Luka w PHP-Fusion v6/v7
jantom dnia 11 listopada 2008 09:40 · 4 komentarze · 9796 czytań ·
Znaleziono nową podatność PHP-Fusion v7 i PHP-Fusion v6.01.11+, dotyczy ona pliku search.php. Na chwilę obecną, zaleca się jego usunięcie. Z posiadanych przez deweloperów informacji wynika, że do katalogów z prawami zapisu dla wszystkich wgrywane są pliki *.php. Niestety, umożliwia to uszkodzenie nie tylko waszych stron, jednak zależy to również od konfiguracji serwera.
Co możecie zrobić? Po pierwsze, sprawdźcie katalogi: downloadu, załączników, awatarów etc. w poszukiwaniu nowych plików *.php. W przypadku odnalezienia takowego – usunąć go. Praktycznie każdy katalog o chmodzie 777, zezwalający na wgranie plików, powinien mieć zmienione prawa dostępu na 775 lub, dla przezornych, 644. Sprawdźcie również listę administratorów, czy nie pojawili się tam nieznani Wam Główni administratorzy. Warto też zobaczyć, czy stopki, nagłówki oraz każde miejsce, gdzie można dodać kod HTML, nie dostały nowych elementów – wygląda na to, że włamania są wykorzystywane do dodawania linków pozycjonujących.
Postęp prac można monitorować poprzez obecność na kanale IRC oficjalnego Supportu.
Aktualizacja:
Ze względów bezpieczeństwa zostaliśmy zmuszeni do wyłączenia wyszukiwarki na czas nieokreślony. Przepraszamy za utrudnienia.