Недостаточная фильтрация переменной

[S33D 1]

На днях стал жертвой взлома более-менее благородного хакера. Версия движка - 8.2, сайт pspfaqs.ru

Хакер хоть и благородный, но не шибко разговорчивый. Взлом состоял в замене текста всех новостей на одну и ту же строку спама. Чуть позже был получен доступ и к базе форума, то есть у взломщика, как я понял, был шелл с правами апача.

Вечером того же дня взломщик сам вернул мне чистый дамп базы, и указал, как пофиксить дыру:

engine/inc/files.php

после $image_name = $serverfile;

добавь $image_name = str_replace( "php", null, $image_name );

этого будет достаточно

Возможно, эта же уязвимость есть и на других версиях - я не знаю. Хочу лишь оповестить других админов, чтобы поменьше людей оказалось в моем положении.

Изменено 24 июня 2010 пользователем S33D

[sergey_479 3]

http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html

[S33D 1]

ааа, так это она же? тогда все, прошу прощения за повтор. не признал

[WWW.ZEOS.IN 1 161]

Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)

Выходит злоумышленник владел администраторским аккаунтом?

[Sarvan 35]

Или там второй админ, и этот благородный хакер именно он.

[S33D 1]

максимум, что у него могло быть - это права Журналиста. Админская учетка у меня всего одна. и тем не менее, этого ему хватило для полного контроля над базой. Я потому и решил отписаться, что на сайте уязвимость значится средней, что в моем понимании несколько не стыкуется со случившимся

[celsoft 6 076]

S33D,

У вас не совсем верное понимание понятия степени опасности, которая публикуется на сайте. Степень опасности это не ушерб, который можно нанести сайту, а наличие тех или иных прав и возможностей минимально необходимых для осуществления зловредных действий.

[S33D 1]

не суть лишь бы больше никто не это не попался. рад, что ошибся, и эта ошибка уже известна и устранена.

Изменено 25 июня 2010 пользователем S33D

[S33D 1]

история продолжается хацкер попался настырный и раскопал за три дня еще одну уязвимость, в этот раз связанную с SQL инъекцией. быть может не в самом DLE, а в одном из сторонних модулей - не могу пока что сказать точно. но над базой он снова издевается, имея доступ к редактированию всех полей таблицы. пример замененного текста:

Как видите, сейчас база полностью восстановлена, а дыра, через которую было совершено проникновение, закрыта(сейчас уже через другую). Однако требуемый фикс предоставил сам взломщик, так что не исключено, что это обман(ну для того бага-не обман, а сейчас инъекция), либо не полная информация.

Не всем админам сайтов на DLE 8.2 не рекомендую обновляться до 8.5 и не проводить аудит безопасности.

если удастся найти дыру - обязательно сообщу.

[llbarmenll 18]

Какой форум у вас стоит?

Возможно вам поможет это.

[celsoft 6 076]

llbarmenll,

ссылки на варезные сайты запрещены

[llbarmenll 18]

SQL – инъекция в DLE-Forum 2.4

фикс

Открываем

engine/forum/sources/components/init.php

находим

if ($_REQUEST['category'])

{

$act = 'category';$cid =$_REQUEST['category'];


$t_act = '?c'.$cid;

}

if ($_REQUEST['showforum'])

{

$act = 'forum';


$fid = $_REQUEST['showforum'];


$t_act = '?f'.$fid;

}


if ($_REQUEST['showtopic'])

{

$act = 'topic';


$tid = $_REQUEST['showtopic'];


$t_act = '?t'.$tid;

}

заменяем на

if ($_REQUEST['category'])

{

$act = 'category';

$cid = intval($_REQUEST['category']);

$t_act = '?c'.$cid;

}

if ($_REQUEST['showforum'])

{

$act = 'forum';


$fid = intval($_REQUEST['showforum']);

$t_act = '?f'.$fid;

}

if ($_REQUEST['showtopic'])

{

$act = 'topic';

$tid = intval($_REQUEST['showtopic']);

$t_act = '?t'.$tid;

}

Изменено 28 июня 2010 пользователем llbarmenll

[S33D 1]

про дырявость DLE форума наслышан немало, к счастью не пользуюсь на данный момент стоит вобла версии 3.7.3 и модуль интеграции. заказал аудит безопасности на фрилансе, если дыра так или иначе связана с DLE - обязательно отпишусь.