сабж, как с этим бороться, может есть какие заплатки ?

дык анализ инцидента делать надо. Выяснять, каким образом это поисходит. Какого ответа Вы ждете, если никакой информации нет?

админы хостера, никак не могут ничего выдать. А вопрос о том что может у кого такое было и проблема была решена.
Исходя из общения с админами хостера и инфы из инета и личного опыты , есть мнение что в PHPBB дырка на дырке, сейчас ищу форум чтобы он был не древовидный и работал на mysql и php, хотелось бы услышать мнения кто чем пользуется ?
от пхпББ наверное откажусь, щас параллельно читаю результаты поиска, кое чего есть

Bonch
Есть специальная тема: FAQ: выбор движка форума
Я, после phpBB, с удовольствием сейчас пробую SMF - небо и земля, ИМХО!

Bonch
Исходя из общения с админами хостера и инфы из инета и личного опыты
Информацию о дырах нужно брать из баг-трека на сайте производителя. Там же, как правило, сразу после публикации уязвимости, появляется и временное решение о заделке дыры, до выхода официального исправления.

сейчас ищу форум чтобы он был не древовидный и работал на mysql и php
vBulletin, причем, честно купленный.

Ну а по сабжу - скорее всего, SQL-инъекция. Анализируйте логи запросов к базе и проверяйте права.

Rasmus

можете что-нибудь сказать про SMF в плане безопастности ?
Например я два раза ставил пхпББ и два раза не то чтобы его ломали, а его убивали в ноль нужно было с нуля опять инсталять

Сейчас для меня на первом месте стоит критерий безопастности.

SavageNoName
с радостью бы занялся данным анализом, но сервер не мой и такого доступа нет, а админы даже не могут сформировать лог access апача

Bonch
я два раза ставил пхпББ и два раза не то чтобы его ломали, а его убивали в ноль нужно было с нуля опять инсталять
Это больше похоже не на проблемы движка, а на недостаток квалификации при настройке сервера. Особенно, в части прав доступа. Были, конечно, и серьзные уязвимости, но с учетом того, что админы даже не могут сформировать лог access апача - думаю, что проблема не в движке.

Вы где такой хостинг-то нашли?

Hint: лог апача формировать не надо - он либо есть, либо его нет. Я же говорил про лог mySQL. Или и его тоже нет?

Bonch
Насчет безопасности - по слухам, он менее дыряв, чем пхпББ.
А насчет логов - я тоже улыбнулся, за компанию с SavageNoName
Меняйте хостера на вменяемого, с хорошим саппортом и образованными админами - тогда, глядишь, и движок менять не придется...

SavageNoName
про лог апача имелось ввиду что лог есть не могут выдать мне выборку из него, хостинг судя по всему довольно серьёзный (предлагают свои сервера у нас и в америке, как бы то нибыло выбирал хостера очень долго и по параметрам подошёл только он, какой говорить не буду, не хочу антирекламы), но на проверку всё оказалось очень криво, как уже написал не могут выдать мне лог и с бэкапом базы тоже не всё там к них понятно уже второй день их мучаю, а проект стоит

Как бы то нибыло меня сейчас интересует безопастность SMF относительно phpBB ?
По скольку проект буду поднимать не на пхпВВ а уже схожусь на SMF.
Насколько вероятно опять снесут все таблици когда я установлю SMF.
При условии что я его проинсталяю и не буду сидеть мудрить с правами доступа, которые должен установить сам инсталяционный интерфейс, по хорошему.

Bonch
про лог апача имелось ввиду что лог есть не могут выдать мне выборку из него

Копи-пасте не сделать? А лучше заархивировать и отправить целиком. Хотя, нормальные хостеры предоставляют доступ к логам. Здесь же, похоже, что логи были отключены.

хостинг судя по всему довольно серьёзный (предлагают свои сервера у нас и в америке
Это не показатель серьезности. Совершенно.

выбирал хостера очень долго и по параметрам подошёл только он
Видимо, по цене, месту на дисках и бесплатному трафику. Я прав?

какой говорить не буду, не хочу антирекламы
И это правильно. Сами загнуться

Как бы то нибыло меня сейчас интересует безопастность SMF относительно phpBB ?
Не подскажу, сорри. Не имел дела.

Насколько вероятно опять снесут все таблици когда я установлю SMF
С подходом типа не буду сидеть мудрить с правами доступа, которые должен установить сам инсталяционный снесут что угодно. Без обид.
И права, к слову, существуют не только на файловой системе.

не могут выдать мне выборку из него
cat /var/log/apache/access.log | grep что-нибудь > out.txt
в самом худшем случае.

