1 Тема от Oleg_BD

  • Oleg_BD
  • Редкий гость
  • Неактивен
  • Зарегистрирован: 2006-12-06
  • Сообщений: 4

Тема: Вопрос по подозрению фишинга

Уважаемы профи ..
Являясь администратором одного из форума, я получил письмо от хостера о том, что с нашего форума идут фишинговые рассылки, и что форум блокирован. Поскольку это может быть связано только с таблицами БД, то я попробовал там поискать чего-либо..:) Только что именно так и не понял. Все таблицы в норме..Никаких новых записей не было.
например..На другом форуме часто турки хакали и вешали сообщение. Ну пройдясь по таблицам БД с этим текстом, быстро находишь где внесены эти записи, и просто удаляешь их. И форум опять рабочий.
А тут ситуация непонятная..с этим фишингом. Что искать и где??? Отключить на форуме почтовый сервер?Отключали, но рассылки продолжались.
Но мне кажется что-то в таблицах сидит..
Не знает ли кто как с этим бороться?
Или эти вопросы на другом ресурсе надо решать?

Жду ответа. Буду признателен за информацию и консультации..
Спасибо.

2 Ответ от Hanut

  • Hanut
  • Hanut
  • Модератор
  • Неактивен
  • Откуда: Рига, Латвия
  • Зарегистрирован: 2006-07-02
  • Сообщений: 9,726

Re: Вопрос по подозрению фишинга

Oleg_BD
В БД могут храниться тексты писем, но отправлять их должен скрипт, либо программа. Советую проверить директории форума на наличие файлов не присутствующих в дистрибутиве форума, либо поискать что либо странное в других директориях хостинга. Как вариант решения - обновить форум. Ничего конкретнее сказать не могу, так как информации не достаточно.

3 Ответ от Oleg_BD

  • Oleg_BD
  • Редкий гость
  • Неактивен
  • Зарегистрирован: 2006-12-06
  • Сообщений: 4

Re: Вопрос по подозрению фишинга

файлы форума были неизменнны..
Никаких новых также не было..
Блин...странно все это.
Каким-то образом отсылаются письма от адресов пользователей форума..
Как это??

4 Ответ от Hanut

  • Hanut
  • Hanut
  • Модератор
  • Неактивен
  • Откуда: Рига, Латвия
  • Зарегистрирован: 2006-07-02
  • Сообщений: 9,726

Re: Вопрос по подозрению фишинга

Oleg_BD
Вероятно была украдена база данных пользователей, и их данные используются для рассылки. Если рассылка происходит с вашего хоста - это означает, что хакер пользуясь данными украденной БД входит на форум и отправляет с него письма. Руками такое никто не делает, используют скрипты.

Защититься от такого безобразия можно с помощью блокировки IP в админке форума. Необходимо найти IP хакера с помощью собственных умозаключений. Скажем есть пользователь со статическим IP, если в какой-то момент его IP изменился, надо занести его в блоклист. Или скажем несколько пользователей сидят под одним IP - тоже может быть странным. Но при блокировках важно не переборщить, так как легко заблокировать какую-нибудь локальную подсеть все пользователи которой не смогут войти на форум.

Ещё одно. В панели управления сайтом, например, CPanel, необходимо правильно настроить разрешения на доступ к БД используемой форумом. Стандартный набор - это SELECT, INSERT, UPDATE, DELETE. Остальные функции надо назначать очень осторожно. Там же проверьте, чтобы доступ к БД был только с localhost.

5 Ответ от Oleg_BD

  • Oleg_BD
  • Редкий гость
  • Неактивен
  • Зарегистрирован: 2006-12-06
  • Сообщений: 4

Re: Вопрос по подозрению фишинга

Спасибо за ответы..!
Отвечаю несколько с запозданием, посколь работа..и т.д. smile
Я прочитал  ранее Ваше сообщение, проверил..посмотрел..
Но..в силу слабой проф.подготовленности не смог объективно последовать Вашим советам.
Но упоминание, что именно с форума идет рассылка, соответствует действительности.
Вот только определить это не представляется возможным - не имею узко профильных знаний.
Но! форум переустанвливал и  подключал старую БД. Результат - продолжение рассылки!
Значит что-то в таблицах sad

Спасибо за участие в моей проблеме!

6 Ответ от Hanut

  • Hanut
  • Hanut
  • Модератор
  • Неактивен
  • Откуда: Рига, Латвия
  • Зарегистрирован: 2006-07-02
  • Сообщений: 9,726

Re: Вопрос по подозрению фишинга

Но! форум переустанвливал и  подключал старую БД. Результат - продолжение рассылки!
Значит что-то в таблицах

Дело не в том, что в таблицах что-то не так, а в том, что таблицы с данными пользователей находятся в чужих руках, а это примерно тоже самое, что доступ ко всем учётным записям пользователей. Хакер может просто зайти под чужой учётной записью и отправлять с неё письма. Ещё один вариант (совсем плохой) - хакер получил доступ к админке форума, в этом случае он может делать массовые рассылки на почтовые адреса пользователей, например.

Если вы хотите решить проблему, то я могу помочь, свяжитесь со мной через ПМ. Но мне нужен будет полный доступ к хостингу, так что придётся довериться.

7 Ответ от Oleg_BD

  • Oleg_BD
  • Редкий гость
  • Неактивен
  • Зарегистрирован: 2006-12-06
  • Сообщений: 4

Re: Вопрос по подозрению фишинга

Hanut сказал:

Если вы хотите решить проблему, то я могу помочь, свяжитесь со мной через ПМ. Но мне нужен будет полный доступ к хостингу, так что придётся довериться.

Я ответил через ПМ..но что-то тишина..
Передумали?

8 Ответ от Hanut

  • Hanut
  • Hanut
  • Модератор
  • Неактивен
  • Откуда: Рига, Латвия
  • Зарегистрирован: 2006-07-02
  • Сообщений: 9,726

Re: Вопрос по подозрению фишинга

Oleg_BD
Ответил.