|
|
|
| Злоумышленник воспользовался опечаткой в коде модуля смены пользовательского профиля
/engine/users/users_edit_pub.inc: вместо функции addslashes, я опечатался и написал stripslashes со всеми вытекающими...
В результате злоумышленник попал в админку, где смог (как показано на ролике):
* Создать форму, позволяющую upload любых файлов на сервер (система поддереживает любой php-код в админке).
* И что-то он там выделывал с функцией system(). Что человек хотел этим показать - не понял.
Информация об эксплоите: http://www.hackzone.ru/exploit/view/id/3329/ Там же ссылка на ролик.
Уязвимость появилось в версиях 1.11 и 1.12. Пользователи более ранних версий могут не беспокоится.
PS В ролике он надо мной здорово поиздевался, но как говорится ломать - не строить... | |
|
|
|
|
332.9 Кб |
|
|
для: antf
(27.11.2008 в 03:27)
| | Для пользователей версий 1.12 и 1.13
Замените папку engine/users из дистрибутива (аттач), а так же файл engine/common/func.inc | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 03:37)
| | омг а шо это он такое злое загрузил О_О :)
зы. что с сайтом случилось?) | |
|
|
|
|
|
|
|
для: sl1p
(27.11.2008 в 05:15)
| | Взломщик менял мне пароль в админке. Решил сайт закрыть пока (.htaccess)
ЗЫ Только создал тему про ошибки и на тебе. Правда на 80% помог открытый код. Иначе бы взломщик может быть и не додумался так изящно преобразовать sql-запрос. С другой стороны так ошибится и именно в этом месте, карма, наверное. | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 05:30)
| | имхо нельзя так просто на главной странице держать ссылку на админку..
и назвать бы её не мешало бы както "не понимаемым" именем..
я бы например её называл бы как-то уникально, скажем юзал бы там приставку даты создания страницы или что-то подобное.. так бы он запарился бы искать это раз, и не смог бы её узнать методом установки cms гдето у себя чтобы посмотреть её название:)
реально я удивился очень когда увидел на главной странице такую ссылку) | |
|
|
|
|
|
|
|
для: sl1p
(27.11.2008 в 06:42)
| | Не в конструкции админке там дело было, там дыра была в модуле редактирования профиля. | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 07:11)
| | Ну это ясно, но в данном случае смысл дыры если не можешь найти админку?:)
В общем такое.. все мы человеки и имеем право ошибаться ;)
А таких как тот нечеловек надо убивать, потом воскрешать и ещё раз убивать:) | |
|
|
|
|
|
|
|
для: sl1p
(27.11.2008 в 07:15)
| | >А таких как тот нечеловек надо убивать, потом воскрешать и ещё раз убивать:)
не, хакеры хорошие ребята, без них прогеры расслабились бы совсем и было бы не так интересно
считай бесплатный крэш тест ) | |
|
|
|
|
|
|
|
для: mechanic
(27.11.2008 в 08:25)
| | Ладно, крэш-тест, но зачем же ролик обидный надо было снимать? Что-то не вижу тут ничего хорошего.
Это как раз попытка возвысится за счет унижения других. | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 08:36)
| | >Ладно, крэш-тест, но зачем же ролик обидный надо было снимать? Что-то не вижу тут ничего хорошего.
Я не заметил ничего обидного и "издевательского".
Стандартный набор ) В принципе, даже мягко обошлись! ведь особо ничего не попортили и не поудаляли! | |
|
|
|
|
|
|
|
для: ddhvvn
(27.11.2008 в 14:39)
| | >Я не заметил ничего обидного и "издевательского".
>Стандартный набор ) В принципе, даже мягко обошлись! ведь особо ничего не попортили и не поудаляли!
Хакер специально выбрал страничку "Обо мне" с фоткой, типа смотрите на этого... как я его... Может быть именно я так воспринимаю, потомучто фотка моя | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 14:48)
| | > Может быть именно я так воспринимаю, потомучто фотка моя
Скорее всего )
Ну что Вы в самом деле? Ведь ничего же по сути страшного не произошло? Вы исправили ошибку и все быстро восстановили как было? Ничего ж не потерялось? Тогда смотрите пост mechanic, я с ним 100% согласен =)
Добавлю еще, что иногда, когда есть время пробую тоже ломать некоторые сайтики )
Очень неплохая практика, надо сказать!
Но если получается взлом, то не выставляю всем все напоказ, а просто сообщаю информацию непосредственно разработчику) | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 14:48)
| | Это шоу, злоумышленик рискует получить по рогам, поэтому извлекает все по максимуму... А вообще, да несерьезно - нашел ошибку - сообщи, а не куражся. Уважают за работу, анализ, а не за хулиганство. | |
|
|
|
|
|
|
|
для: cheops
(27.11.2008 в 15:36)
| | ну а по другому не интересно наверное)
зачем мне, например, комуто бесплатно делать анализ?)
