3 сентября, злоумышленник использовал 0-день использовать в SMF, чтобы получить административный доступ к форуму. Это не осталось незамеченным до 9 сентября, когда он вставил какое-то раздражает JavaScript во всех страницах. Форум был в этот момент закрыли.

Нападавший был способен работать произвольный PHP код, и он мог бы поэтому скопировал все хэши паролей и читать все личные сообщения. Кроме того, он мог бы сделать все то, что администраторы могут нормально сделать, например, редактирование / удаление / перемещение сообщений.

Пароли

Не известно, что злоумышленник скопировал любые хэшей паролей, но следует полагать, что он сделал.

SMF хэши паролей с SHA-1 и соли хэш с вашим (в нижнем регистре) имя пользователя. К сожалению, это не невероятно безопасный способ хэширования паролей.

Пароль, который вы использовали на форуме следует считать уже подорвана, если ваш пароль был:
- Только менее 16 символов, цифр
- Менее чем 12 символов, только в нижнем регистре
- Менее 11 символов, строчные буквы + цифровая
- Менее чем 10 символов, в нижнем регистре + верхний регистр
- Менее 9 символов, строчные + заглавные + цифры
- Менее 8 символов, все стандартные символы

Если у вас есть только 2-3 больше символов, чем то, что я перечислил выше, то следует считать, что ваш пароль будет скомпрометирован в какой-то момент в будущем.

Независимо от того, насколько сильно ваш пароль был, это хорошая идея, чтобы изменить свой пароль а также везде, где вы использовали его.

состояние базы данных

Резервные копии существуют предыдущего состояния базы данных, но было принято решение продолжить с последним государством, чтобы не потерять тысячи сообщений. Если вы заметили, что любые сообщения отсутствуют или изменены, дайте мне знать.

Кроме того, вполне возможно, что злоумышленник взял контроль над некоторыми счетами. Если вы в настоящее время изображали, напишите мне, и я буду сбросить пароль к своему предыдущему значению.

Подробнее атака

Атакующий первым заплатили за дарителем счет, чтобы он мог изменить свое отображаемое имя. Отображается поле имени пользователя не экранированы, чтобы он был в состоянии внедрить SQL оттуда. Он принял во внимание Satoshi, и из административного интерфейса Satoshi, он был в состоянии внедрить произвольный PHP код, изменив шаблон стиля.

Злоумышленник, вероятно, использовал эти учетные записи пользователей, хотя его уровень доступа позволит ему подделать эти данные:
штифтик
EconomicOracle
Экономический Oracle
SwimsuitPaul
BitcoinsInMyLoins

Вероятно, он использовал этот IP-адрес:
74.242.208.159
74.242.205.69
152.14.219.223
152.14.247.62
74.242.205.161
74.242.206.245
74.242.208.159
74.242.235.132
98.69.157.69
98.69.160.187
41.125.48.26
150.206.212.72

(Спасибо Марку Карпелес для поиска большой части этой информации.)

Изменение хостинг

Марк Karpeles теперь хостинг сервер форума. Форум по-прежнему принадлежит Сириус, как это всегда было. Там не будет никаких изменений в политике.

Подпись версия этого сообщения