Почему форум лежал 10 дней.

[Берт]

20 числа EvilCat увидела на форуме ifame которого не должно было быть.
Я выяснил откуда он берется (код создающий iframe добавлялся в конец каждого *.js файла на хостинге) и накатил чистые файлы из бекапа. Через 15 минут код опять был в *.js файлах. Я снял все бекапы и отключил форум для выяснения причин и характера заражения.

По результатам расследования стало ясно что взломан был не РВ, а вероятно другой сайт на хостинге, откуда скрипт просто гулял по жесткому диску хостинга и заражал все *.js файлы (*.js файлы заражались даже если я удалял весь РВ с хостинга и после смены паролей на ФТП, тоже-самое было на игровом и старом форумах). Я добавил открытие комментария в конец всех *.js файлов везде где имел доступ, но из соображений осторожности не запускал РВ пока хостер не вычистил хостинг. (Что и произошло позавчера, заодно хостер почистил и все три наших проекта за что ему спасибо.)
Почему так долго? Конечно форум я мог запустить уже на третий день, но пока хостер не решил свои проблемы оставалась опасность для пользователей. Очень много времени заняло общение с хостером, лаги в общении между Мной и Ордосом, лаги в общении между Ордосом и Хостером и тормоза самого хостера которому понадобилось несколько дней чтоб поверить что мы не сами себя поломали и исправить проблему со своей стороны. И все это помножилось на безумие последней рабочей недели года.

Так-же, я пользуясь случаем обновил форум до актуальной версии и как всегда:

• Отвалились лайки - постараюсь поправить в самое ближайшее время.
• Возможно повсплывают старые баги которые постоянно всплывают приобновлении версии форума, ну там квоты, быстрые ответы, отвалившийся местами перевод - буду фиксить в рабочем режиме.

Комментарий администратора

ТЕПЕРЬ САМОЕ ВАЖНОЕ: Хотя у меня нет никаких доказательств что была скомпрометирована база данных форума и все указывает на то что этого не было сделано, я крайне рекомендую всем сменить пароли доступа к форуму.

[Akotor]

А я уже решил, что это согласно календарю майя форум положили... Ну удачи.

[Katikris]

Спасибо Берту, который даже перед праздниками не забил на всё, а занимался форумом. С паролями разберёмся.

[EvilCat]

По результатам расследования стало ясно что взломан был не РВ, а вероятно другой сайт на хостинге, откуда скрипт просто гулял по жесткому диску...

Один в один ситуация, которая была у Русской Лиги Покемонов году примерно в 2006, когда она ещё была на shared-хостинге. Кстати, тогда же у неё постоянно отваливалась база данных: сайт был неоптимизированный, а пользователей было много, и для поддержания быстродействия сайтов других клиентов на том же сервере хостер отключал нашу БД, если мы превышали порог нагрузки. Решением мог очень дорогой colocation (VPS тогда почему-то не предлагали), но мы выбрали переехать на домашний хостинг. VPS был бы лучшим решением сегодня для технически не подкованного коллектива, лишь несколько более дорогим, чем shared-хостинг. Насколько я понимаю технологию, это исключает гуляния вируса между сайтами разных клиентов, потому что физических сервер предоставляет клиентам разные виртуальные машины, которые не имеют доступа к "жёстким дискам" друг друга.

Katikris, +1!

Два вопроса. С помощью iframe'а увести пароли скорее всего нельзя, потому что современные браузеры не предоставляют им особых прав, если только сам сайт не говорит "это мой iframe".

• Не включало ли заражение изменения SAME ORIGIN POLICY сайта?
• Солёные ли пароли в базе? Если да, сменить пароль стоит только здесь. Если нет - то везде, где используется тот же пароль.

[Zlanomar]

Спасибо Берту. Да, Большое спасибо.

[CTPAHHUK]

Ну, пока плюсиков нет, будем снова учиться благодарить словами. Спасибо!

[Nutzen]

Это прекрасно.

[Green_eyes]

Берт, спасибо.

[Gets]

Ура!У меня уже ломка началась 

[Берт]

Не включало ли заражение изменения SAME ORIGIN POLICY сайта?

Судя по тому что я видел нам просто пытались впарить виагры.

Солёные ли пароли в базе? Если да, сменить пароль стоит только здесь. Если нет - то везде, где используется тот же пароль.

Солёные.

[Мистер Хомяк]

Спасибо, Берт!

[Ymir]

Крутота.

[egalor]

Жесть. Берту - спасибо!

[Traction]

Присоединяюсь к благодарностям. Вообще не думал, что до нового года поднимут.

[Owl Consular]

Спасибо Берту!

[Dmitry Gerasimov]

Огромное спасибо, Берт!

[Dreyko]

Спасибо, Берт!

[Мышиный Король]

Спасибо!

[Нитроксилин]

Спасибо за починку!

[Melhior]

Спасибо!!!!

Выражусь словами героя моего детсва: "Ура! Заработало!"

[Окна]

Спасибо. 

И правда, прямо "Ура! Заработало!"

[Darksun]

Ура! Спасибо!

[Alas]

Спасибо Берту за наше счастливое ... ну... короче, большое спасибо за заработавший форум

[Анатолий]

Присоединюсь! Спасибо!

[circk]

Переезжайте к нам на вип-тариф. У нас давненько кроссерверных инджекций не было

[Thaliorne]

Спасибо.Старые форумы совсем-совсем умерли ?

[Берт]

Нет.