами что он удалял? Почему не мог замусорить или удалить данные sql запросами? Какая цель атаки была??? Может атака шла через SQL injection?

"Медленный/коварный, похоже, тишком и потихоньку изменял php файлы форума, с (как я полагал) вроде бы провалившейся атаки в конце октября"
тишком и потихоньку... я плачу. Цель атаки была переписать ВЕСЬ движок форума? ) Нельзя сравнить изменения в файлах относительно бекапов? Подписывайте цифровой подписью что-ли файлы)))) Какая цель атаки? Почему нельзя разобраться во вносимых изменениях и сообщить об этом?

"Мне потребуется несколько дней, пока я окончательно не удовлетворюсь качеством новой системы безопасности (Народ, все могло бы быть ГОРАЗДО хуже!! Помоги нам господь, если б основной сайт работал на turdpress или boomla) после чего я заставлю админов и модеров залезть внутрь и расставить все точки над i и перечеркнуть каждую t, восстанавливая форумы и настройки. За компанию мы пересмотрим привила и определим конкретно кто за что отвечает. "
сайт будет тестироваться на безопасность? ))) или просто нужно время поставить дистрибутив и восстановить бэкап?))))))))))))))))))))))))))))

"Надо было прислушаться с словам Джорджа - я возвел несокрушимую линию стационарных укреплений вокруг сервера - и получил линию Мажино. А какой-то хитрый немец обошел ее через Бельгию. "
звучит красиво. Если был доступ к php файлам, фраза выглядит еще более замечательной.

Добавлено спустя 3 минуты 11 секунд:
и еще, такое есть подозрение что мы видим:
- результат внутренних разборок
- результат неудолетворительного саппорта форума
- результат каких-то акций (например, планируемого нового сайта - форума)

если честно, слегка напоминает ситуацию с потоком продуктов... ))

[Siberian-troll]

каких юзеров удалял быстрый взлом? из-под какого аккаунта он осуществлял РУЧНОЕ удаление??? mySQL командами что он удалял?

На это я ответить могу судя по комментам аж на трех форумах, он удалил сперва модеров и админов, потом пошел по юзерам с наибольшим числом постов. Делал он это из под своего аккаунта, которому он дал полномочия админа.

From deathshadow at HMPro quote:

"Well, here's where we're at and the current battleplan.

It appears that we may have had TWO hacks occur near simultaneously or with overlap -- a nasty fast one atop a slow/insidious one.

The nasty fast one somehow got itself elevated to admin rights and started deleting users MANUALLY and running mySQL commands to delete post indexes from the database -- and we're not talking indexes that can be rebuilt either. Since they appear to have had access to admin rights I cannot/will not trust any of the existing user accounts that were on it. It's odd though as they used a certain admin password without it showing up as being logged in for that user -- so I think they found a security flaw or had a backdoor installed from that previous failed hacking attempt back in July. (that I thought I cleaned out)... either that or the TWO DAYS since SMF 1.1.13 was released documented a new doorway. (and I was going to upgrade tomorrow too...). Maybe a four day upgrade gap was too wide?

The slow/insidious one appears to have been modifying forum .php files in the background slowly and quietly that I THINK was a failed attack circa late October, and that up and decided to start running when the 'fast one' started playing around with it.

It is unclear whether these were two separate attacks, or a slowly and well planned escalation over several months... Going through the monthly backups I am unwilling to trust the Jan, Dec or Nov backups as they all seem to have a slow corruption and bits and pieces of various hacking attempts in them. SO...

I'm with Ripley...

To try and turn this into a positive I'm going to take this 'nuke it from orbit' moment to move us to SMF 2.0 even if it is only at release candidate status -- I was going to wait for final but if we're going to start over, I'd like to do so on the next-gen.

It is going to take me a few days to get it to where I'm happy with the new security settings I'll be putting in place (things actually COULD have been worse!!! Lord help us if the main site had been running turdpress or boomla) at which point I'm gonna have the admins and mods go in and dot every t and cross every i on getting the correct forums and settings into place. We're also going to take this opportunity to review the rules and who's responsible for what.

We probably will NOT have a new forums up and running for the public until sometime after monday. I apologize for the delay but the old forum was starting to rot and was hack upon hack upon upgrade upon upgrade -- and like anything else after three years of use it needed a spring cleaning anyways. (TRYING to look at the bright side here!)

I'll try to keep you posted here as to where I'm at with this.

Oh, and if you know who's at 192.251.226.205 (that's a german IP), do me a favor and shove your boot straight up their backside. I should have listened to George -- I put up one of the biggest static fortifications possible on a server; and it ended up a Maginot line. Leave it to some German to goose-step through Belgium on me.

Fixed fortifications are a monument to the stupidity of man."

Форумчане, лишившись привычного форума, заметались было, прыгая то на Лордов, то на БТюниверс, но затем (понятия не имею, почему) хором принялись откочевывать на форумы ХэвиМетал Про
http://www.heavymetalpro.com/forums/index.php
Почти все былые темы потихоньку появляются там.

[KolbunD]

А все почему? потому что кто-то много говорил о новых китайских авианосцах ...

[Siberian-troll]

Хочешь, я поговорю о них и здесь?

