Форум PHP

Злоумышленник воспользовался опечаткой в коде модуля смены пользовательского профиля
/engine/users/users_edit_pub.inc: вместо функции addslashes, я опечатался и написал stripslashes со всеми вытекающими...

В результате злоумышленник попал в админку, где смог (как показано на ролике):

* Создать форму, позволяющую upload любых файлов на сервер (система поддереживает любой php-код в админке).
* И что-то он там выделывал с функцией system(). Что человек хотел этим показать - не понял.

Информация об эксплоите: http://www.hackzone.ru/exploit/view/id/3329/ Там же ссылка на ролик.

Уязвимость появилось в версиях 1.11 и 1.12. Пользователи более ранних версий могут не беспокоится.

PS В ролике он надо мной здорово поиздевался, но как говорится ломать - не строить...

Для пользователей версий 1.12 и 1.13

Замените папку engine/users из дистрибутива (аттач), а так же файл engine/common/func.inc

омг а шо это он такое злое загрузил О_О :)
зы. что с сайтом случилось?)

Взломщик менял мне пароль в админке. Решил сайт закрыть пока (.htaccess)

ЗЫ Только создал тему про ошибки и на тебе. Правда на 80% помог открытый код. Иначе бы взломщик может быть и не додумался так изящно преобразовать sql-запрос. С другой стороны так ошибится и именно в этом месте, карма, наверное.

имхо нельзя так просто на главной странице держать ссылку на админку..

и назвать бы её не мешало бы както "не понимаемым" именем..

я бы например её называл бы как-то уникально, скажем юзал бы там приставку даты создания страницы или что-то подобное.. так бы он запарился бы искать это раз, и не смог бы её узнать методом установки cms гдето у себя чтобы посмотреть её название:)

реально я удивился очень когда увидел на главной странице такую ссылку)

Не в конструкции админке там дело было, там дыра была в модуле редактирования профиля.

Ну это ясно, но в данном случае смысл дыры если не можешь найти админку?:)
В общем такое.. все мы человеки и имеем право ошибаться ;)
А таких как тот нечеловек надо убивать, потом воскрешать и ещё раз убивать:)

>А таких как тот нечеловек надо убивать, потом воскрешать и ещё раз убивать:)

не, хакеры хорошие ребята, без них прогеры расслабились бы совсем и было бы не так интересно
считай бесплатный крэш тест )

Ладно, крэш-тест, но зачем же ролик обидный надо было снимать? Что-то не вижу тут ничего хорошего.

Это как раз попытка возвысится за счет унижения других.

>Ладно, крэш-тест, но зачем же ролик обидный надо было снимать? Что-то не вижу тут ничего хорошего.

Я не заметил ничего обидного и "издевательского".
Стандартный набор ) В принципе, даже мягко обошлись! ведь особо ничего не попортили и не поудаляли!

>Я не заметил ничего обидного и "издевательского".
>Стандартный набор ) В принципе, даже мягко обошлись! ведь особо ничего не попортили и не поудаляли!

Хакер специально выбрал страничку "Обо мне" с фоткой, типа смотрите на этого... как я его... Может быть именно я так воспринимаю, потомучто фотка моя

> Может быть именно я так воспринимаю, потомучто фотка моя

Скорее всего )
Ну что Вы в самом деле? Ведь ничего же по сути страшного не произошло? Вы исправили ошибку и все быстро восстановили как было? Ничего ж не потерялось? Тогда смотрите пост mechanic, я с ним 100% согласен =)

Добавлю еще, что иногда, когда есть время пробую тоже ломать некоторые сайтики )
Очень неплохая практика, надо сказать!
Но если получается взлом, то не выставляю всем все напоказ, а просто сообщаю информацию непосредственно разработчику)

Это шоу, злоумышленик рискует получить по рогам, поэтому извлекает все по максимуму... А вообще, да несерьезно - нашел ошибку - сообщи, а не куражся. Уважают за работу, анализ, а не за хулиганство.

