Zobacz temat
 Włamanie na stronę opartą na PHP-Fusion v7
|
|
| domi17 |
Dodany dnia 21.04.2009 22:25:01
|
 Przedszkolak  Postów: 23 Ostrzeżeń: 4 Data rejestracji: 25.05.2008 21:23 Złamana licencja |
Witam wczoraj jakiś typ o nicku ~tr00y włamał mi się na serwer nie wiem jak to zrobił , zamieścił na nim plik lol.html , poźniej wypisywał na forum iż jak nie zrobimy zabezpieczeń to usunie beze, podawał też dane z ep_users , proszę o pomoc jak zabezpieczyć stronkę moja wersja php fusion to v7.00.05, do serwera hasła mam szyfrowane. . . adres strony to www.nfspolska.pl PW od moderatora:
Edytowane przez domi17 dnia 21.04.2009 23:08:08 |
|
|
| Wścibski Gość |
Dodany dnia 24.11.2024 17:45:19
|
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
| IP: localhost | |
| Wooya |
Dodany dnia 21.04.2009 22:56:08
|
 Zaawansowany  Postów: 1449 Pomógł: 22 Data rejestracji: 30.01.2005 15:40 |
podawał też dane z ep_users Czy wczesniej miales EP i zaktualizowales do PF v7? Jesli tak, to czy wszystkie Twoje dotychczasowe infusiony (jesli posiadasz zainstalowane) zostaly sprawdzone pod katem walidacji GET i POST? ... Pomagam tylko przy najnowszych wersjach PHP-Fusion ...  |
|
|
| julekjp |
Dodany dnia 21.04.2009 22:58:36
|
|
Przedszkolak Postów: 8 Ostrzeżeń: 4 Data rejestracji: 01.03.2009 20:01 |
Znam go i przenosił EF. bo statystyki nie wytrzymywały na EF  |
 |
|
| Wooya |
Dodany dnia 21.04.2009 23:03:50
|
|
Zaawansowany Postów: 1449 Pomógł: 22 Data rejestracji: 30.01.2005 15:40 |
Proponuje na dzien dobry eliminacje (odinstalowanie poprzez PA) wszystkich infusionow i podeslanie info tutaj, jakiez to infusiony posiadal
... Pomagam tylko przy najnowszych wersjach PHP-Fusion ... |
|
|
|
| Pieka |
Dodany dnia 21.04.2009 23:05:56
|
  Postów: 19882 Pomógł: 767  v7.02.03Data rejestracji: 23.02.2005 18:12 |
Proponuje na dzien dobry zaczekac az Szanowny Autor zmieni nazwe tematu nim ja mu zmienie user_status. Trzymajmy sie zasad Drogi Adminie 
Jestem jaki jestem
|
|
|
|
| Wooya |
Dodany dnia 21.04.2009 23:08:39
|
|
Zaawansowany Postów: 1449 Pomógł: 22 Data rejestracji: 30.01.2005 15:40 |
@domi17: ZTCW kroax posiadal jakas luke, ktora pozwalala na walamanie do PF. Co do reszty pewien nie jestem. ... Pomagam tylko przy najnowszych wersjach PHP-Fusion ... |
|
|
|
| domi17 |
Dodany dnia 21.04.2009 23:10:54
|
|
Przedszkolak Postów: 23 Ostrzeżeń: 4 Data rejestracji: 25.05.2008 21:23 Złamana licencja |
Ok dzięki, nadpisze jeszcze wszystkie pliki z najnowszej paczki.
Edytowane przez Pieka dnia 21.04.2009 23:14:51 |
|
|
|
| Wooya |
Dodany dnia 21.04.2009 23:14:01
|
|
Zaawansowany Postów: 1449 Pomógł: 22 Data rejestracji: 30.01.2005 15:40 |
Proponuje sprawdzic zawartosc http://phpfusion-... czy nie maja nowszych wersji Twoich infusionow.