AckCmd
Это при условии, что логи ведутся/не трутся/админы знают, что это.

SavageNoName
к хостингу не так было много требований, помимо всего прочего mysql+php и т.д. нужно ещё было SSH и наличие его на территории англоязычной публики, оказалось довольно не просто найти хостера чтобы он имел это всё, хатя когда начинал искать думал что найду за пару секунд.

По поводу всех ответов, без обид, они совершенно не несут информационной нагрузки какую я ожидал при создании данной темы.
Из-за чего взломали
- судя по всему подломали из-за дрявости скриптов, а не из-за неправильного доступа к файлам
- по доступу к базе там разрешено только с локалхоста

SavageNoName
Какие Вы можете дать мне конкретные рекомендации после установки форума, в частности SMF(установил). Помню что не имели дела, хотябы смысл основных шагов ?

Bonch:
Одно могу сказать точно: от вашего хостера надо уходить, отсутствие доступа к логам - более чем достаточная для этого причина. Если бы были логи, установить причину "взлома" было бы гораздо проще.

Интуиция подсказывает мне, что дырки в скриптах здесь непричем.
Больше похоже на то, что кто-то получил чей-то пароль..

phpBB совсем не настолько дырявая, как об этом принято говорить.

Кстати, насчет заплаток: вроде бы последняя версия - 2.0.21, а у вас - 2.0.20. Обновляться всегда полезно.

Bonch
наличие его на территории англоязычной публики
То, что Вы перечислили, предоставляет любой уважающий себя хостер. Единственное специфичное требование - сервер у буржуев. Так и надо было покупать хостинг у буржуев, а не у непонятной конторы, которая, скорее всего, имеет колокейшн где-то на западе.

По поводу всех ответов, без обид, они совершенно не несут информационной нагрузки
Как сказать, как сказать...

Из-за чего взломали
Видимо, это стечение обстоятельств: уязвимость в скрипте + пользователь mySQL с избыточными правами. В результате удалены таблицы. Доступ-то к mySQL хоть не под рутом?

Какие Вы можете дать мне конкретные рекомендации
Использовать скрипты, полученные только с сайта разработчика.
Установить права на файловую систему в соответствии с требованиями разработчика. Скорее всего, на несколько каталогов надо будет дать 777, всё остальное - 644 или что пишут в документации.
Пользователя mySQL максимально ограничить в правах.
Апач и mySQL ни в коем случае не должны запускаться под рутом.
Включить логи как апача, так и mySQL. Периодически их анализировать.

Shesmu
- по поводу обновления согласен, но в эту версию было много внесено изменений на уровне кода и опять всё это перелапачивать не очень хочется
- по всем признакам , я так понимаю пароль от базы украден, это могло случиться только если ктото зашёл на фтп и посмотрел конфы, если бы тот товарищь который удалил всё базу он бы точно удалил все файлы с фтп но файлы целы, значит доступа к фтп у него нет.
- больше пароль не как нимог попасть в третьи руки, подбор невозможен, это точно, поскольку уже такое было и пароли поменялись, первый раз думал что не из-за форума.
Остаётся только через форум, но не пойму как можно все таблици то удалить, даже которые не связаны с форумом ?
Подлом через сайт, думаю наврядли, вроде на сто раз тестировался и не только мной.

Bonch
всё это перелапачивать не очень хочется
Э-э-э... Вы вносили модификации в движок или phpBB так и хранит до сих пор всё в скриптах? Шаблоны и всё такое существует?
В любом случае, перелопачивать придётся, ибо это и есть работа веб-админа. Если влом, то будут иметь и дальше.

но не пойму как можно все таблици то удалить, даже которые не связаны с форумом
"О сколько нам открытий чудных..."
База одна => юзер один => прав у него слишком много => cкрипты используют этого юзера для доступа => первая уязвимость в скрипте => снос всего, на что есть права у юзера. Доступ на фтп не нужен.

SavageNoName
на словах вроде всё гладко , но и итоге мусклу должен прилететь запрос DROP ..... , при условии что все запросы там формируются динамически и принимаются только параметры.
а команды DROP в скриптах нету и параметры как есть не выполняются.
Я к тому что может ошибка и есть но нельзя же так , доступ у пользователя есть и снос всего, это же нужно ещё и кодом подкрепить.

Bonch
команды DROP в скриптах нету и параметры как есть не выполняются.


это же нужно ещё и кодом подкрепить
Каким кодом? Есть ошибка в обработке параметра. Вот и ушел в mySQL дроп и вообще всё, что угодно. Это и называется уязвимость.