ForumCała strona

Nawigacja

Aktualnie online

Gości online: 33

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Prawdopodobna dziura umożliwiająca zdalne dodanie SA
makro
Dzisiaj zarejestrował się człowieczek z prawami administratora z IP 0.0.0.0 - na pewno nie dodawałem nikogo, jestem też jedynym administratorem.
Nie zrobiłem screenshotów, bo zająłem się jak najszybszym usunięciem tego konta. Zrobiłem kopię bazy danych. Co proponujecie robić dalej?


PW od moderatora:
  1. Zmiana nazwy tematu - jantom 11.11 - 00:04

Edytowane przez Pieka dnia 11.11.2008 12:30:13
 
http://www.mam-efke.pl
Wścibski Gość
Dodany dnia 24.11.2024 22:56:18
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
jantom
Sprawdzić wpakowane na serwer wtyczki oraz przejrzeć logi serwera.
 
http://jantom.info
makro
Wtyczek nie ma, a w logach jedynie to mi się wydaje podejrzane, bo nie używam forum.
Oto podejrzany log:

Pobierz kod źródłowy  Rozwiń Kod źródłowy

Edytowane przez jantom dnia 11.11.2008 08:41:12
 
http://www.mam-efke.pl
bartek124
/forum/attachments/mgqhx.php

Pokaż zawartość tego pliku.
userbar_bartek124_net.png mw.gif Nie pomagam na komunikatorach oraz PW!
 
www.bartek124.net
Adam-240
A może ktoś ci wpakował Keyloggera do kompa i sobie przechwycił te dane bo by to było raczej łatwiejsze i szybsze niż szukanie luki w fusionie, no chyba że ją już znał.
 
makro
Plik jest zakodowany base 64, ma 28 kB wielkości. Trochę za duży na umieszczenie tutaj. Mam wrażenie, że nie ma innej możliwości niż ten plik.
 
http://www.mam-efke.pl
Lukiqq
Jest o tym news na stronie głównej. Usuń ten plik, sprawdź czy nie ma też innych w katalogach na które ustawiłeś wcześniej chmody 777, sprawdź czy w systemie nie ma innych SAdminów niż Ty i póki co pozbądź się pliku wyszukiwarki search.php, aż do wydania oficjalnej łatki.
strzelec.png
itvortal.avx.pl - A taka sobie moja strona :]
Pomoc na GG wyłącznie dla nieco wtajemniczonych, podstawowe HowTo znajduje się na forum.
 
itvortal.avx.pl
virusxd
Ale w jaki sposób znalazł się tam ten plik php, to jest trochę ciężkie do rozgryzienia.
Przecież PHP-Fusion w domyśle nie pozwala wysyłać plików *.php nie spakowanych w *.zip lub *.rar.
Może zezwoliłeś na wysyłanie plików *.php na serwer i masz od odpowiedź Smile Nie bez powodu się je blokuje Pfft Smile

PS: Ja myślę że to było tak:
1. Nasz administrator zezwolił na wysyłanie plików *.php.
2. Hacker zauważył że można wysłać plik *.php na serwer.
3. Hacker wysłał niebezpieczny dla strony plik *.php.
4. Hacker uruchomił plik *.php przez przeglądarkę i dał sobie admina Pfft

Wiadomość doklejona:
Hehe a u mnie nie ma żadnych problemów z wyszukiwarką, a dziur też nie zanotowałem a tym bardziej co do wyszukiwarki. Mi tam nic się nie tworzy Pfft Ktoś to sprawdził czy panika w biały dzień?
Edytowane przez virusxd dnia 11.11.2008 11:57:36
 
www.deeveris.com
Lukiqq
Sam tego doświadczyłem... chociaż raczej żadnych błędów nie popełniłem. Miałem drugiego SA i plik php z dziwną nazwą w katalogu załączników forum.
strzelec.png
itvortal.avx.pl - A taka sobie moja strona :]
Pomoc na GG wyłącznie dla nieco wtajemniczonych, podstawowe HowTo znajduje się na forum.
 
itvortal.avx.pl
virusxd
A wiesz jak i kiedy się tam pojawił??
 
www.deeveris.com
Gruby32dbz
A da się jakoś zabespieczyć fusiona przed tymi plikami php ?

Chcem się zabezpieczyć przed ta luka i tu mje pytania czy mam nadac chmod 775 wszystkim plikom z listy poniżej czy tylko wybranym ?
* administration/db_backups/
* images/
* images/imagelist.js
* images/articles/
* images/avatars/
* images/news/
* images/news_cats/
* images/photoalbum/
* images/photoalbum/submissions/
* forum/attachments/
* config.php

Proszę o pomoc
Edytowane przez Pieka dnia 11.11.2008 13:52:18
 
dbinfinity.pl
bartek124
@virusxd - koleś w jakiś nieznany sposób podsyła ten pliczek.
Gość napisał sobie zarąbiste narzędzie, w którym może zrobić z naszym serverem praktycznie wszystko. Usuwać, zmieniać, dodawać pliki, wykonywać komendy, a dodanie admina do php-fusion to kwestia wejścia w jeden link Smile.

@Gruby32dbz - za post pod postem jest ostrzeżenie. Po prostu usuń plik search.php.
Chmody zmień w folderach do których mają dostęp userzy, czyli:
  1. images/avatart
  2. forum/attachments


i
db_backups. Raczej niczego nie przeoczyłem.
userbar_bartek124_net.png mw.gif Nie pomagam na komunikatorach oraz PW!
 
www.bartek124.net
Gruby32dbz
Tak wiem że jest za to warn ale ktoś pode mną coś napisał a teraz usunął post.
Edytowane przez Pieka dnia 11.11.2008 13:53:43
 
dbinfinity.pl
Pieka
Bez paniki, zablokujcie mozliwosc dodawania plikow poprzez zmiane chmodow, wylaczcie swoje szukajki (najlepiej usunac z serwera), wylaczcie mozliwosc dodawania zalacznikow w postaci plikow php i txt i spokojnie czekajcie.
Odpowiednie osoby juz wiedza w jaki sposob wszystko sie odbywa, wiec jest kwestia czasu rozwiazanie problemu.
Jestem jaki jestem Smile
 
www.php-fusion.pl
slawekneo
@makro - jak mozesz to prosze wyslij mi na maila ten plik + logi z serwa ok ? jak bys juz to zrobil to prosze poinformuj mnie o tym na PW
Edytowane przez slawekneo dnia 11.11.2008 14:25:33
 
takasziii
Gdy wkleiłem ten kod z logów do adresu strony to pojawiły się błędy typu :
Pobierz kod źródłowy  Rozwiń Kod źródłowy

Jak włamywacz może to wykorzystać ?
Edytowane przez Pieka dnia 11.11.2008 15:30:17
 
zezol
Jeśli już może, to chyba lepiej nie pisać jak...
 
makro
Dzięki za pomoc. Postąpiłem zgodnie z zaleceniami. Nawiasem mówiąc, miałem sporo szczęścia, bo "hacker" nic nie zniszczył.
 
http://www.mam-efke.pl
piter555
A to także dotyczy wersji 7.0.2?
 
Grzes
Nie.
Często najmądrzejszą odpowiedzią jest milczenie krzywy.gif
 
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl