Разбор phpBB (CVE-2026-48611) инцидента

[elpresidente*]

Форум подвергся атаке через уязвимость phpBB (CVE-2026-48611), опубликованную буквально за несколько дней до этого. Злоумышленник на короткое время получил права администратора, удалил часть содержимого в нескольких разделах и подменил настройку переадресации.
Атака была обнаружена и пресечена в течение ~18 минут.

Хронология событий (время сервера, 15 июня)

10:02–10:06 — Злоумышленник зашёл на форум и осмотрелся: читал темы, список участников, профиль администратора.
10:07 — Воспользовался уязвимостью phpBB (CVE-2026-48611) и обошёл проверку входа.
10:09–10:11 — Зарегистрировал поддельную учётную запись и выдал ей права администратора.
10:11 — Вошёл в панель управления форумом.
10:13–10:14 — Включил и сразу отключил расширение privet/showbanner — из-за этого у части посетителей ненадолго появлялись ошибки на странице участников.
10:19 — Удалил сообщения в разделе «Администрация».
10:20 — Изменил настройки форума, включив переадресацию на посторонний сайт.
10:22 — Удалил сообщения в разделах «Лидеры Форума» и «Архив».
10:23 — Администратор заметил вторжение.
10:24 — Снял с поддельной учётки права администратора и заблокировал её.
10:25 — Злоумышленник попытался вернуть себе доступ (удалось на пару минут).
10:27 — Администратор сбросил пароль и почту поддельной учётки.
10:28 — Сброшены все активные сессии — доступ злоумышленника закрыт окончательно.
10:29 → далее — Форум переведён в офлайн, база данных восстановлена из резервной копии (создана в 02:02, до атаки), удалённое содержимое возвращено.

Весь инцидент — от проникновения до полной блокировы — занял около 18 минут.
Потерь пользовательских данных нет.

Ваши данные в безопасности:
- Личные сообщения участников не читались — ни одно сообщение не было открыто.
- Персональные данные (адреса эл. почты и пр.) не просматривались и не выгружались — злоумышленник не обращался ни к управлению пользователями, ни к инструментам экспорта/резервного копирования базы.
- Содержимое пострадавших разделов полностью восстановлено из резервной копии, потерь данных нет.

Атака была оппортунистической, а не целенаправленной.
Использован свежеопубликованный публичный эксплойт, доступ через анонимайзер (VPN).
Признаков кражи данных или внедрения вредоносного кода (бэкдоров) нет.

Принятые меры:
- Уязвимый механизм входа отключён — уязвимость закрыта.

[assassello]

И ФМ тоже хакнули сегодня. Скорее всего, кто-то из наших "приветовских" развлекается.

[elpresidente*]

Очень маловероятно, думаю что был бот.
Скорее всего будет взломано достаточно большое количество phpBB форумов т.к. дыра очень большая и на достаточно популярной версии.
Если-бы действовал человек то скорее всего была-бы попытка скачать всю базу данных - на данном форуме это невозможно сделать, но не все так осторожны и по умолчанию это можно сделать из консоли админа на сайте.
Админ так-же может видеть адреса почты пользователей и их IP (на этом форуме показ IP заблокирован).
Т.е. как минимум адреса почты можно украсть с помощью простого скипта и сделать это очень быстро.
Пожалуй все.

[Mad Hatter]

Хорошо что хорошо кончается.

[IL]

Т.е. как минимум адреса почты можно украсть с помощью простого скипта и сделать это очень быстро.

Т.е. адреса почты не были украдены? Вы бы это увидели в логах?

[elpresidente*]

Т.е. как минимум адреса почты можно украсть с помощью простого скипта и сделать это очень быстро.

Т.е. адреса почты не были украдены? Вы бы это увидели в логах?

phpBB logs + nginx logs - так как все страницы генерируются на сервере есть полный аудит всех сессий.

[elpresidente*]

Хорошо что хорошо кончается.

Очень верно подмечено, при наличии небольшого количества мозгов можно было бы нанести куда более значительный урон.

[LadyLiberty]

Форум подвергся атаке через уязвимость phpBB (CVE-2026-48611), опубликованную буквально за несколько дней до этого. Злоумышленник на короткое время получил права администратора, удалил часть содержимого в нескольких разделах и подменил настройку переадресации.
Атака была обнаружена и пресечена в течение ~18 минут.

Хронология событий (время сервера, 15 июня)

10:02–10:06 — Злоумышленник зашёл на форум и осмотрелся: читал темы, список участников, профиль администратора.
10:07 — Воспользовался уязвимостью phpBB (CVE-2026-48611) и обошёл проверку входа.
10:09–10:11 — Зарегистрировал поддельную учётную запись и выдал ей права администратора.
10:11 — Вошёл в панель управления форумом.
10:13–10:14 — Включил и сразу отключил расширение privet/showbanner — из-за этого у части посетителей ненадолго появлялись ошибки на странице участников.
10:19 — Удалил сообщения в разделе «Администрация».
10:20 — Изменил настройки форума, включив переадресацию на посторонний сайт.
10:22 — Удалил сообщения в разделах «Лидеры Форума» и «Архив».
10:23 — Администратор заметил вторжение.
10:24 — Снял с поддельной учётки права администратора и заблокировал её.
10:25 — Злоумышленник попытался вернуть себе доступ (удалось на пару минут).
10:27 — Администратор сбросил пароль и почту поддельной учётки.
10:28 — Сброшены все активные сессии — доступ злоумышленника закрыт окончательно.
10:29 → далее — Форум переведён в офлайн, база данных восстановлена из резервной копии (создана в 02:02, до атаки), удалённое содержимое возвращено.

Весь инцидент — от проникновения до полной блокировы — занял около 18 минут.
Потерь пользовательских данных нет.

Ваши данные в безопасности:
- Личные сообщения участников не читались — ни одно сообщение не было открыто.
- Персональные данные (адреса эл. почты и пр.) не просматривались и не выгружались — злоумышленник не обращался ни к управлению пользователями, ни к инструментам экспорта/резервного копирования базы.
- Содержимое пострадавших разделов полностью восстановлено из резервной копии, потерь данных нет.

Атака была оппортунистической, а не целенаправленной.
Использован свежеопубликованный публичный эксплойт, доступ через анонимайзер (VPN).
Признаков кражи данных или внедрения вредоносного кода (бэкдоров) нет.

Принятые меры:
- Уязвимый механизм входа отключён — уязвимость закрыта.

Браво,президент,оперативно!
Вопрос к вам @elpresidente*
А что это такое?см.ниже копию.. эта шапка стоит в теме "Луиджи вернись" вместо голосования после вторжения хакера и восстановления Вами работы форума. И чтоб дважды не вставать, не могли бы вы дать доступ к форуму Луиджи? Я не вникала и уже забыла,а говорят, что он сам попросил забанить его, но Колбасов ведь тоже просил, а его не забанили. Оба ники интересные. Луиджи - неконфликтный и содержательный, уверена, многим хотелось бы его видеть на форуме.Кроме того, он всегда был активным юзером, что форуму только плюс.
А это - та самая шапка, о которой говорила выше.
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1091: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1091: Trying to access array offset on value of type null
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Trying to access array offset on value of type null
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Trying to access array offset on value of type null

[elpresidente*]

А что это такое?см.ниже копию.. эта шапка стоит в теме "Луиджи вернись" вместо голосования после вторжения хакера и восстановления Вами работы форума. И чтоб дважды не вставать, не могли бы вы дать доступ к форуму Луиджи? Я не вникала и уже забыла,а говорят, что он сам попросил забанить его, но Колбасов ведь тоже просил, а его не забанили. Оба ники интересные. Луиджи - не конфликтный и содержательный, уверена, многим хотелось бы его видеть на форуме.Кроме того, он всегда был активным юзером, что форуму только плюс.
А это - та самая шапка, о которой говорила выше.
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1091: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1091: Trying to access array offset on value of type null
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Trying to access array offset on value of type null
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Trying to access array offset on value of type null

Боюсь что тот топик не пережил этого инцидента, его придется создать снова.
Что произошло с Луиджи уже не помню в деталях, если мне не изменяет память он уже возвращялся и где-то писал под другим именем.

[assassello]

Топик про Луиджи был в "Дом", разве?
Вроде как еще пара топиков из "Основного" туда переехали.

[elpresidente*]

Вижу viewtopic.php?t=6218
Попробую починить.

[elpresidente*]

Починил.
@LadyLiberty

[LadyLiberty]

А что это такое?см.ниже копию.. эта шапка стоит в теме "Луиджи вернись" вместо голосования после вторжения хакера и восстановления Вами работы форума. И чтоб дважды не вставать, не могли бы вы дать доступ к форуму Луиджи? Я не вникала и уже забыла,а говорят, что он сам попросил забанить его, но Колбасов ведь тоже просил, а его не забанили. Оба ники интересные. Луиджи - не конфликтный и содержательный, уверена, многим хотелось бы его видеть на форуме.Кроме того, он всегда был активным юзером, что форуму только плюс.
А это - та самая шапка, о которой говорила выше.
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1091: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1091: Trying to access array offset on value of type null
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Trying to access array offset on value of type null
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Undefined array key 0
[phpBB Debug] PHP Warning: in file [ROOT]/viewtopic.php on line 1098: Trying to access array offset on value of type null

Боюсь что тот топик не пережил этого инцидента, его придется создать снова.
Что произошло с Луиджи уже не помню в деталях, если мне не изменяет память он уже возвращялся и где-то писал под другим именем.

Так наверное нет смысла голосовать, ведь он не был забанен голосованием форума как Маркиза, например, поэтому может достаточного вашего решения разблокировать ему доступ плиииз

[невидимка]

Спасибо!