К примеру, расскажу, что новый американский десантный корабль LHA-6 "Америка" буквально только что лишился смысла. Проект F-35B отложили на два года с дальнейшей утилизацией, и заранее лишенное дока, а значит и возможности вывода десантных плавающих средств 50-тысячетонное корытце ныне будет работать как паршивый вертолетоносец, которых и без того полно.
Хотели - дешевый "Нимиц"
Получили - дорогой "Иводзима"
Еще 3 миллиарда бодро спущены в унитаз ))

А теперь ждем хакеров )

[Darth Val]

спасибо
на всякий случай замечу, что hacks и mods - это близкие значения, в том плане, что они устанавливаются админом для улучшения форума
только mods типа новая фишка, а хак - это типа неофициальной заплатки (использующей недокументированной возможности и т.п.)

[Siberian-troll]

На старый, архивный форум был залит бэкап постов по октябрь 2010.
http://www.classicbattletech.com/forumarchive/

[Andos]

А старый бэкап куда они дели?

[Siberian-troll]

обещают слить через пару дней.

[Andos]

Хорошо бы, я не все статейки из MotW скопировал к себе.

[DeJaVu]

У одного меня лежит? Через прокси тоже не пускает(

[Andos]

в смысле лежит? там его нету просто, физически. с момента взлома.
все сидят и ждут когда там появится новая чистая доска.

[DeJaVu]

Я сайт имел ввиду. Сорри, что не уточнил.

[Andos]

сайт живой

[DeJaVu]

У меня идет 60-70% потерь на него, пинг 994-1300мс
И не открывается ни под чем.

[Hobbit]

У меня работает.

[DeJaVu]

Вот что творится:

Код: Выделить всё

Трассировка маршрута к classicbattletech.com [209.139.208.130]
с максимальным числом прыжков 30:

  1   769 ms    <1 мс   769 ms  89.179.17.132
  2   769 ms    <1 мс   769 ms  89.179.17.152
  3   769 ms   770 ms   769 ms  62.141.95.125
  4   861 ms   809 ms    39 ms  mx01.Stockholm.gldn.net [194.186.157.66]
  5   805 ms   805 ms   805 ms  xe-11-0-0-xcr1.skt.cw.net [166.63.220.65]
  6   150 ms   918 ms   150 ms  xe-7-0-0-xcr1.amd.cw.net [195.2.25.89]
  7   916 ms   916 ms   949 ms  xe-0-1-0-xcr1.lsw.cw.net [195.2.25.101]
  8   140 ms   140 ms   908 ms  xe-5-1-0-xcr1.lnd.cw.net [195.2.25.133]
  9   147 ms   917 ms   915 ms  xe-5-3-0-xcr1.nyk.cw.net [195.2.25.197]
 10     *        *        *     Превышен интервал ожидания для запроса.
 11   937 ms   937 ms   934 ms  POS7-0.WANA-MTRLPQ.IP.GROUPTELECOM.NET [66.59.19
1.173]
 12     *        *        *     Превышен интервал ожидания для запроса.
 13   219 ms     *        *     POS6-0.WANA-VANCBC.IP.GROUPTELECOM.NET [66.59.19
0.57]
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *      227 ms  static-209-17-142-113.gtcust.grouptelecom.net [2
09.17.142.113]
 16   995 ms   223 ms   986 ms  www.cutcodedown.com [209.139.208.130]

Обмен пакетами с classicbattletech.com [209.139.208.130] по 32 байт:

Ответ от 209.139.208.130: число байт=32 время=217мс TTL=49
Ответ от 209.139.208.130: число байт=32 время=222мс TTL=49
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 209.139.208.130:
    Пакетов: отправлено = 4, получено = 2, потеряно = 2 (50% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 217мсек, Максимальное = 222 мсек, Среднее = 219 мсек

Обмен пакетами с classicbattletech.com [209.139.208.130] по 32 байт:

Превышен интервал ожидания для запроса.
Ответ от 209.139.208.130: число байт=32 время=997мс TTL=49
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 209.139.208.130:
    Пакетов: отправлено = 4, получено = 1, потеряно = 3 (75% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 997мсек, Максимальное = 997 мсек, Среднее = 997 мсек


[Andos]

Код: Выделить всё

Трассировка маршрута к classicbattletech.com [209.139.208.130]
с максимальным числом прыжков 30:
  1     2 ms    <1 мс    <1 мс  172.16.0.12
  2    17 ms    17 ms    17 ms  212.41.32.113
  3    12 ms    13 ms    14 ms  ttk-lgw.inetcomm.ru [212.152.38.125]
  4    15 ms    14 ms    16 ms  ae10-215.RT.M9.MSK.RU.retn.net [87.245.255.193]
  5   170 ms   151 ms   154 ms  xe000-8.RT.EQX.ASH.US.retn.net [87.245.233.118]
  6   176 ms   157 ms   160 ms  10GE1-0.PEERA-ASBNVA.IP.GROUPTELECOM.NET [206.223.115.113]
  7   173 ms   172 ms   173 ms  POS2-2.PEERA-CHCGIL.IP.GROUPTELECOM.NET [66.59.191.89]
  8   165 ms   173 ms   160 ms  POS2-0.WANB-TOROONXN.IP.GROUPTELECOM.NET [66.59.191.149]
  9   224 ms   228 ms   225 ms  POS6-0.WANB-VANCBC.IP.GROUPTELECOM.NET [66.59.190.62]
 10   212 ms   212 ms   213 ms  216.18.31.142
 11   223 ms   213 ms   213 ms  static-209-17-142-113.gtcust.grouptelecom.net [209.17.142.113]
 12   230 ms   223 ms   228 ms  www.cutcodedown.com [209.139.208.130]

[DeJaVu]

Где-то косяк на магистрали. У Леонида как и у меня, не открывается.