S33D 1 Опубликовано: 24 июня 2010 Рассказать Опубликовано: 24 июня 2010 (изменено) На днях стал жертвой взлома более-менее благородного хакера. Версия движка - 8.2, сайт pspfaqs.ru Хакер хоть и благородный, но не шибко разговорчивый. Взлом состоял в замене текста всех новостей на одну и ту же строку спама. Чуть позже был получен доступ и к базе форума, то есть у взломщика, как я понял, был шелл с правами апача. Вечером того же дня взломщик сам вернул мне чистый дамп базы, и указал, как пофиксить дыру: engine/inc/files.php после $image_name = $serverfile; добавь $image_name = str_replace( "php", null, $image_name ); этого будет достаточно Возможно, эта же уязвимость есть и на других версиях - я не знаю. Хочу лишь оповестить других админов, чтобы поменьше людей оказалось в моем положении. Изменено 24 июня 2010 пользователем S33D Цитата Ссылка на сообщение Поделиться на других сайтах
sergey_479 3 Опубликовано: 24 июня 2010 Рассказать Опубликовано: 24 июня 2010 http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html Цитата Ссылка на сообщение Поделиться на других сайтах
S33D 1 Опубликовано: 24 июня 2010 Рассказать Опубликовано: 24 июня 2010 Автор ааа, так это она же? тогда все, прошу прощения за повтор. не признал Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 24 июня 2010 Рассказать Опубликовано: 24 июня 2010 Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)Выходит злоумышленник владел администраторским аккаунтом? Цитата Ссылка на сообщение Поделиться на других сайтах
Sarvan 35 Опубликовано: 24 июня 2010 Рассказать Опубликовано: 24 июня 2010 Или там второй админ, и этот благородный хакер именно он. Цитата Ссылка на сообщение Поделиться на других сайтах
S33D 1 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 Автор максимум, что у него могло быть - это права Журналиста. Админская учетка у меня всего одна. и тем не менее, этого ему хватило для полного контроля над базой. Я потому и решил отписаться, что на сайте уязвимость значится средней, что в моем понимании несколько не стыкуется со случившимся Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 S33D, У вас не совсем верное понимание понятия степени опасности, которая публикуется на сайте. Степень опасности это не ушерб, который можно нанести сайту, а наличие тех или иных прав и возможностей минимально необходимых для осуществления зловредных действий. Цитата Ссылка на сообщение Поделиться на других сайтах
S33D 1 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 (изменено) Автор не суть лишь бы больше никто не это не попался. рад, что ошибся, и эта ошибка уже известна и устранена. Изменено 25 июня 2010 пользователем S33D Цитата Ссылка на сообщение Поделиться на других сайтах
S33D 1 Опубликовано: 28 июня 2010 Рассказать Опубликовано: 28 июня 2010 Автор история продолжается хацкер попался настырный и раскопал за три дня еще одну уязвимость, в этот раз связанную с SQL инъекцией. быть может не в самом DLE, а в одном из сторонних модулей - не могу пока что сказать точно. но над базой он снова издевается, имея доступ к редактированию всех полей таблицы. пример замененного текста: Как видите, сейчас база полностью восстановлена, а дыра, через которую было совершено проникновение, закрыта(сейчас уже через другую). Однако требуемый фикс предоставил сам взломщик, так что не исключено, что это обман(ну для того бага-не обман, а сейчас инъекция), либо не полная информация. Не всем админам сайтов на DLE 8.2 не рекомендую обновляться до 8.5 и не проводить аудит безопасности. если удастся найти дыру - обязательно сообщу. Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 28 июня 2010 Рассказать Опубликовано: 28 июня 2010 Какой форум у вас стоит? Возможно вам поможет это. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 28 июня 2010 Рассказать Опубликовано: 28 июня 2010 llbarmenll, ссылки на варезные сайты запрещены Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 28 июня 2010 Рассказать Опубликовано: 28 июня 2010 (изменено) SQL – инъекция в DLE-Forum 2.4 фикс Открываем engine/forum/sources/components/init.php находим if ($_REQUEST['category']) { $act = 'category';$cid =$_REQUEST['category']; $t_act = '?c'.$cid; } if ($_REQUEST['showforum']) { $act = 'forum'; $fid = $_REQUEST['showforum']; $t_act = '?f'.$fid; } if ($_REQUEST['showtopic']) { $act = 'topic'; $tid = $_REQUEST['showtopic']; $t_act = '?t'.$tid; } заменяем на if ($_REQUEST['category']) { $act = 'category'; $cid = intval($_REQUEST['category']); $t_act = '?c'.$cid; } if ($_REQUEST['showforum']) { $act = 'forum'; $fid = intval($_REQUEST['showforum']); $t_act = '?f'.$fid; } if ($_REQUEST['showtopic']) { $act = 'topic'; $tid = intval($_REQUEST['showtopic']); $t_act = '?t'.$tid; } Изменено 28 июня 2010 пользователем llbarmenll Цитата Ссылка на сообщение Поделиться на других сайтах
S33D 1 Опубликовано: 28 июня 2010 Рассказать Опубликовано: 28 июня 2010 Автор про дырявость DLE форума наслышан немало, к счастью не пользуюсь на данный момент стоит вобла версии 3.7.3 и модуль интеграции. заказал аудит безопасности на фрилансе, если дыра так или иначе связана с DLE - обязательно отпишусь. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.