Nawigacja

Aktualnie online

Gości online: 12

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@

17.11.2024 11:33:24

Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn

16.11.2024 20:46:18

tja

Zbigniew@

15.11.2024 18:58:17

Kto pije, ten nie bije.

JazOOn

31.10.2024 20:49:47

Kto pije?

piterus

30.10.2024 19:45:48

I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..."

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » PHP-Fusion v7 Support » Błędy i korekty

Prawdopodobna dziura umożliwiająca zdalne dodanie SA
makro	#1 Dodany dnia 10.11.2008 23:56:11
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51	Dzisiaj zarejestrował się człowieczek z prawami administratora z IP 0.0.0.0 - na pewno nie dodawałem nikogo, jestem też jedynym administratorem. Nie zrobiłem screenshotów, bo zająłem się jak najszybszym usunięciem tego konta. Zrobiłem kopię bazy danych. Co proponujecie robić dalej? PW od moderatora: Zmiana nazwy tematu - jantom 11.11 - 00:04 Edytowane przez Pieka dnia 11.11.2008 12:30:13


Wścibski Gość	Dodany dnia 23.11.2024 11:27:18
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

jantom	#2 Dodany dnia 11.11.2008 00:04:25
Weteran Postów: 3460 Pomógł: 123 Data rejestracji: 31.03.2005 20:10	Sprawdzić wpakowane na serwer wtyczki oraz przejrzeć logi serwera.


makro	#3 Dodany dnia 11.11.2008 00:21:31
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51	Wtyczek nie ma, a w logach jedynie to mi się wydaje podejrzane, bo nie używam forum. Oto podejrzany log: Rozwiń Kod źródłowy 216.83.63.254 - - [10/Nov/2008:22:55:31 +0100] "GET /maincore.php HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1" 216.83.63.254 - - [10/Nov/2008:22:55:32 +0100] "POST /search.php?stext=xxx&search=Search&method=OR&stype=all&forum_id=0&datelimit=0&fields=5&sort=datestamp&order=0&chars=50 HTTP/1.1" 200 22704 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1" 216.83.63.254 - - [10/Nov/2008:22:55:36 +0100] "POST /search.php?stext=xxx&search=Search&method=OR&stype=all&forum_id=0&datelimit=0&fields=5&sort=datestamp&order=0&chars=50 HTTP/1.1" 200 22704 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1" 216.83.63.254 - - [10/Nov/2008:22:55:40 +0100] "POST /search.php?stext=xxx&search=Search&method=OR&stype=all&forum_id=0&datelimit=0&fields=5&sort=datestamp&order=0&chars=50 HTTP/1.1" 200 22675 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1" 216.83.63.254 - - [10/Nov/2008:22:55:45 +0100] "POST /forum/attachments/mgqhx.php HTTP/1.1" 200 20 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1" 216.83.63.254 - - [10/Nov/2008:22:55:46 +0100] "POST /forum/attachments/mgqhx.php HTTP/1.1" 200 333 "-" "Mozilla/4.0 (compatible; 6.0; Windows NT 5.1" Edytowane przez jantom dnia 11.11.2008 08:41:12


bartek124	#4 Dodany dnia 11.11.2008 06:54:08
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	/forum/attachments/mgqhx.php Pokaż zawartość tego pliku. Nie pomagam na komunikatorach oraz PW!


Adam-240	#5 Dodany dnia 11.11.2008 09:32:10
Przedszkolak Postów: 18 Ostrzeżeń: 4 Data rejestracji: 05.11.2008 17:50 Złamana licencja	A może ktoś ci wpakował Keyloggera do kompa i sobie przechwycił te dane bo by to było raczej łatwiejsze i szybsze niż szukanie luki w fusionie, no chyba że ją już znał.


makro	#6 Dodany dnia 11.11.2008 11:03:42
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51	Plik jest zakodowany base 64, ma 28 kB wielkości. Trochę za duży na umieszczenie tutaj. Mam wrażenie, że nie ma innej możliwości niż ten plik.


Lukiqq	#7 Dodany dnia 11.11.2008 11:33:55
Początkujący Postów: 179 Pomógł: 7 Data rejestracji: 05.11.2006 18:58	Jest o tym news na stronie głównej. Usuń ten plik, sprawdź czy nie ma też innych w katalogach na które ustawiłeś wcześniej chmody 777, sprawdź czy w systemie nie ma innych SAdminów niż Ty i póki co pozbądź się pliku wyszukiwarki search.php, aż do wydania oficjalnej łatki. itvortal.avx.pl - A taka sobie moja strona :] Pomoc na GG wyłącznie dla nieco wtajemniczonych, podstawowe HowTo znajduje się na forum.


virusxd	#8 Dodany dnia 11.11.2008 11:41:11
Początkujący Postów: 129 Pomógł: 4 Data rejestracji: 09.10.2008 21:45	Ale w jaki sposób znalazł się tam ten plik php, to jest trochę ciężkie do rozgryzienia. Przecież PHP-Fusion w domyśle nie pozwala wysyłać plików .php nie spakowanych w .zip lub .rar. Może zezwoliłeś na wysyłanie plików .php na serwer i masz od odpowiedź Nie bez powodu się je blokuje PS: Ja myślę że to było tak: 1. Nasz administrator zezwolił na wysyłanie plików .php. 2. Hacker zauważył że można wysłać plik .php na serwer. 3. Hacker wysłał niebezpieczny dla strony plik .php. 4. Hacker uruchomił plik .php przez przeglądarkę i dał sobie admina Wiadomość doklejona: Hehe a u mnie nie ma żadnych problemów z wyszukiwarką, a dziur też nie zanotowałem a tym bardziej co do wyszukiwarki. Mi tam nic się nie tworzy Ktoś to sprawdził czy panika w biały dzień? Edytowane przez virusxd dnia 11.11.2008 11:57:36


Lukiqq	#9 Dodany dnia 11.11.2008 12:15:50
Początkujący Postów: 179 Pomógł: 7 Data rejestracji: 05.11.2006 18:58	Sam tego doświadczyłem... chociaż raczej żadnych błędów nie popełniłem. Miałem drugiego SA i plik php z dziwną nazwą w katalogu załączników forum. itvortal.avx.pl - A taka sobie moja strona :] Pomoc na GG wyłącznie dla nieco wtajemniczonych, podstawowe HowTo znajduje się na forum.


virusxd	#10 Dodany dnia 11.11.2008 12:23:42
Początkujący Postów: 129 Pomógł: 4 Data rejestracji: 09.10.2008 21:45	A wiesz jak i kiedy się tam pojawił??


Gruby32dbz	#11 Dodany dnia 11.11.2008 12:33:37
Przedszkolak Postów: 13 Data rejestracji: 07.11.2008 18:12	A da się jakoś zabespieczyć fusiona przed tymi plikami php ? Chcem się zabezpieczyć przed ta luka i tu mje pytania czy mam nadac chmod 775 wszystkim plikom z listy poniżej czy tylko wybranym ? * administration/db_backups/ * images/ * images/imagelist.js * images/articles/ * images/avatars/ * images/news/ * images/news_cats/ * images/photoalbum/ * images/photoalbum/submissions/ * forum/attachments/ * config.php Proszę o pomoc Edytowane przez Pieka dnia 11.11.2008 13:52:18


bartek124	#12 Dodany dnia 11.11.2008 13:38:13
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25	@virusxd - koleś w jakiś nieznany sposób podsyła ten pliczek. Gość napisał sobie zarąbiste narzędzie, w którym może zrobić z naszym serverem praktycznie wszystko. Usuwać, zmieniać, dodawać pliki, wykonywać komendy, a dodanie admina do php-fusion to kwestia wejścia w jeden link . @Gruby32dbz - za post pod postem jest ostrzeżenie. Po prostu usuń plik search.php. Chmody zmień w folderach do których mają dostęp userzy, czyli: images/avatart forum/attachments i db_backups. Raczej niczego nie przeoczyłem. Nie pomagam na komunikatorach oraz PW!


Gruby32dbz	#13 Dodany dnia 11.11.2008 13:41:32
Przedszkolak Postów: 13 Data rejestracji: 07.11.2008 18:12	Tak wiem że jest za to warn ale ktoś pode mną coś napisał a teraz usunął post. Edytowane przez Pieka dnia 11.11.2008 13:53:43


Pieka	#14 Dodany dnia 11.11.2008 13:57:20
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12	Bez paniki, zablokujcie mozliwosc dodawania plikow poprzez zmiane chmodow, wylaczcie swoje szukajki (najlepiej usunac z serwera), wylaczcie mozliwosc dodawania zalacznikow w postaci plikow php i txt i spokojnie czekajcie. Odpowiednie osoby juz wiedza w jaki sposob wszystko sie odbywa, wiec jest kwestia czasu rozwiazanie problemu. Jestem jaki jestem


slawekneo	#15 Dodany dnia 11.11.2008 14:23:50
Bywalec Postów: 915 Pomógł: 41 Data rejestracji: 12.03.2006 07:28	@makro - jak mozesz to prosze wyslij mi na maila ten plik + logi z serwa ok ? jak bys juz to zrobil to prosze poinformuj mnie o tym na PW Edytowane przez slawekneo dnia 11.11.2008 14:25:33


takasziii	#16 Dodany dnia 11.11.2008 15:23:50
Przedszkolak Postów: 6 Data rejestracji: 09.05.2008 16:10	Gdy wkleiłem ten kod z logów do adresu strony to pojawiły się błędy typu : Rozwiń Kod źródłowy `You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1` Jak włamywacz może to wykorzystać ? Edytowane przez Pieka dnia 11.11.2008 15:30:17


zezol	#17 Dodany dnia 11.11.2008 15:25:54
Bywalec Postów: 593 Pomógł: 34 Data rejestracji: 09.12.2006 22:16	Jeśli już może, to chyba lepiej nie pisać jak... "Szukajcie, a znajdziecie"


makro	#18 Dodany dnia 11.11.2008 21:42:51
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51	Dzięki za pomoc. Postąpiłem zgodnie z zaleceniami. Nawiasem mówiąc, miałem sporo szczęścia, bo "hacker" nic nie zniszczył. Portal o psychiatrii\|\|Blog


piter555	#19 Dodany dnia 06.12.2008 14:39:12
Przedszkolak Postów: 29 Ostrzeżeń: 2 Data rejestracji: 23.11.2008 21:34 ZBANOWANY: Dożywotnio	A to także dotyczy wersji 7.0.2?


Grzes	#20 Dodany dnia 06.12.2008 15:24:31
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28	Nie. Często najmądrzejszą odpowiedzią jest milczenie

Przejdź do forum:

Twój link u nas!

Nawigacja

Główne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat