pa3k napsal/a:
-------------------------------------------------------
> Má niekto chuť podať trestné oznámenie? Myslím, že
> nikomu nevznikla škoda, no ak má niekto na webe v
> db nejaké citlivé údaje, mohlo by to byť
> zaujímavé. Trestný čin resp. prečin to je aj tak,
> takže ak vieme IP, možno by malo význam po ňom
> ísť.
>

Já bych se přidal - už jen proto, aby web bozidar.info dostal možnost očistit se od podezření z nekalé SEO. Koneckonců, aktuálně jsou to oni, kdo bude nejvíc poškozený (předpokládám, že vyhledávačům už je někdo naprášil, takže brzy budou nevyhledatelní).

mahoney.web napísal/a:
-------------------------------------------------------

> Palec nahoru jen v případě, že si toho robota
> napsal sám. Pokud ne, tak je to jen buran co si
> stáhl chytrou utilitku - a s ohledem na to, že se
> ani nesnaží maskovat svou IP, je tato varianta
> pravděpodobnější :(

No ak si niekto napíše sofistikovaný script na vyhľadávanie diery, určite by tie odkazy nevkladal ručne ale scriptom cez anonymné proxy, takže je to IMHO nejaká lamka.

Panove, dekuji vam vsem za tak rychlou vasi praci co se tykalo diagnostiky a nasledne zaplaty. Jsem strasne rad ze toto forum existuje a ze jsem jeho clenem. dik

ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net

Připojuji se k poděkování. Doufejme že je to vše.

A těším se na novou verzi.

Díky vám!

=== JiHo === WEB: Jitřní země ===

Aj ja ďakujem za to, že toto fórum ako tak ešte žije a problémy sa dokážu pomerne rýchlo riešiť.



[http://www.zeleznicne.info]

Tak jsem si ten search.php upravil a napadlo mě, proč jsem asi nebyl mezi napadenejma. Logy k dispozici ještě nemam, ale muj soubor přes kterej se přihlašuju do administrace se totiž jmenuje jinak a to na obou webech který mam na phpRS ;)

nicméně děkuju za vyřešení tohohle problému.



Celkem upraveno 2×. Poslední úprava mr3ska v 07.07.2011 22:25.

mr3ska napsal/a:
-------------------------------------------------------
> Tak jsem si ten search.php upravil a napadlo mě,
> proč jsem asi nebyl mezi napadenejma. Logy k
> dispozici ještě nemam, ale muj soubor přes kterej
> se přihlašuju do administrace se totiž jmenuje
> jinak a to na obou webech který mam na phpRS ;)
>

V tom případě bych doporučoval prohlédnout log (mně se osvědčilo hledat "CHAR") - pokud tam útok najdete, pro jistotu bych změnil všechna redaktorská hesla.

Ešte raz dávam opravu search.php. Neuvedomil som si, že v config.php sa volá /admin/aext_prom.php , kde sa za určitých okolností plní pole $GLOBALS z $_POST a $_GET polí, takže kontrola premennej $GLOBALS['rstema'] musí byť za includovaním config.php.

Oprava teda bude vyzerať takto:
Oprava search.php doplniť riadok hneď na začiatok súboru, bude to potom vyzerať takto:

define('IN_CODE',true); // inic. ochranne konstanty

include_once("config.php");

if (isset($GLOBALS['rstema']) && $GLOBALS['rstema'] != 'nic') {
	$GLOBALS['rstema'] = (int)$GLOBALS['rstema'];
} 
include_once("specfce.php");
include_once("myweb.php");
include_once("sl.php");
include_once("trlayout.php");
include_once($adrlayoutu);

Celkem upraveno 1×. Poslední úprava pa3k v 08.07.2011 14:16.

patrik ukazal cast kodu pro phprs 2.6.5 (phpRS Search 1.6.x)

pro phprs 2.8.x (phpRS Search 1.7.x):

define('IN_CODE',true); // inic. ochranne konstanty

include_once("config.php");

if (isset($GLOBALS['rstema']) && $GLOBALS['rstema'] != 'nic') {
	$GLOBALS['rstema'] = (int)$GLOBALS['rstema'];
} 

include_once("myweb.php");

ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net



Celkem upraveno 4×. Poslední úprava pa3k v 08.07.2011 14:16.

Včera som písal email sa na políciu ČR so stručným popisom problému a žiadosťou o informácie kam poslať materiály a zozbierané informácie. Zatiaľ sa nikto neozval.

Koukám, že již několik let staré zveřejnění chyby, může mít i své výrazné zápory :( především u systému, který skomírá a aktualizace mnou nalezené chyby nikde :( lama podobné této je skutečně jeden z největších hnusů - jen prohledáváním fóra dostal v podstatě kompletní návod ... jeho následné zneužití je už jen otázkou morálky a lamérství ...

btw: pa3ku, mrkni se pls do phpRS fóra, zda z dané IP někdo nepřistupuje sem a nenajdeš jeho login - klidně bych se vsadil, že tu má registraci :) jsem rád, že jste dané odhalili a snad si i opravili ... bohužel ofiko oprava asi jen tak nebude a i kdyby byla, většina webů zůstane takto děravá ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

dnes jsem hovořil s p. Bednářem z firmy JHComp s.r.o.
Prosím všechny, kdo mají logy, vytáhnout z nich útok( nebo alespoň část )a poslat mi je.
Útoky byly vedeny z IP 178.23.218.48 na které je připojeno několik zákazníků a výše zmíněná firma to rozhodně chce řešit


To:xsuchy09
Petře, poslední verze by měla být snad alespoň trochu bezpečnější, jsou v ní implementovány snad všechny zveřejněné opravy, ale budeš mít pravdu v tom, že spousta webů zůstane děravá :-)

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------



Celkem upraveno 3×. Poslední úprava JanVar v 09.07.2011 10:17.

