3 октября, было обнаружено, что злоумышленник вставить некоторые JavaScript на страницы форума. Форум был закрыт вскоре после этого, так что этот вопрос может быть исследован тщательно. После расследования, я решил, что злоумышленник, скорее всего, имел возможность выполнить произвольный PHP код. Таким образом, злоумышленник, вероятно, мог бы получить доступ личных сообщений, адрес электронной почты и хэш паролей, хотя неизвестно, будет ли на самом деле он так.

Пароли были хэшируются очень сильно. Каждый пароль хешируется с 7500 раундов sha256crypt и 12-байтовой случайной соли (за пароль). Каждый пароль необходимо будет индивидуально атакован для того, чтобы восстановить пароль. Тем не менее, даже довольно сильные пароли могут быть crackable после длительного периода времени, а также слабые пароли (особенно те, состоящие только из нескольких слов из словаря) все еще может быть взломан быстро, так что рекомендуется изменить пароль здесь и в другом месте вам используется пароль.

Злоумышленник может модифицировал сообщения, PMS, подпись, и зарегистрировано Bitcoin адресов. Это не практично для меня, чтобы проверить все эти вещи для всех, так что вы должны перепроверить свой собственный материал и сообщать о любых нарушениях со мной.

Как нападение было сделано

Я считаю, что это, как это было сделано нападение: После 2011 хак форума, злоумышленник вставила несколько лазеек. Они были удалены Марк Karpelles в своем посте-хак аудит кода, но спустя короткое время, злоумышленник использовал хэш он, полученные из базы данных для того, чтобы взять под контроль учетной записи администратора и вставьте бэкдоры обратно. (Существует изъян в наличии SMF позволяет вам войти в систему как кто-то, используя только свой пароль гашиш. Нет bruteforcing не требуется. Это было исправлено на этом форуме, когда системный пароль был переработан более года назад). Бэкдоры были в непонятных местах, чтобы они не были замечены вчера, пока я не сделал полный аудит кода.

После того, как я нашел лазейки, я увидел, что кто-то (предположительно, злоумышленник) независимо друг от друга в курсе о его методе атаки с согласования деталей. Таким образом, кажется, весьма вероятно, что это был метод атаки.

Поскольку бэкдоры были первым высаживают в конце 2011 года, база данных может тайно получить доступ в любое время с тех пор.

Первоначально подозревали многие, что нападение было сделано, эксплуатируя уязвимость в SMF, который позволяет загрузить любой файл в каталог аватаров пользователей, а затем с помощью неправильной настройки в Nginx, чтобы выполнить этот файл в PHP скрипт. Тем не менее, этот метод атаки кажется невозможным, если security.limit_extensions РНР установлен.

Будущее

Форум теперь на новом сервере внутри виртуальной машины с большим количеством дополнительных мер безопасности, которые мы надеемся обеспечить некоторую безопасность в глубине в случае, если есть больше подвигов или бэкдоров. Кроме того, я отключил много функций SMF, чтобы обеспечить меньше атаки поверхности. В частности, не по умолчанию тема будет отключена на данный момент.

Я хотел бы опубликовать текущий код работы форума, так что он может быть тщательно рассмотрен и отключенные функции могут быть повторно включены. Лицензия SMF 1.x запрещает публикацию коды, хотя, так что мне придется либо обновить 2.x, получить специальное исключение из авторских прав SMF или делать аудит самостоятельно. В ходе этого исследования, несколько недостатков безопасности для 2.x были доведены до моего сведения, так что я не знаю, хочу ли я обновить, если я могу помочь ему. (1.x все еще поддерживается SMF).

Особая благодарность этим людям за их помощь в решении этого вопроса:
- кроличий садок
- Частный доступ в Интернет
- NERTA
- Джошуа Роджерс
- chaoztc
- phantomcircuit
- jpcaissy
- bluepostit
- Все другие, которые помогли