... Pomagam tylko przy najnowszych wersjach PHP-Fusion ... |
|
|
|
| domi17 |
Dodany dnia 22.04.2009 15:42:01
|
|
Przedszkolak Postów: 23 Ostrzeżeń: 4 Data rejestracji: 25.05.2008 21:23 Złamana licencja |
Wgrałem całą oryginalną paczkę i dzisiaj znowu się włamał wgrał index.php z tekstem. . . |
|
|
|
| Gismo_PL |
Dodany dnia 22.04.2009 15:50:06
|
 Bywalec  Postów: 462 Pomógł: 40 Ostrzeżeń: 2 v7.01.05Data rejestracji: 25.02.2007 21:13 |
@domi17 - a czy pozmieniałeś hasła dostępowe np. do serwera ftp  ?
|
|
|
|
| domi17 |
Dodany dnia 22.04.2009 15:55:13
|
|
Przedszkolak Postów: 23 Ostrzeżeń: 4 Data rejestracji: 25.05.2008 21:23 Złamana licencja |
Mak zmieniłem, teraz wgrał index.php a w nim rozkodowane moje hasło do profilu na stronę... Masakra już nie wiem co robić ...
Edytowane przez hoopak dnia 22.04.2009 16:02:36 |
|
|
|
| Gismo_PL |
Dodany dnia 22.04.2009 16:04:27
|
|
Bywalec Postów: 462 Pomógł: 40 Ostrzeżeń: 2 v7.01.05Data rejestracji: 25.02.2007 21:13 |
Jeżeli wszystko wrzuciłeś na surowo czyli bez jakichkolwiek zmian, modułów to jedyne czego bym się spodziewał to jakiś trojan/inny syf w komputerze, z którego dokonujesz logowania do swojego profilu i wprowadzania modyfikacji. W kwestii hasła miałem na myśli również zmianę hasła dostępowego do bazy danych, konta ftp i wszelkich innych związanych z serwisem i jego modernizacją 
|
|
|
|
| hoopak |
Dodany dnia 22.04.2009 16:06:28
|
 Bywalec Postów: 639 Pomógł: 21 v7.02.04Data rejestracji: 05.02.2008 21:16 |
Zmień hasła do MySQL i FTP oraz adminom, najlepiej na składające się z losowych znaków + http://www.php-fu...d_id=22466 ten temat może pomóc. |
|
|
|
| Pieka |
Dodany dnia 22.04.2009 16:08:57
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
Hasel kolega uzywa co namniej smiesznych, o czym wlamywacz napisal wyraznie. Moze zacytujesz tekst, ktory zostawil specjalnie dla Ciebie? Poza tym, jak to mozliwe, ze wchodzac na Twoja strone mam pelny przeglad katalogow i plikow na FTP? Panowie, badzmy powazni. Wiem, ze macie jeszcze malo latek, ale to Was nie zwalnia z myslenia, z ktorym jak widze macie spore problemy. Co do wtyczke, zapewne znajdzie sie jeszcze kilka, ktore sa w starszych wersjach, warto sprawdzic. Jednak przede wszystkim pozmieniac WSZYSTKIE hasla, a nie tylko do strony. Poza tym, przejrzec pliki na FTP i usunac podejrzane. Pisalismy wielokrotnie, ze glownie nalezy to zrobic w katalogach grafik jak np. avatars, czy w katalogach zawierajacych zalaczniki. Opisywalismy wielokrotnie sposob postepowania, link podal hoopak, to samo zrobiona na forum Glownego Supportu, z tym, ze tam zebrano wszystko w jednym miejscu/poscie, przeczytaj: W Twoim konkretnym przypadku jest wszystko mozliwe... Przemysl to i zajmij sie zabezpieczeniem strony. Jestem jaki jestem
|
|
|
|
| domi17 |
Dodany dnia 22.04.2009 18:20:34
|
|
Przedszkolak Postów: 23 Ostrzeżeń: 4 Data rejestracji: 25.05.2008 21:23 Złamana licencja |
