Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Портал > Безопасность

Ответ
 
Опции темы Опции просмотра
flagman вне форума flagman
Нерешительный


| Цитировать Старый #1 09-15-2005, 16:28

Такая фигня. Каким-то образом заменили index.php на index.html в корневом каталоге. Просветите пожалуйста.

вот код того index.html

<html>
<head>
<title> Anomaly 1n the System CrEW</title>
<style TYPE="text/css">
<!--
A:link {text-decoration: none}
A:visited {text-decoration: none}
A:hover { text-decoration: none;}
-->
</style>
</head>
<body bgcolor="#000000" text="#FFFFFF">
<br><br>
<br><br>
<p align= "center"><font size="2" face="terminal">A n o m a l y &nbsp; 1 n &nbsp; t h e &nbsp; S y s t e m &nbsp; C r E W</font></p>
<p align= "center"><font size="2" face="terminal">i S &nbsp; B A C K &nbsp; ! ! !</font></p>
<br><br>
<p align= "center"><font size="2" face="terminal">O O O . . . W W W . . . E E E . . . D D D . . .</font></p>
<br><br>
<p align= "center"><font size="2" face="terminal"><u>We are:</u></font></p>
<p align= "center"><font size="2" face="terminal">V4mu&nbsp;&nbsp;<*>&nbsp;&nbsp;S0l 4r1s&nbsp;&nbsp;<*>&nbsp;&nbsp;paulinhu&nbsp;&nbsp ;<*>&nbsp;&nbsp;r3ckd4ll&nbsp;&nbsp;<*>&nbsp;&nbsp ;magic</font></p>
<p align= "center"><font size="2" face="terminal">Need help ? #A1TS on irc.gigachat.net</font></p>
</body>
</html>

  Сообщения: 4 c 28.08.2005 | Репутация: 1
D@rk вне форума D@rk
Старший участник

Аватар для D@rk

| Цитировать Старый #2 09-15-2005, 16:40

Могли ftp положить..ссылку на сайт дай посмотрим мож дырки какие есть..


http://dark-lost.livejournal.com/ - Тихий уголок мыслей.
Посетить домашнюю страницу D@rk
  Сообщения: 948 c 21.01.2005 | Репутация: 1
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #3 09-15-2005, 20:58

Это взлом через Newbb Plus, лекарство в аттаче (то что обнаружено на данный момент, может есть и еще дырки)

Если повторится пишите сюда и мне в приват
Вложения
Тип файла: zip fixpack_newbb_plus_15_09_05.zip (9.3 Кбайт, 65 просмотров)


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
clog вне форума clog
Зам старшего участника

Аватар для clog

| Цитировать Старый #4 09-15-2005, 22:19

LARK*
Не мог бы написать сюда (или в личку) что ты изменил?
А то в эти файлы я как то редактировал...


Спасибо.

  Сообщения: 470 c 01.10.2004 | Репутация: 3
Irbis вне форума Irbis
Старший участник

Аватар для Irbis

| Цитировать Старый #5 09-15-2005, 22:40

LARK* Таблетка для какой версии?

Посетить домашнюю страницу Irbis
  Сообщения: 648 c 15.02.2005 | Репутация: 64
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #6 09-15-2005, 22:48

Irbis clog

Таблетка для 1.2 Но если делать в ручную то подойдет для всех версий. Во всех PHP файлах папки modules/newbb_plus/class нужно в начале файла добавить


if (!defined('XOOPS_ROOT_PATH')) {
exit();
}

Хотя уязвимы только те два файла которые я выложил

P.S. Это исправление от SVL

Последний раз редактировалось LARK, 09-15-2005 в 23:10


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #7 09-16-2005, 01:48

Вот исправленные файлы - для RunCMS 1.2 (newbb plus 0.82) и RunCMS 1.1A (newbb plus 0.81)

Ставятся на "чистый" newbb plus т.е. без хаков и изменений
Вложения
Тип файла: zip fixpack_newbb_plus_0.81_15_09_05.zip (36.1 Кбайт, 41 просмотров)
Тип файла: zip fixpack_newbb_plus_0.82_15_09_05.zip (36.9 Кбайт, 42 просмотров)

Последний раз редактировалось LARK, 09-16-2005 в 01:55


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Deemitri вне форума Deemitri
Нерешительный


| Цитировать Старый #8 09-16-2005, 01:56

сказал 2 файла поправить а ща вон их сколько в архиве!!... и никаких комментариев. 2 файла поправить недостаточно?

  Сообщения: 9 c 20.06.2005 | Репутация: 1
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #9 09-16-2005, 02:22

Я просто пока не хочу вдавться в детали.

В папке modules/newbb_plus/class уязвимы только два файла, те которые я вначале выложил. Для остальных из этой же папки сделана просто "профилактика" - чтобы к ним не был прямой доступ.

Остальные три файла в modules/newbb_plus/ закрывают дырку от SQL инъекций. В версии 1.2 эта уязвимость блокируется специальным фильтром от SQL инъекций, но сами переменные из за которых и возможна это инъекция не проверяются, поэтому возможен вариант, когда фильтр не сможет блокировать атаку и файлы окажутся не защищены.

P.S. Из за этой дырки вчера были взломаны два датских сайта, один из которых датская поддержка RunCMS


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
SVL вне форума SVL
Младший участник


| Цитировать Старый #10 09-16-2005, 03:03

Цитата:
LARK:
if (!defined('XOOPS_ROOT_PATH')) {
exit();
}
Это надо делать не только в ньюбб+, а во всём движке, во всех модулях.
Добавить пару строк не трудно, но головных болей станет на много меньше.

А вместо exit скрипт можно перенаправить в любую сторону - редирект на индекс, вызов абуси или матюг какой нибуть написать


Желаю, чтобы все!!!
Посетить домашнюю страницу SVL
  Сообщения: 26 c 19.01.2005 | Репутация: 2
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2024, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 84.97 Kb. compressed to 77.59 Kb. by saving 7.38 Kb. (8.68%)
Page generated in 0.07858 seconds with 11 queries