с таким же успехом щас пойду бесплатно предлагать, дизайн или по:)
ну а так он выпендрелся рассказал на форумах - "кросавчег". | |
|
|
|
|
|
|
|
для: ddhvvn
(27.11.2008 в 14:39)
| | Да аккуратно, все сделали, даже исправления свои и правки удалили. Только разместили информацию на всех профильных сайтах. В результате взломщиками оказываются Васи Пупкины (как вариант Али-Бабы), возомнившими себя хакерами... Я в логах посмотрел, там география ip обширная, даже из Индонезии желающие нашлись | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 11:18)
| | Рассказывает сам взломщик:
http://forum.antichat.ru/thread93768.html
Так все было. Человек просто нашел уязвимость и разместил информацию о ней на профильных сайтах. Васи Пупкины не замедлили появится. Сломал официальный сайт, ну так что ж ему было еще ломать, к тому же ничего не потер, эксплоитов я не обнаружил.
* Вот только можно было снять ролик на примере другой страницы.
* Все же неплохо мне сообщить перед тем как информация дойдет до различных Самоделкиных. | |
|
|
|
|
|
|
|
для: mechanic
(27.11.2008 в 08:25)
| | А зачем лишний раз напрягаться?:))
Это уже как смотреть)
зы. никак не пойму как они такие ошибки вообще находят :)
это ж надо просидеть столько, проковырять :\ | |
|
|
|
|
|
|
|
для: sl1p
(27.11.2008 в 08:43)
| | >ы. никак не пойму как они такие ошибки вообще находят :)
>это ж надо просидеть столько, проковырять :\
Если логически подумать.
Чтобы сломать сайт - нужно достать права админа. Где может быть дыра? В модулях управления пользователями (engine/users/) | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 08:51)
| | таки да (:
я у себя админку вообще прикрутил к айпи в .htaccess + проверка в админке на всякий случай:) | |
|
|
|
|
|
|
|
для: mechanic
(27.11.2008 в 08:25)
| | Может воришки в транспорте тоже не дают кому-то расслабится? | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 08:45)
| | ах вы, зачем менять пост, я облажался :D | |
|
|
|
|
|
|
|
для: sl1p
(27.11.2008 в 08:46)
| | Прошу прощения, напишите реплику на два поста выше.
Я уже увидел ваш ответ, но поправить не смог. | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 08:45)
| | и воришки тоже да
человеку, как и любому существу в мире животных, нужно быть всегда начеку
зы. ролик я чесно гря не смотрел, лень было качать, так что не в курсе насколько он там обидный.. | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 03:37)
| | В архиве остались недоработки, необходимо скачать версию 1.13.1 и проделать с ней манипуляции, описанные в теме:
http://ortus.nirn.ru/index.php?mod=mini_forum_posts_list&id_theme=435&t_part=1&p_part=1&updt_rss=1 | |
|
|
|
|
|
|
|
для: antf
(27.11.2008 в 03:27)
| | Теперь они принялся ломать сайты :( | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 00:05)
| | М-дя. Информация об эксплойте на английском быстро разнеслась и теперь турецкий хакер ставит колоритную заставку. | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 00:16)
| | Это -- популярность! | |
|
|
|
|
|
870 байт |
|
|
для: antf
(28.11.2008 в 00:24)
| | А вот и сам ролик. Уже какой-то али-баба из Турции "ломает". | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 00:28)
| | Аллах акбар!
А ролика я не увидил (есть там ссылка на *.swf файл документ, но там про "мощь Турции"), а ссылка на *.cab не вызывает доверия. | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 00:24)
| | Да не расстраивайтесь Вы. Ваша же CMS популярна гляньте как! Даже на Хакере уже лежит инфо =)
Кому Вы напрямую сами устанавливали CMS, обратитесь в срочном порядке, сообщите что нужно сделать для устранения уязвимости или устраните сами. На самом сайте повесьте соотвествующую заметную новость для тех кто качает и все! ) | |
|
|
|
|
|
|
|
для: ddhvvn
(28.11.2008 в 10:41)
| | Если сравнивать с Danneo, ТИЦ сайта = 800. В два раза больше, чем у форума. Хотя может быть это не показатель. Про свой тиц = 10 я вообще молчу (хотя может сообщения с хакерских сайтов мне его немного поднимут :)) | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 11:01)
| | >хотя может сообщения с хакерских сайтов мне его немного поднимут
Это пожалуй во взломах самое приятное... они действительно не плохо ТИЦ поднимают. | |
|
|
|
|
|
|
|
для: antf
(28.11.2008 в 11:01)
| | О_о, у тебя в Гугле уже PR=3
Забей на Яшу, работай по Гуглю... Сделай английский сайт для CMS-ки и продвигай её в буржнете. В рунете коммерческих перспектив у твоего продукта 0. | |
|
|
|