Hasła zmieniłem wszędzie, ale to już nie istotne, kolega (haker) napisał mi gdzie jest błąd, cytuje jego wiadomość którą przysłał mi na PW. Twój problem polegał na tym że miałeś dziure w pewnym modzie, dzięki czemu wyciągłem plik config.php gdzie były hasła do bazy, dostałem się do twojego panelu admina i za pomocą prywatnego buga zmieniałem index nic więcej Niewiem czy to mod ale to coś co jest odpowiedzialne za pokazywanie kto jest online Oł jee Mod który pokazywał mi kto jest online to "last_seen_users_panel" |
|
|
|
| newyoungage |
Dodany dnia 22.04.2009 19:36:39
|
|
Przedszkolak Postów: 14 Data rejestracji: 31.10.2007 19:51 |
Tak z czystej ciekawości. Jest ktoś w stanie mi wyjaśnić jak do tego mogło dojść? Tzn jak wygląda schemat włamania na stronę. Rozumiem, że jeśli np. wpisze jakiś kod php przy dodawaniu nowej strony to zostanie on wykonany, tak można wyczyścić np. baze danych. Rozumiem też, że 'pola tekstu' takie jak artykuły, niusy są zabezpieczone tak, że ich treść jest pomiędzy ' ' i nie sa nigdy wykonywane jako tako, ale jak można do włamania wykorzystać last_seen_users_panel'? Oświeci mnie ktoś? Tylko nie mówcie że nie ten dział, bo chyba bezpośrednio wiąże sie z powyższymi postami ;] Edytowane przez newyoungage dnia 22.04.2009 19:37:40 |
|
|
|
| zezol |
Dodany dnia 22.04.2009 19:50:06
|
 Bywalec Postów: 593 Pomógł: 34 Data rejestracji: 09.12.2006 22:16 |
Prawdopodobnie był to atak typu SQL Injection. Tak więc do włamania wystarczyło mu pole adresu strony . A co do tego panelu to też się zastanawiam jak... |
|
|
|
| domi17 |
Dodany dnia 22.04.2009 20:08:43
|
|
Przedszkolak Postów: 23 Ostrzeżeń: 4 Data rejestracji: 25.05.2008 21:23 Złamana licencja |
Też nie wiem jak on to zrobił, ale tak mi napisał że przez ten panel. Edit// Myślę że nie jest to wina tego panela. Znalazłem na serwerze dziwny plik nie będę zamieszczał jego kodu tutaj tylko przedstawię kawałek na screenie.  Tylko jak on to wgrał ? plik znajdował się w themes/mojanazwathema/forum/ Edytowane przez domi17 dnia 23.04.2009 01:53:50 |
|
|
|
| taurus |
Dodany dnia 24.04.2009 10:28:55
|
|
Przedszkolak Postów: 8 Data rejestracji: 01.04.2009 22:29 |
Postawiłem stronę z paczki PHP FUSION 7 pobranej z pobieralni i przez noc dobrano mi się do strony. Nadpisałem plik od nowa, ale znowu się ktoś dostał. Edytowane przez hoopak dnia 24.04.2009 10:32:06 |
|
|
|
| Pieka |
Dodany dnia 24.04.2009 10:46:22
|
|
Postów: 19882 Pomógł: 767 v7.02.03Data rejestracji: 23.02.2005 18:12 |
taurus napisał/a: Postawiłem stronę z paczki PHP FUSION 7 pobranej z pobieralni i przez noc dobrano mi się do strony. Nadpisałem plik od nowa, ale znowu się ktoś dostał. Guzik, a nie wlamanie, plik nadpisz, bo za duzo w nim grzebales, albo podczas uploadu nie przeslales calego. I przestan zmyslac niestworzone historie o wlamaniach. Po co mialby sie ktos wlamywac na swieza instalacje? Bzdura. Jestem jaki jestem
|
|
|
|
| Przejdź do forum: |