Prosím odborníky, aby se koukli ještě na tohle:
[http://www.security-portal.cz/clanky/phprs-281a-xsrf-poc-exploit]

Není to další díra?

=== JiHo === WEB: Jitřní země ===

Je to staršia diera, riešila sa tu:
[http://www.phprs.net/forum/read.php?32,30139,30302#msg-30302]

dnes byl utok na
[http://www.motochina.cz]
presmerovani asi pres administraci
na [http://pastehtml.com/view/avkfwr313.html]

search.php a gallery.php zaplaty nebyly provedeny, neb majitel byl mimo cr.

Bozi dar tam byl, ale to sem asi uz psal nekde vyse.

Veskere ucty na administraci jsou utocnikem zablokovany na hodnotu 1 (defaultne ma byt 0) a prava byly taky 0 (mely byt 2).

logy jsou k dispozici .

chce je nekdo na zkouknuti?

Jdu zjistit SHOW TABLE STATUS at vim cas utoku ... ten byl : 2011-07-11 04:12:39

napaden byl clanek a v nem kod:

<!--
+set+Timeout+("self.location.href='http://pastehtml.com/view/avkfwr313.html'",0);
//-->

(ty + jsem tam vlozil ja abych nahodou neshodil toto forum)

ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net



Celkem upraveno 3×. Poslední úprava marty v 12.07.2011 21:25.

jasně marty, sem s logy.. tedy na můj mail, prober jen ty útoky, pokud na to máš trochu času po večerech. Ať se s tím nemusím prohrabávat já sám, čím víc toho bude, tím snad větší šance


p.S.

případně můžete posílat logy na bohuslav.bednar(at)jhcomp.cz

ale jen ty relevantní, ať toho človíčka nezahltíte zbytečným balastem, asi by nebyl rád

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------



Celkem upraveno 1×. Poslední úprava JanVar v 12.07.2011 21:18.

doufam ze mam spravne logy.. jsou to ty co se ukladaji na ftp na active 24 do polozky log. pokud to nejsou ony vyzadame si je.. kazdopadne majitel stranek chce se zucastnit trestniho oznameni
janvar prosim te o tvuj mail :-)

ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net



Celkem upraveno 1×. Poslední úprava marty v 12.07.2011 21:17.

tak aktualni logy budou zitra v 4 rano (logy se aktualizuji co 24 hodin) ... ted sem nic s pa3kem nenasel.. zatim diky
edit:
trosku jsem se zacetl tady:
[http://diskuse.jakpsatweb.cz/?action=vthread&forum=33&topic=127439]
iva to tam trosku rozvirila.

mimochodem dnes jsem nahodou nasel dalsi hackle stranky bozim darem:
[http://www.olomouc.eu] a

[http://www.postreh.com] a

[http://drtek.cz/phprs/index.php] a

[http://www.sevencz.cz/] a

[http://deckonachod.cz/] a

[http://www.kscm-trutnov.cz/phprs/index.php] [/b]

a pak mne to prestalo bavit, nebot jsem pres strycka googleho zadal
bozidar phprs
a nestacil jsem se divit.
muj skromny odhad je cca 1000 napadenych stranek.


ps: vyse uvedenym jsem uz napsal ze jsou obeti..
pps: doporucoval bych dat toto tema na hlavni stranku fora a zvyraznit to (lze-li to), ci jen uz oznameni o dire nebo dulezitych zaplatach v phprs a k tomu pokyny jak to opravit at to postizeni nemusi hledat na celem foru.
Zkusim udelat maly souhrn:


Rozhodne se musi opravit:
search. php (phprs 2.6.x)zde--->[http://www.phprs.net/forum/read.php?2,37348,37462#msg-37441]
search. php (phprs 2.8.x)zde--->[http://www.phprs.net/forum/read.php?2,37348,37462#msg-37442]
gallery.php zde---> [http://www.phprs.net/forum/read.php?32,30139,30227#msg-30223]


a jeste jeda dira byla tusim tady:


admin/areaders.php zde---> [http://www.phprs.net/forum/read.php?32,30139,30302#msg-30302]



ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net



Celkem upraveno 13×. Poslední úprava marty v 13.07.2011 09:57.

njn, ještě že mi rotujou a ukládaj se, takhle mám alespoň měsíc Z5 :-)

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------



Celkem upraveno 1×. Poslední úprava JanVar v 12.07.2011 22:26.

marty: vyse uvedenym jsem uz napsal ze jsou obeti..

Napsala jsem mail prvním asi 120 napadeným z vyhledávání Yahoo (odkaz v prvním příspěvku). Dalších několik napadených stránek najdeš na klíčová slova Boží dar phpRS. Na jakpsatweb jsem to asi vířit neměla, stejně mám pocit že se tam nic užitečného neurodilo.
Studuji hackerské stránky a hrabu se v logách (v lozích? jak se to proboha skloňuje?) Jo a Marty, ať žije BX.