Author

Topic: bitcointalk.org был взломан (Read 1763 times)

tvv
legendary
Activity: 1302
Merit: 1005
October 11, 2013, 03:03:12 PM
#18
Типа фринет рулит? Wink

PS  кстати, его до ума-то довели?
legendary
Activity: 1120
Merit: 1069
October 11, 2013, 02:51:03 PM
#17
Какая угроза от взлома конечному смертному пользователю?
в данном случае злоумышленник имел возможность скопировать базу или сессии авторизованных пользователей форума (ВСЕХ!), получив по желанию фактически полный доступ к аккаунту любого пользователя, т.е. возможность читать и ПИСАТЬ приватные сообщения, публиковать посты и т.п.

Опасность? к примеру злонамеренные или фальшивые публичные сообщения каких либо компаний или организаций, редактирование их старых сообщений (например подмена адреса сбора bitcoin коллективных покупок), в общем фишинг в квадрате.

А так как на форуме никто даже не пытается пользоваться GPG или хотя бы подписью приватным ключом bitcoin (особенно это было бы замечательно, если бы это было на автомате, в т.ч. со стороны форума) то подмену или выдача фиктивной информации может быть обнаружена не сразу.
full member
Activity: 226
Merit: 251
October 11, 2013, 02:20:40 PM
#16
Какая угроза от взлома конечному смертному пользователю?
legendary
Activity: 1498
Merit: 1021
Was mich nicht umbringt macht mich stärker [F.N.]
October 07, 2013, 02:58:45 PM
#15
Возможно здесь я неправильно понял . Признаю ...
hero member
Activity: 798
Merit: 1000
October 07, 2013, 12:43:38 PM
#14
В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.
так и я о том же вещал в 4 посте Smiley

Quote
Произвели инжекцию кода с использованием уязвимости modNews в SMF
Не было никакой уязвимости  modNews в SMF
legendary
Activity: 1498
Merit: 1021
Was mich nicht umbringt macht mich stärker [F.N.]
October 07, 2013, 12:41:33 PM
#13
В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.
так и я о том же вещал в 4 посте Smiley
hero member
Activity: 798
Merit: 1000
October 07, 2013, 12:32:28 PM
#12
Quote
Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.
Так это сделал ты?  Smiley
Мог бы в принципе наверно, но неинтересно и лень копаться Smiley
hero member
Activity: 798
Merit: 1000
October 07, 2013, 12:31:20 PM
#11
А у меня можно подумать из 10-ых. Я общался с ним в IRC, там он и рассказал, как оно было. А в первоначальном посте просто факт, что добавили код в секцию news, а как он туда попал, он еще не знает... В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.
legendary
Activity: 1498
Merit: 1021
Was mich nicht umbringt macht mich stärker [F.N.]
October 07, 2013, 11:36:37 AM
#10
Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.
Уж не знаю чего там у них в nginx было, но вот здесь Theymos сам писал сразу после взлома форума (в то время пока он лежал):
Quote
Here's what I know: The attacker injected some code into $modSettings['news'] (the news at the top of pages). Updating news is normally logged, but this action was not logged, so the update was probably done in some roundabout way, not by compromising an admin account or otherwise "legitimately" making the change. Probably, part of SMF related to news-updating or modSettings is flawed. Possibly, the attacker was somehow able to modify the modSettings cache in /tmp or the database directly.

Also, the attacker was able to upload a PHP script and some other files to the avatars directory.
Вот как то так от самого хозяина информация, из первых рук ...
Xtc
legendary
Activity: 1973
Merit: 1028
;u
October 07, 2013, 09:50:55 AM
#9
Quote
Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.
Так это сделал ты?  Smiley
hero member
Activity: 798
Merit: 1000
October 07, 2013, 08:54:17 AM
#8
Произвели инжекцию кода с использованием уязвимости modNews в SMF, загрузив .php через аватары ... В результате дефейс и угон базы.
Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.
full member
Activity: 212
Merit: 101
October 07, 2013, 08:40:46 AM
#7
Базу уже выложили или еще нет?
newbie
Activity: 18
Merit: 0
October 07, 2013, 08:18:57 AM
#6
А кто получил призовые 50 btc?
tvv
legendary
Activity: 1302
Merit: 1005
October 07, 2013, 07:06:57 AM
#5
А почему об этом стало известно?
Не могли по-тихому угнать чтоли?..
legendary
Activity: 1498
Merit: 1021
Was mich nicht umbringt macht mich stärker [F.N.]
October 07, 2013, 05:32:52 AM
#4
Произвели инжекцию кода с использованием уязвимости modNews в SMF, загрузив .php через аватары ... В результате дефейс и угон базы.
sr. member
Activity: 342
Merit: 250
October 07, 2013, 05:30:16 AM
#3
Так что именно случилось,все же .
member
Activity: 95
Merit: 10
October 07, 2013, 05:25:15 AM
#2
я так понимаю, это, уже не новость...
legendary
Activity: 1386
Merit: 1000
October 07, 2013, 05:19:46 AM
#1
Quote from: [email protected]
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Unfortunately, it was recently discovered that the Bitcoin Forum's server
was compromised. It is currently believed that the attacker(s) *could* have
accessed the database, but at this time it is unknown whether they actually did
so. If they accessed the database, they would have had access to all
personal messages, emails, and password hashes. To be safe, it is
recommended that all Bitcoin Forum users consider any password used
on the Bitcoin Forum in 2013 to be insecure: if you used this
password on a different site, change it. When the Bitcoin Forum
returns, change your password.

Passwords on the Bitcoin Forum are hashed with 7500 rounds of
sha256crypt. This is very strong. It may take years for
reasonably-strong passwords to be cracked. Even so, it is best to
assume that the attacker will be able to crack your passwords.

The Bitcoin Forum will return within the next several days after a
full investigation has been conducted and we are sure that this
problem cannot recur.

Check http://www.reddit.com/r/Bitcoin/ and #bitcoin on Freenode for
more info as it develops.

We apologize for the inconvenience.

-----BEGIN PGP SIGNATURE-----

iF4EAREIAAYFAlJNCE8ACgkQxlVWk9q1kecABgD9H5sbb0DopdLsODAmv6LWmIaW
kgfyYTlh8GezYbYx7c8A/iTh0/DCwaXuNKK/qUWpewR/L6HEOuAqa/ML1D+K9mZc
=1NYs
-----END PGP SIGNATURE-----
Jump to: