každopádne je tam ešte jedna haluz v tom, že uloženie záznamu do downloadu sa vykoná, aj keď je nepovolený typ súboru. Súbor sa síce neuloží, ale vznikne záznam, čo je IMHO zle. Nevadí to bezpečnosti ale je to taká nepríjemnosť.

úrpava by mala byť v /admin/adownload.php:

function AcAddFile()
{
// bezpecnostni korekce
$_POST['prnazev']=phprs_sql_escape_string($_POST['prnazev']);
$_POST['prkomentar']=phprs_sql_escape_string($_POST['prkomentar']);
$_POST['prurl']=phprs_sql_escape_string($_POST['prurl']);
$_POST['prjmeno']=phprs_sql_escape_string($_POST['prjmeno']);
$_POST['prsize']=phprs_sql_escape_string($_POST['prsize']);
$_POST['przdrojjm']=phprs_sql_escape_string($_POST['przdrojjm']);
$_POST['przdrojadr']=phprs_sql_escape_string($_POST['przdrojadr']);
$_POST['prverze']=phprs_sql_escape_string($_POST['prverze']);
$_POST['prkat']=phprs_sql_escape_string($_POST['prkat']);
$_POST['prlevel']=phprs_sql_escape_string($_POST['prlevel']);
$_POST['przobrazit']=phprs_sql_escape_string($_POST['przobrazit']);
$_POST['prsekce']=phprs_sql_escape_string($_POST['prsekce']);

$dnesnidatum=Date("Y-m-d H:i:s");
// zpracovani uploadu souboru
$nast_furl='';
if (isset($_FILES['prupload'])):
  $vysledek_uploadu=StdUploadSoubor('prupload',$GLOBALS['rsconfig']['file_adresar'],'sb');
  if ($vysledek_uploadu['stav']==1):
    $nast_furl=$vysledek_uploadu['cesta_sb']; // vse OK; soubor uploadovan
    echo "<p align=\"center\" class=\"txt\">".RS_FIL_SS_OK_ADD_FILES_UPLOAD."</p>\n";
  else:
    if($vysledek_uploadu['chyba']==1):
      echo $vysledek_uploadu['chyba_popis']; // chyba pri uploadu nebo zpracovani
    else:
      $nast_furl=$_POST['prurl']; // nepouzit primy upload; plati zapis URL adresy
    endif;
  endif;
else:
  $nast_furl=$_POST['prurl']; // nepouzit primy upload; plati zapis URL adresy
endif;

if(!isset($vysledek_uploadu['chyba']) || $vysledek_uploadu['chyba']!=1) {
	// sestaveni dotazu
	$dotaz="insert into ".$GLOBALS['rspredpona']."download values ";
	$dotaz.="(null,'".$_POST['prnazev']."','".$_POST['prkomentar']."','".$nast_furl."','".$_POST['prjmeno']."','".$_POST['prsize']."','".$_POST['przdrojjm']."',";
	$dotaz.="'".$_POST['przdrojadr']."','".$dnesnidatum."','".$_POST['prverze']."','".$_POST['prkat']."',0,'".$_POST['przobrazit']."','".$_POST['prsekce']."',";
	$dotaz.="'".$_POST['prlevel']."')";
	// pridani polozky
	@$error=phprs_sql_query($dotaz,$GLOBALS["dbspojeni"]);
	if (!$error):
	  echo "<p align=\"center\" class=\"txt\">Error D1: ".RS_DB_ERR_SQL_DOTAZ."</p>\n";
	else:
	  $cislosouboru=phprs_sql_insert_id();
	  echo "<p align=\"center\" class=\"txt\">".RS_FIL_SS_OK_ADD_FILES."</p>\n";
	  echo "<p align=\"center\" class=\"txt\"><a href=\"".RS_VYKONNYSOUBOR."?akce=InfoDownDopis&amp;modul=files&amp;cislosouboru=".$cislosouboru."\">".RS_FIL_SS_ODESLAT_MAIL."</a></p>\n";
	endif;
}
// navrat
echo "<p align=\"center\" class=\"txt\"><a href=\"".RS_VYKONNYSOUBOR."?akce=ShowFile&amp;modul=files\">".RS_FIL_SS_ZPET."</a></p>\n";
}

je opravdu skvělé že celkem promptně se problémy odstraňují, zúčastňuje se verze 2.8.2 i petr suchý?

