Zobacz temat
Prawdopodobna dziura umożliwiająca zdalne dodanie SA
|
|
makro |
Dodany dnia 10.11.2008 23:56:11
|
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51 |
Dzisiaj zarejestrował się człowieczek z prawami administratora z IP 0.0.0.0 - na pewno nie dodawałem nikogo, jestem też jedynym administratorem. Nie zrobiłem screenshotów, bo zająłem się jak najszybszym usunięciem tego konta. Zrobiłem kopię bazy danych. Co proponujecie robić dalej? PW od moderatora:
Edytowane przez Pieka dnia 11.11.2008 12:30:13 |
|
|
Wścibski Gość |
Dodany dnia 24.11.2024 22:56:18
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
jantom |
Dodany dnia 11.11.2008 00:04:25
|
Weteran Postów: 3460 Pomógł: 123 Data rejestracji: 31.03.2005 20:10 |
Sprawdzić wpakowane na serwer wtyczki oraz przejrzeć logi serwera. |
|
|
makro |
Dodany dnia 11.11.2008 00:21:31
|
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51 |
Wtyczek nie ma, a w logach jedynie to mi się wydaje podejrzane, bo nie używam forum. Oto podejrzany log: Edytowane przez jantom dnia 11.11.2008 08:41:12 |
|
|
bartek124 |
Dodany dnia 11.11.2008 06:54:08
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
/forum/attachments/mgqhx.php Pokaż zawartość tego pliku. |
|
|
Adam-240 |
Dodany dnia 11.11.2008 09:32:10
|
Przedszkolak Postów: 18 Ostrzeżeń: 4 Data rejestracji: 05.11.2008 17:50 Złamana licencja |
A może ktoś ci wpakował Keyloggera do kompa i sobie przechwycił te dane bo by to było raczej łatwiejsze i szybsze niż szukanie luki w fusionie, no chyba że ją już znał. |
|
|
makro |
Dodany dnia 11.11.2008 11:03:42
|
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51 |
Plik jest zakodowany base 64, ma 28 kB wielkości. Trochę za duży na umieszczenie tutaj. Mam wrażenie, że nie ma innej możliwości niż ten plik. |
|
|
Lukiqq |
Dodany dnia 11.11.2008 11:33:55
|
Początkujący Postów: 179 Pomógł: 7 Data rejestracji: 05.11.2006 18:58 |
Jest o tym news na stronie głównej. Usuń ten plik, sprawdź czy nie ma też innych w katalogach na które ustawiłeś wcześniej chmody 777, sprawdź czy w systemie nie ma innych SAdminów niż Ty i póki co pozbądź się pliku wyszukiwarki search.php, aż do wydania oficjalnej łatki.
itvortal.avx.pl - A taka sobie moja strona :] Pomoc na GG wyłącznie dla nieco wtajemniczonych, podstawowe HowTo znajduje się na forum. |
|
|
virusxd |
Dodany dnia 11.11.2008 11:41:11
|
Początkujący Postów: 129 Pomógł: 4 Data rejestracji: 09.10.2008 21:45 |
Ale w jaki sposób znalazł się tam ten plik php, to jest trochę ciężkie do rozgryzienia. Przecież PHP-Fusion w domyśle nie pozwala wysyłać plików *.php nie spakowanych w *.zip lub *.rar. Może zezwoliłeś na wysyłanie plików *.php na serwer i masz od odpowiedź Nie bez powodu się je blokuje PS: Ja myślę że to było tak: 1. Nasz administrator zezwolił na wysyłanie plików *.php. 2. Hacker zauważył że można wysłać plik *.php na serwer. 3. Hacker wysłał niebezpieczny dla strony plik *.php. 4. Hacker uruchomił plik *.php przez przeglądarkę i dał sobie admina Wiadomość doklejona: Hehe a u mnie nie ma żadnych problemów z wyszukiwarką, a dziur też nie zanotowałem a tym bardziej co do wyszukiwarki. Mi tam nic się nie tworzy Ktoś to sprawdził czy panika w biały dzień? Edytowane przez virusxd dnia 11.11.2008 11:57:36 |
|
|
Lukiqq |
Dodany dnia 11.11.2008 12:15:50
|
Początkujący Postów: 179 Pomógł: 7 Data rejestracji: 05.11.2006 18:58 |
Sam tego doświadczyłem... chociaż raczej żadnych błędów nie popełniłem. Miałem drugiego SA i plik php z dziwną nazwą w katalogu załączników forum.