ну а по другому не интересно наверное)
зачем мне, например, комуто бесплатно делать анализ?)

с таким же успехом щас пойду бесплатно предлагать, дизайн или по:)

ну а так он выпендрелся рассказал на форумах - "кросавчег".

Да аккуратно, все сделали, даже исправления свои и правки удалили. Только разместили информацию на всех профильных сайтах. В результате взломщиками оказываются Васи Пупкины (как вариант Али-Бабы), возомнившими себя хакерами... Я в логах посмотрел, там география ip обширная, даже из Индонезии желающие нашлись

Рассказывает сам взломщик:

http://forum.antichat.ru/thread93768.html

Так все было. Человек просто нашел уязвимость и разместил информацию о ней на профильных сайтах. Васи Пупкины не замедлили появится. Сломал официальный сайт, ну так что ж ему было еще ломать, к тому же ничего не потер, эксплоитов я не обнаружил.

* Вот только можно было снять ролик на примере другой страницы.
* Все же неплохо мне сообщить перед тем как информация дойдет до различных Самоделкиных.

А зачем лишний раз напрягаться?:))
Это уже как смотреть)

зы. никак не пойму как они такие ошибки вообще находят :)
это ж надо просидеть столько, проковырять :\

>ы. никак не пойму как они такие ошибки вообще находят :)
>это ж надо просидеть столько, проковырять :\

Если логически подумать.

Чтобы сломать сайт - нужно достать права админа. Где может быть дыра? В модулях управления пользователями (engine/users/)

таки да (:

я у себя админку вообще прикрутил к айпи в .htaccess + проверка в админке на всякий случай:)

Может воришки в транспорте тоже не дают кому-то расслабится?

ах вы, зачем менять пост, я облажался :D

Прошу прощения, напишите реплику на два поста выше.

Я уже увидел ваш ответ, но поправить не смог.

и воришки тоже да
человеку, как и любому существу в мире животных, нужно быть всегда начеку

зы. ролик я чесно гря не смотрел, лень было качать, так что не в курсе насколько он там обидный..

В архиве остались недоработки, необходимо скачать версию 1.13.1 и проделать с ней манипуляции, описанные в теме:

http://ortus.nirn.ru/index.php?mod=mini_forum_posts_list&id_theme=435&t_part=1&p_part=1&updt_rss=1

Теперь они принялся ломать сайты :(

М-дя. Информация об эксплойте на английском быстро разнеслась и теперь турецкий хакер ставит колоритную заставку.

Это -- популярность!

Нет, скорее это желание попробовать новый эксплойт. Взгляните.

http://www.google.ru/search?hl=ru&q=cms+ortus&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&lr=&aq=f&oq=

А вот и сам ролик. Уже какой-то али-баба из Турции "ломает".

Аллах акбар!

А ролика я не увидил (есть там ссылка на *.swf файл документ, но там про "мощь Турции"), а ссылка на *.cab не вызывает доверия.

Да не расстраивайтесь Вы. Ваша же CMS популярна гляньте как! Даже на Хакере уже лежит инфо =)
Кому Вы напрямую сами устанавливали CMS, обратитесь в срочном порядке, сообщите что нужно сделать для устранения уязвимости или устраните сами. На самом сайте повесьте соотвествующую заметную новость для тех кто качает и все! )

Если сравнивать с Danneo, ТИЦ сайта = 800. В два раза больше, чем у форума. Хотя может быть это не показатель. Про свой тиц = 10 я вообще молчу (хотя может сообщения с хакерских сайтов мне его немного поднимут :))

>хотя может сообщения с хакерских сайтов мне его немного поднимут
Это пожалуй во взломах самое приятное... они действительно не плохо ТИЦ поднимают.

О_о, у тебя в Гугле уже PR=3

Забей на Яшу, работай по Гуглю... Сделай английский сайт для CMS-ки и продвигай её в буржнете. В рунете коммерческих перспектив у твоего продукта 0.