pa3k a marty moc děkuju za vaši práci. script u mě funguje.. teda zatím to tak vypadá...
Až na to že mi v administraci vyběhla hláška:
Parse error: syntax error, unexpected T_STRING, expecting ',' or ';' in /home/www/jirikovovideni.eu/subdomeny/www/stavba/admin/adownload.php on line 351



Celkem upraveno 1×. Poslední úprava Jiřík v 14.07.2011 21:29.

Taky děkuju všem co píšou záplaty a starají se.

Ještě poznámečka, žaluje se to podle trestního zákona:

§ 257a Poškození a zneužití záznamu na nosiči informací
(1) Kdo získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch
a) takových informací neoprávněně užije,
b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo
c) učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.
(2) Odnětím svobody na šest měsíců až tři léta bude pachatel potrestán,
a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo
b) způsobí-li takovým činem značnou škodu nebo získá-li sobě nebo jinému značný prospěch.
(3) Odnětím svobody na jeden rok až pět let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu nebo získá-li sobě nebo jinému prospěch velkého rozsahu.

Co s tím trestním oznámením, nenazrál již čas? A jak to vidíte, podat dohromady nebo každý za sebe?

spleen napsal/a:
-------------------------------------------------------
>.....
> odstraňují, zúčastňuje se verze 2.8.2 i petr suchý?

to se ptáš blbě, pochopitelně na tom dělá komunita a Petr je její součástí...

Petrovi a Patrikovi nápady jsou nedocenitelné, bohužel toho volného času je strašně málo... :-((

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

ivana napsal/a:
-------------------------------------------------------
> Co s tím trestním oznámením, nenazrál již čas? A
> jak to vidíte, podat dohromady nebo každý za sebe?

Viděl bych to na hromadné, resp. jeden podá a nahlásí další svědky (ať si to policajti nemusejí spojovat sami).
Jde jen o to, kdo tam dojde - když to necháme na kolektivní odpovědnosti, tak nikdo...
Já mám teď spoustu jiných restů, ale když to nikdo jiný nepodá, tak se k tomu cca během měsíce dostanu. Vzhledem k tomu, že pachatel je zjevně domácí, by mi přišla škoda to nedotáhnout do konce...

Už to rieši ivana, ja som kontaktoval ďalších ľudí, ktorí sa pridajú. Pravdepodobne to bude dohromady škoda pomerne veľkého rozsahu, takže útočník si to asi dobre vyžerie. Predpokladám, že existuje spojitosť s webom bozidar.info, podľa môjho názoru môže ísť o platené budovanie spätných odkazov. Toto je ale už na dokazovaní políciou.



Celkem upraveno 2×. Poslední úprava pa3k v 18.07.2011 12:58.

Pre trestné ozámenie je dôležité dať dohromady čo najviac postihnutých a vyčísliť škodu. Ak totiž škoda presiahne určitú hranicu, u nás 266 €, ide už o trestný čin, nie o priestupok. Škoda by mala byť preukázateľná a v tomto prípade to IMHO môže byť aj čas pracovníka, ktorý sa musel venovať vyriešeniu problému (kontrola celého systému, odstránenie odkazu, zmena všetkých hesiel a ich distribúcia adminom aredaktorom a pod.). Táto odborná technická činnosť môže byť fakturovaná alebo evidovaná ako vykonaná práca zamestnanca.

Okrem jeto škody mohlo dôjsť k neoprávneným prístupom k osobným údajom, ak takáto údaje niekto na webe má.



Celkem upraveno 1×. Poslední úprava pa3k v 18.07.2011 15:40.

Připravuji trestní oznámení, všem kdo chtějí být informováni nebo se připojit k trestnímu oznámení budu posílat informace přes SZ nebo mailem, neboť jsem došla k názoru že je zveřejňovat nebudu. Napište mi prosím adresy napadených stránek.



Celkem upraveno 1×. Poslední úprava ivana v 18.07.2011 15:57.

Ahojte,

keďže sa v súvislosti s týmito útokmi viackrát spomenula aj phprs galéria, by ma zaujímalo, aké nedostatky resp. "diery" boli doteraz identifikované, resp. kde v galérii je najväčšie riziko ohrozenia a ako ho eliminovať? Ja používam galériu 0.99.500. Z niektorých vyjadrení mi vyplýva, ako keby tieto "diery" v galérii neboli odteraz ošetrené, čo ma znepokojuje a zvažujem radšej použiť nejakú inú galériu. Na webe mám už niekoľko tisíc fotografií a nerád by som bol, keby mala moja práca vyjsť navnivoč. Som vďačný za každú radu, ktorá zvýši bezpečnosť galérie.

[http://www.zeleznicne.info]

[http://www.phprs.net/forum/read.php?32,30139,30227#msg-30223]
Ak chceš test, či to je deravé, napíš mi mail.

Ďakujem, sledujem diskusie priebežne takže našťastie túto "záplatu" mám.

[http://www.zeleznicne.info]

No práve som zistil, že gallery má niekoľko verzií a každá v nich má inak pomenované vstupné premenné, takže táto oprava v niektorých prípadoch nemusí stačiť. poslal som Ti súkromný mail. V priebehu dňa vydám opravu snáď pre všetky verzie gallery.

Takže gallery je jeden veľký bordel :( žiaľ nie je v mojich silách prejsť kompletný kód a opraviť všetky chyby. Našiel som jednu pomerne drsnú zraniteľnosť na SQL injection a doplnil som opravu v príspevku: [http://www.phprs.net/forum/read.php?32,30139,30227#msg-30223]
Takže SQl injection by už hroziť nemalo.

Problém je, že gelérií je veľa verzií a majú odlišné názvy vstupných premenných. Čo som pozeral na webe, tak posledná galéria by mala byť 0.99.900 beta 4 prefinal, tá má v kóde gallery.php toto:

define("IN_CODE",true); // inic. ochranne konstanty
define("GAL_DEFINE_ADMIN",0); // nemenit!
$GLOBALS["gal_soubor"]="gallery.php";

Oprava spočíva v doplnení kódu:

/**
 *			FIX SQL injection - start
 */ 

 
if (true == isset($GLOBALS["media_id"])) {
	$GLOBALS["media_id"] = (int)$GLOBALS["media_id"];
}

if (true == isset($GLOBALS["obrazek_id"])) {
	$GLOBALS["obrazek_id"] = (int)$GLOBALS["obrazek_id"];
}

if (true == isset($GLOBALS["galerie_id"])) {
	$GLOBALS["galerie_id"] = (int)$GLOBALS["galerie_id"];
}

if (true == isset($GLOBALS["kat_id"])) {
	$GLOBALS["kat_id"] = (int)$GLOBALS["kat_id"];
}

if (true == isset($GLOBALS["kat_ukaz_pocet"])) {
	$GLOBALS["kat_ukaz_pocet"] = (int)$GLOBALS["kat_ukaz_pocet"];
}

if (true == isset($GLOBALS["gal_ukaz_pocet"])) {
	$GLOBALS["kat_ukaz_pocet"] = (int)$GLOBALS["gal_ukaz_pocet"];
}

if (true == isset($GLOBALS["strana"])) {
	$GLOBALS["strana"] = (int)$GLOBALS["strana"];
	// proti vypisu chyby pri utoku pres strankovani
	if ($GLOBALS["strana"] === 0) {
		$GLOBALS["strana"] = 1;
	}
} 
/**
 *			FIX SQL injection - end
 */

niekde za riadok, kde sa nachádza: include_once("config.php");

Ahoj, ďakujem za ochotu a rýchlu reakciu. P.

[http://www.zeleznicne.info]

mahoney.web napsal/a:

>
> V tom případě bych doporučoval prohlédnout log
> (mně se osvědčilo hledat "CHAR") - pokud tam útok
> najdete, pro jistotu bych změnil všechna
> redaktorská hesla.
>

Opravdu to nepodceňujte, dnes jsem měl jeden útok skrz neupraveného redaktora.
Vloženy novinky a článek s textem Hacked By NMTD TİM