Судя по журналам событий, кому-то очень захотелось провести ночь необычно. Вместо того чтобы смотреть сериал или спокойно спать, человек решил проверить, получится ли уничтожить форум, которому уже много лет.
К счастью для всех участников форума, эксперимент оказался неудачным.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Как всё происходило
После анализа журналов phpBB удалось восстановить основную последовательность событий.
▶ Шаг 1. Появляется новый пользователь
На форуме появляется пользователь:
Обычная регистрация.
На тот момент ничто не вызывало подозрений.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▶ Шаг 2. Неожиданное превращение
Дальше начинается самое интересное.
Совершенно обычный пользователь внезапно получает
права администратора.
В журнале событий последовательно зафиксировано:
- Пользователь добавляется в группу «Адміністратори».
- Группа администраторов становится для него основной.
Именно в этот момент злоумышленник получает
полный контроль над форумом.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▶ Шаг 3. Вход в административную панель
После получения административных прав выполняется вход в
ACP (панель администратора).
Теперь перед злоумышленником открываются практически все возможности управления форумом.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▶ Шаг 4. «Ну что, ломаем?»
Дальше начинается самое неприятное.
Меняются настройки форума.
После этого начинается массовое удаление данных.
То, что участники форума создавали годами, буквально за короткое время начинает исчезать.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▶ Шаг 5. Исчезновение
После завершения своих действий пользователь
daxoxo9994 снова перестаёт быть администратором.
В журнале присутствует запись об удалении его из группы администраторов.
То есть после завершения атаки он практически «исчезает», оставляя после себя только записи в журналах событий.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▶ Маленькая неожиданность
Но есть одна маленькая проблема...
Форум регулярно резервировался.
Поэтому спустя несколько часов практически всё было восстановлено.
— Всё удалил?
— Да.
— А резервную копию видел?
— ...
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Откуда была атака?
По журналам был установлен IP-адрес, который при проверке относился к инфраструктуре в
Швейцарии.
Однако это вовсе не означает, что сам злоумышленник находился именно в Швейцарии.
Сегодня очень часто используются VPN, прокси-серверы и арендованные виртуальные серверы, поэтому IP показывает лишь точку выхода в Интернет.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Самый интересный вопрос
Как злоумышленник вообще получил права администратора?
Именно этот вопрос остаётся самым загадочным.
Журналы очень хорошо показывают
что произошло, но не всегда позволяют понять
каким способом это было сделано.
Поэтому ниже — наиболее вероятные версии.
Версия №1. Получен доступ к существующему администратору
Если злоумышленник каким-то образом узнал пароль администратора или получил доступ к его учётной записи, дальнейшие действия становятся понятными.
Но возникает вполне логичный вопрос.
Зачем тогда создавать нового пользователя и назначать его администратором?
Если уже есть полный доступ к настоящему администратору, можно было работать сразу из его учётной записи.
Поэтому эта версия выглядит возможной, но оставляет вопросы.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Версия №2. Использование уязвимости phpBB или установленного расширения
Не исключено, что была использована неизвестная уязвимость самой версии phpBB либо одного из расширений.
В этом случае злоумышленник мог изменить права пользователя без знания пароля администратора.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Версия №3. Захват административной сессии
Ещё один возможный вариант — использование уже существующей административной сессии.
Получив идентификатор активной сессии администратора, злоумышленник мог попасть в ACP без знания пароля.
После этого создать собственного администратора — дело нескольких секунд.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Автоматический сценарий атаки
Очень похоже, что многие действия выполнялись автоматически.
Подобные инструменты обычно работают по одной и той же схеме:
- Создать собственного пользователя.
- Назначить его администратором.
- Выполнить необходимые действия.
- Убрать администратора из группы, чтобы скрыть следы.
Именно такую последовательность мы наблюдаем в журнале событий.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🛡 Что изменилось после атаки?
После восстановления форума были внедрены дополнительные меры защиты.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Вместо заключения
Если целью атаки было уничтожить форум —
Не получилось.
Если целью было заставить администратора отказаться от проекта —
Тоже не получилось.
Форум восстановлен.
Данные сохранены.
А система безопасности сегодня значительно сильнее, чем была до этой ночи.
Надеюсь, этот разбор поможет и другим владельцам форумов задуматься о безопасности своих проектов: регулярно делать резервные копии, ограничивать доступ к административной панели и внимательно следить за журналами событий.
но насколько я понимаю атака на форум стоит аудиофилу денег, и поскольку форум работает, то аудиофил тратит деньги и страдает. 
а результата нет.
Как всё происходило
Откуда была атака?
Самый интересный вопрос
Вместо заключения