itvortal.avx.pl - A taka sobie moja strona :] Pomoc na GG wyłącznie dla nieco wtajemniczonych, podstawowe HowTo znajduje się na forum. |
|
|
virusxd |
Dodany dnia 11.11.2008 12:23:42
|
Początkujący Postów: 129 Pomógł: 4 Data rejestracji: 09.10.2008 21:45 |
A wiesz jak i kiedy się tam pojawił?? |
|
|
Gruby32dbz |
Dodany dnia 11.11.2008 12:33:37
|
Przedszkolak Postów: 13 Data rejestracji: 07.11.2008 18:12 |
A da się jakoś zabespieczyć fusiona przed tymi plikami php ? Chcem się zabezpieczyć przed ta luka i tu mje pytania czy mam nadac chmod 775 wszystkim plikom z listy poniżej czy tylko wybranym ? * administration/db_backups/ * images/ * images/imagelist.js * images/articles/ * images/avatars/ * images/news/ * images/news_cats/ * images/photoalbum/ * images/photoalbum/submissions/ * forum/attachments/ * config.php Proszę o pomoc Edytowane przez Pieka dnia 11.11.2008 13:52:18 |
|
|
bartek124 |
Dodany dnia 11.11.2008 13:38:13
|
Weteran Postów: 3264 Pomógł: 236 v7.02.06 Data rejestracji: 26.05.2007 12:25 |
@virusxd - koleś w jakiś nieznany sposób podsyła ten pliczek. Gość napisał sobie zarąbiste narzędzie, w którym może zrobić z naszym serverem praktycznie wszystko. Usuwać, zmieniać, dodawać pliki, wykonywać komendy, a dodanie admina do php-fusion to kwestia wejścia w jeden link . @Gruby32dbz - za post pod postem jest ostrzeżenie. Po prostu usuń plik search.php. Chmody zmień w folderach do których mają dostęp userzy, czyli:
i db_backups. Raczej niczego nie przeoczyłem. |
|
|
Gruby32dbz |
Dodany dnia 11.11.2008 13:41:32
|
Przedszkolak Postów: 13 Data rejestracji: 07.11.2008 18:12 |
Tak wiem że jest za to warn ale ktoś pode mną coś napisał a teraz usunął post.
Edytowane przez Pieka dnia 11.11.2008 13:53:43 |
|
|
Pieka |
Dodany dnia 11.11.2008 13:57:20
|
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Bez paniki, zablokujcie mozliwosc dodawania plikow poprzez zmiane chmodow, wylaczcie swoje szukajki (najlepiej usunac z serwera), wylaczcie mozliwosc dodawania zalacznikow w postaci plikow php i txt i spokojnie czekajcie. Odpowiednie osoby juz wiedza w jaki sposob wszystko sie odbywa, wiec jest kwestia czasu rozwiazanie problemu. Jestem jaki jestem
|
|
|
slawekneo |
Dodany dnia 11.11.2008 14:23:50
|
Bywalec Postów: 915 Pomógł: 41 Data rejestracji: 12.03.2006 07:28 |
@makro - jak mozesz to prosze wyslij mi na maila ten plik + logi z serwa ok ? jak bys juz to zrobil to prosze poinformuj mnie o tym na PW
Edytowane przez slawekneo dnia 11.11.2008 14:25:33 |
|
|
takasziii |
Dodany dnia 11.11.2008 15:23:50
|
Przedszkolak Postów: 6 Data rejestracji: 09.05.2008 16:10 |
Gdy wkleiłem ten kod z logów do adresu strony to pojawiły się błędy typu : Jak włamywacz może to wykorzystać ? Edytowane przez Pieka dnia 11.11.2008 15:30:17 |
|
|
zezol |
Dodany dnia 11.11.2008 15:25:54
|
Bywalec Postów: 593 Pomógł: 34 Data rejestracji: 09.12.2006 22:16 |
Jeśli już może, to chyba lepiej nie pisać jak...
|
|
|
makro |
Dodany dnia 11.11.2008 21:42:51
|
Przedszkolak Postów: 7 Data rejestracji: 10.11.2008 23:51 |
Dzięki za pomoc. Postąpiłem zgodnie z zaleceniami. Nawiasem mówiąc, miałem sporo szczęścia, bo "hacker" nic nie zniszczył.
|
|
|
piter555 |
Dodany dnia 06.12.2008 14:39:12
|
Przedszkolak Postów: 29 Ostrzeżeń: 2 Data rejestracji: 23.11.2008 21:34 ZBANOWANY: Dożywotnio |
A to także dotyczy wersji 7.0.2? |
|
|
Grzes |
Dodany dnia 06.12.2008 15:24:31
|
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28 |
Nie.
Często najmądrzejszą odpowiedzią jest milczenie
|
|
Przejdź do forum: |