ВАЖНО HHIDE.ORG - взломан, меняйте пароли | UPD: 17.10.2020 - повторно взломан

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
Друзья, все, кто был зарегистрирован на HHIDE.ORG прошу сменить пароли от почт и от других сервисов, так как база данных была слита в Интернет. Мы имеем доступ к данной базе данных и об этом форуме также напишем чуть позже свой рассказ, а пока что оставляю вам время и тему "на погадать", как его слили и, как доломал уже я. Хотя тут ломать-то ничего и не пришлось.

1602380887033.png


Администратор форума HHIDE страдает профессиональной импотенцией, прошу воздержаться от посещения данного ресурса. Через какое-то время мы запустим его форум на нашем субдомене, чтобы любой пользователь мог скачать контент с него без ограничений.

red.gif
 
  • Лайк
Reactions: SUser and Anthem

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
29.09.2020 был взломан форум и сделан полный дамп, а 17.10.2020, т.е. сегодня был повторно взломан форум HHIDE, но уже нами. Ранее форум был взломан путем залива шелла через плагин. Шелл сохранился в первом дампе, его все могут лицезреть по следующему пути: /hhide.org/internal_data/addon_batch/13/BS-UnlimitedScroll.zip\\upload\scroll.php

Изучив данный дамп, мной были найдены следующие интересные папки в корне, которые очень сильно меня зацепили:
Код:
anti_ddos
antiddos-hhide
В папке antiddos-hhide имеется конфиг, который и раскрыл все установочные данные от CF:
PHP:
<?php

$config=['whitetime'=>31536000, /*месяц*/ 'bantime'=>604800, /*неделя*/ 'proactivetime'=>3600, /*час*/ 'referertime'=>604800];

$config['limit']=65; // Количество заходов в минуту, после превышения появляется капча. Убедитесь, что нет никаких ajax скриптов, которые обращаются чаще (чат, например).

$config['counter']=['url'=>0, 'user_agent'=>0];
// Если  url установить в ноль, то счетчик будет работать для всего сайта и нужно выставить больше значение limit, если user_agent установить в ноль, не будет учитываться браузер для идентификации пользователя (боты теоретически могут выставлять случайный user_agent)

//$config['referer']=[$_SERVER['HTTP_HOST'], 'yandex.ru', 'google.com', 'google.ru'];
$config['referer']=false; // Рефереры для исключения, ддос боты обычно шлют пустые реферы
$config['adminEmail']='[email protected]'; // Емейл для связи с админом сайта (в случае ошибочной блокировки)

$config['search_bots']=['Googlebot'=>'Google', 'yandex.com/bots'=>'Yandex', 'mail.ru'=>'mail.ru'];  // 'msn.com','bing.com'
$config['search_hosts']=['Google'=>['.googlebot.com', '.google.com'], 'Yandex'=>['.yandex.com', '.yandex.ru', '.yandex.net'], 'mail.ru'=>['.mail.ru'], 'msn.com'=>['.msn.com'], 'bing.com'=>['.msn.com'] ];

//Cloudflare
$configCF=
[
    'email'=>'[email protected]',  // email вашего аккаунта в Cloudflare
    'key'=>'78ce2b4bd4b195827f5ed8fc322141a7f29d4', // Узнать можно на странице dash.cloudflare.com/profile, Global API Key
    'zone'=>'66dd70a64e5c011daccf5697b51d288f', // Zone ID домена в Cloudflare, есть во вкладке Overview

    'countries'=>['RU'=>1, 'UA'=>1, 'BY'=>1, 'KZ'=>1, 'LV'=>1], // страны целевого трафика
    'limit'=>35 // Лимит для IP, прошедших капчу Cloudflare. При превышении лимита, IP банится полностью
];

$config['admin']['pass']='Ghjuhfvvth12332100000__B'; // Пароль админки
Путем нехитрых манипуляций я вошел в данную панель и увидел, что установочные данные все еще рабочие. Далее начался недолгий полет фантазии, который привел меня к документации API CF:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!

Изучив документацию, было принято волевое решение сделать редирект на наш форум и устроить рассылку по пользователям форума, т.к. я не поддерживаю слив персональных данных с тематических площадок. BHF, EXPLOIT, LOLZTEAM, DARSELLER, PROMARKET, PROCRD, а что вы расскажете всем о сливе данных?! СБУ привет!

Как выглядела данная панель можно лицезреть на скришоте ниже.

1602967894299.png

Путем проб о ошибок было накидано немного запросов в REST клиенте Insomnia, любители Postman`а, простите, не было под рукой.
У меня была дилемма: сменить IP в DNS на свой сервер или же создать новое правило в Page Rules. Выбор упал на второй вариант, так как искать такое чуть сложнее.

1602968293645.png
Пришлось немного повозиться и удалить правила, а потом создать свои. В дальнейшем наш Импотент убрал редиректы, но не сменил ключи и на протяжении всего дня я по наличию свободного времени удалял\редактировал\создавал новые правила. В конце концов он сменил ключи и все могло закончиться на данной ноте, если бы он не стал пытаться нас атаковать, оскорблять, брать на "понт" и так далее. Неадекват одним словом.


Причиной повторного взлома стали следующие сообщения:





Цитаты в виде скриншотов будут ниже.
Читаем справа на лево как обычную книгу, это выборочно.

1602969021768.png 1602969162415.png

1602969203594.png 1602969232548.png

После подобного заявления мне пришлось провести аудит сервера и никакого постороннего вмешательства мной не было выявлено, администратор HHIDE - пиздабол, который пытается подогреть интерес к своей личности путем дешевого пиара, который никто не оценил.

Как говорится: хозяин-барин, просил - сделал.

Путем цепочки повышений прав в нескольких приложениях был раскрыт пароль root`а сервера и сдамплена база данных. Уязвимость существует до сих пор и любой желающий может её проверить. Точки входа не даю, все ищем самостоятельно и тренируем мозги.

Знаете, я бы не стал сливать новый дамп форума в Интернет, если бы не попытка неуместного пиара с распространением заведомо ложной информации о взломе нашего ресурса и срача в конференции, который скоро перевалит за 500 сообщений пока я это пишу. Но, увы, я сливаю данный дамп и прикрепляю его к данному сообщению вложением, а также дублирую ссылкой на мегу.
Ссылка на дамп:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Никто из твоей команды мне не помогал и прекращай в чате расспрашивать о данном взломе. Я ненавижу людей и не работаю с ними, это сложно для меня; у меня не хватит терпения попросту на это. Ты глупый ребенок, который возомнил себя "хакером", купил сервер, но даже его настроить не в состоянии. Твой максимум - это порнхаб и слив информации с других форумов. Ты обычный инфоцыган, которых в Интернете масса. И больше не стоит атаковать нас, моя топология сети позволяет масштабировать ее почти налету.

Немного ссылок, кому интересна выборка из срача, но неинтересно это все читать. Правда, не стоит читать, одна грязь, которая останется лишь для истории.
Код:
https://t.me/chat_dark_time/36426
https://t.me/chat_dark_time/36437
https://t.me/chat_dark_time/36443
https://t.me/chat_dark_time/36974
https://t.me/chat_dark_time/36987
https://t.me/chat_dark_time/36993
https://t.me/chat_dark_time/37062
https://t.me/chat_dark_time/37069
https://t.me/chat_dark_time/37096
https://t.me/chat_dark_time/37136
https://t.me/chat_dark_time/37184

Есть отличная притча, подумай на досуге, а пока, отвали.



Итоги:
  1. Администратор HHIDE - пиздабол на счет слития нашего форума.
  2. Была успешна проведена атака на приложение и получены root права.
  3. Повторно слит HHIDE в знак подтверждения моих всех слов выше.

Если вы распространяете данный дамп - прикрепляйте ссылку на данную тему, чтобы у общества было понимание, что произошло и почему так, а не иначе.


Я активно веду набор в команду форума на следующие вакансии: программист, журналист и реверс-инженер. Если вы обладаете одним из навыков - для вас открыта наша команда.


Спасибо за внимание, ваш AnGel.​
 

Вложения

Texno_TP

Участник

Texno_TP

Участник
17 Окт 2020
2
3
Видел весь этот барагоз в чате и даже за скринил
Ангел красавчик и слова на ветер не кидал!
Screenshot_20201017_201851_com.android.chrome.jpg Screenshot_20201017_201944_com.android.chrome.jpg
 
  • Лайк
Reactions: AnGel
28 Ноя 2018
13
12
Очень интересно, но ничего не понятно.
Я правильно понимаю, что допустим Maximus333 - логин, [email protected] - почта, пароль - 485A2D456C59432D6535474C453079304C4B3068383439457A6D3852642D7757
Если да, то пароль в sha256 ?
 

Stalker043

Пользователь

Stalker043

Пользователь
22 Сен 2016
102
25
Ни сего не понила, но спс за подсказку с HHIDE.ORG , закончатся тех работы обязательно там посижу
 

AnGel

Администратор
Команда форума

AnGel

Администратор
Команда форума
27 Авг 2015
3,413
2,025
Очень интересно, но ничего не понятно.
Я правильно понимаю, что допустим Maximus333 - логин, [email protected] - почта, пароль - 485A2D456C59432D6535474C453079304C4B3068383439457A6D3852642D7757
Если да, то пароль в sha256 ?
Я не буду помогать в данном вопросе ввиду того, что наш форум тоже на xenforo.

Ни сего не понила, но спс за подсказку с HHIDE.ORG , закончатся тех работы обязательно там посижу
Счастливого пути! Но для начала выполните простую операцию:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, мы никого не держим.
 
  • Лайк
Reactions: BlackCanis

Stalker043

Пользователь

Stalker043

Пользователь
22 Сен 2016
102
25
Я не буду помогать в данном вопросе ввиду того, что наш форум тоже на xenforo.


Счастливого пути! Но для начала выполните простую операцию:
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, мы никого не держим.
я может еще 20 раз передумаю туда уходить
 

mabz

Участник

mabz

Участник
8 Ноя 2017
1
1
Был одним из свидетелей этого увлекательного действия.
 
  • Лайк
Reactions: AnGel

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя