ForumCała strona

Nawigacja

Aktualnie online

Gości online: 24

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Luka w PHP-Fusion v6/v7

jantom dnia 11 listopada 2008 09:40 · 4 komentarze · 9796 czytań · Drukuj

Bezpieczeństwo Znaleziono nową podatność PHP-Fusion v7 i PHP-Fusion v6.01.11+, dotyczy ona pliku search.php. Na chwilę obecną, zaleca się jego usunięcie. Z posiadanych przez deweloperów informacji wynika, że do katalogów z prawami zapisu dla wszystkich wgrywane są pliki *.php. Niestety, umożliwia to uszkodzenie nie tylko waszych stron, jednak zależy to również od konfiguracji serwera.

Co możecie zrobić? Po pierwsze, sprawdźcie katalogi: downloadu, załączników, awatarów etc. w poszukiwaniu nowych plików *.php. W przypadku odnalezienia takowego – usunąć go. Praktycznie każdy katalog o chmodzie 777, zezwalający na wgranie plików, powinien mieć zmienione prawa dostępu na 775 lub, dla przezornych, 644. Sprawdźcie również listę administratorów, czy nie pojawili się tam nieznani Wam Główni administratorzy. Warto też zobaczyć, czy stopki, nagłówki oraz każde miejsce, gdzie można dodać kod HTML, nie dostały nowych elementów – wygląda na to, że włamania są wykorzystywane do dodawania linków pozycjonujących.

Postęp prac można monitorować poprzez obecność na kanale IRC oficjalnego Supportu.

Aktualizacja:
Ze względów bezpieczeństwa zostaliśmy zmuszeni do wyłączenia wyszukiwarki na czas nieokreślony. Przepraszamy za utrudnienia.

Komentarze

#1 | kuba_bed dnia 11 listopada 2008 13:58
Czy to tyczy się także infusiona, który jest bardziej "zaawansowany" funkcjonalnie? Czy tylko tego co było już włożone w fusiona przy instalacji?
#2 | yodamatrix dnia 11 listopada 2008 20:11
A były już jakieś włamania przez to ?
#3 | Grzes dnia 11 listopada 2008 20:13
Tak były, polecam temat na oficjalnym angielskim supporcie.

@kuba_bed: co przez to chcesz powiedzieć? Nie znam "twoich" plików, zakładam że wszystkie starsze zawarte w paczce z aktualizacją są na to podatne.
#4 | by_ikar dnia 17 listopada 2008 19:17
Tak więc gdyby nie info na suporcie nie wiedział bym dokładnie o co chodzi, otóż kilka dni temu "wywiało" mi z bazy danych tabele z 30k postów, mam stronę na dedyku z dyskiem w raidzie i początkowo myślałem że jakieś dane po prostu spierniczyły, ale na drugi dzień zauważyłem że ktoś się dodał jako SA. Okazało się w logach że w tej samej godzinie co zniknęły posty dodał się ten admin i to wszystko na tym samym IP. Miałem tylko jeden katalog gdzie mógł dodać jakiś pliczek i dodał go w załącznikach na forum o nazwie "rjkju.php" gdzie treść możecie sobie zobaczyć: http://www.przekl.../rjkju.zip

Dobrze że to problem tylko z wyszukiwarką, dziwne że nikt wcześniej tego nie znalazł ani nie wykorzystał.. Pozdrawiam i dzięki za info, będę bacznie czekał na informacje o pracach nad zabezpieczeniami.

Dodaj komentarz

Zaloguj się, aby móc dodać komentarz.
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl