bitcointalk.org был взломан

[ArsenShnurkov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Unfortunately, it was recently discovered that the Bitcoin Forum's server
was compromised. It is currently believed that the attacker(s) *could* have
accessed the database, but at this time it is unknown whether they actually did
so. If they accessed the database, they would have had access to all
personal messages, emails, and password hashes. To be safe, it is
recommended that all Bitcoin Forum users consider any password used
on the Bitcoin Forum in 2013 to be insecure: if you used this
password on a different site, change it. When the Bitcoin Forum
returns, change your password.

Passwords on the Bitcoin Forum are hashed with 7500 rounds of
sha256crypt. This is very strong. It may take years for
reasonably-strong passwords to be cracked. Even so, it is best to
assume that the attacker will be able to crack your passwords.

The Bitcoin Forum will return within the next several days after a
full investigation has been conducted and we are sure that this
problem cannot recur.

Check http://www.reddit.com/r/Bitcoin/ and #bitcoin on Freenode for
more info as it develops.

We apologize for the inconvenience.

-----BEGIN PGP SIGNATURE-----

iF4EAREIAAYFAlJNCE8ACgkQxlVWk9q1kecABgD9H5sbb0DopdLsODAmv6LWmIaW
kgfyYTlh8GezYbYx7c8A/iTh0/DCwaXuNKK/qUWpewR/L6HEOuAqa/ML1D+K9mZc
=1NYs
-----END PGP SIGNATURE-----

[1715531184]

1715531184

[bitcoincigs]

я так понимаю, это, уже не новость...

[r1ost]

Так что именно случилось,все же .

[awoland]

Произвели инжекцию кода с использованием уязвимости modNews в SMF, загрузив .php через аватары ... В результате дефейс и угон базы.

[tvv]

А почему об этом стало известно?
Не могли по-тихому угнать чтоли?..

[bitok]

А кто получил призовые 50 btc?

[LuciferUA]

Базу уже выложили или еще нет?

[Vicus]

Произвели инжекцию кода с использованием уязвимости modNews в SMF, загрузив .php через аватары ... В результате дефейс и угон базы.

Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.

[Xtc]

Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.

Так это сделал ты? 

[awoland]

Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.

Уж не знаю чего там у них в nginx было, но вот здесь Theymos сам писал сразу после взлома форума (в то время пока он лежал):

Here's what I know: The attacker injected some code into $modSettings['news'] (the news at the top of pages). Updating news is normally logged, but this action was not logged, so the update was probably done in some roundabout way, not by compromising an admin account or otherwise "legitimately" making the change. Probably, part of SMF related to news-updating or modSettings is flawed. Possibly, the attacker was somehow able to modify the modSettings cache in /tmp or the database directly.

Also, the attacker was able to upload a PHP script and some other files to the avatars directory.

Вот как то так от самого хозяина информация, из первых рук ...

[Vicus]

А у меня можно подумать из 10-ых. Я общался с ним в IRC, там он и рассказал, как оно было. А в первоначальном посте просто факт, что добавили код в секцию news, а как он туда попал, он еще не знает... В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.

[Vicus]

Что-то все в кучу смешали... Запуск php-кода в аватарах обеспечила некорректная настройка nginx + fastcgi php (cgi.fix_pathinfo=1 по дефолту в php.ini), а сами аватарки, которые пройдут проверку валидатора можно скрафтить и так.

Так это сделал ты? 

Мог бы в принципе наверно, но неинтересно и лень копаться

[awoland]

В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.

так и я о том же вещал в 4 посте

[Vicus]

В конце он как раз и говорит, что залили шелл в директорию avatars, именно туда, куда был слит начальный загрузчик в виде аватарки. Просто на тот момент он еще не знал как.

так и я о том же вещал в 4 посте

Произвели инжекцию кода с использованием уязвимости modNews в SMF

Не было никакой уязвимости  modNews в SMF

[awoland]

Возможно здесь я неправильно понял . Признаю ...

[UserCoin]

Какая угроза от взлома конечному смертному пользователю?

[rPman]

Какая угроза от взлома конечному смертному пользователю?

в данном случае злоумышленник имел возможность скопировать базу или сессии авторизованных пользователей форума (ВСЕХ!), получив по желанию фактически полный доступ к аккаунту любого пользователя, т.е. возможность читать и ПИСАТЬ приватные сообщения, публиковать посты и т.п.

Опасность? к примеру злонамеренные или фальшивые публичные сообщения каких либо компаний или организаций, редактирование их старых сообщений (например подмена адреса сбора bitcoin коллективных покупок), в общем фишинг в квадрате.

А так как на форуме никто даже не пытается пользоваться GPG или хотя бы подписью приватным ключом bitcoin (особенно это было бы замечательно, если бы это было на автомате, в т.ч. со стороны форума) то подмену или выдача фиктивной информации может быть обнаружена не сразу.

[tvv]

Типа фринет рулит?

PS  кстати, его до ума-то довели?