phpRS help fórum : phpRS Fórum
Hlavní diskuzní phpRS fórum. Najdete zde odpovědi na otázky týkající se provozu a instalace phpRS systému.
phpRS - redakční a informační systém
Jít na stránku:  123456Další
Aktuální stránka:1 z 6
Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: Jarek (IP adresa zaznamenána)
Datum: 2011-07-04, 21:12

Velmi pozorně si prohlédněte seznam napadených webů - [http://siteexplorer.search.yahoo.com/search?p=www.bozidar.info&bwm=i&bwmf=a&bwms=p] - jedná se o známé a neznámé stránky běžící na PHPRS libovolné verze a u různých poskytovatelů.
Ve zdrojovém kódu webů s PHPRS je náhodně (dokonce to nectí jediný blok) umístěn neviditelný odkaz <a href="http://www.bozidar.info/" style="visibility: hidden">Bozi dar</a>
Napadená je i stránka - [http://www.supersvet.cz/]
Nevíte, jak se tam mohl dostat! BACKDOORS?

A hlavně, jak se tomu bránit!




Celkem upraveno 2×. Poslední úprava Jarek v 04.07.2011 22:00.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-04, 21:55

Vyzerá to na backdoor. Kto ho má a má prístup k logom webservera, nech ma kontaktuje mailom. Na žiadnom webe v mojej moci to ten spam nie je.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: Jarek (IP adresa zaznamenána)
Datum: 2011-07-04, 21:59

Ahoj, nevím, u mě (afrikaonline.cz) jsem to pouze já, co ostatní napadení, to netuším. Postižené jsou obce, města i známé weby, ...



Celkem upraveno 1×. Poslední úprava Jarek v 04.07.2011 22:08.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-04, 23:23

Zatiaľ o spôsobe útoku neviem nič. Dôsledok je zmena databázy, napadnutá je tabuľka rs_bloky. Útočník pridá záznam do niektorého z existujúcich blokov, v dvoch prípadochm, ktoré som videl, to bol blok menu (id 1) v jednom prípade na konci, v ďalšom prípade v texte menu, nie na konci.

Kto chce pomôcť a má na webe tento problém, môže mi poslať výsledok SQL príkazu: SHOW TABLE STATUS - dá sa zisťiť dátum poslednej zmeny tabuľky rs_bloky. Ďalšia pomoc by mohla byť v poskytnutí exportu tabuľky rs_bloky. Toto všetko samozrejme pred zmazaním toho odkazu z bloku.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 00:41

Zatiaľ to vyzerá na SQL injectin cez gallery.php (galéria).

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: Jenda (IP adresa zaznamenána)
Datum: 2011-07-05, 04:22

Já jsem naštěstí čistej, provozuju už na phpRS jen dva weby, z toho je jeden už blokovaný a přesměrovaný. Na ostatních jsem přešel na Drupal. Vypadá to, že jim tam asi napíšu tedy do penzionu Rebel na Božím daru. URL je prokazatelně jejich, mají smůlu. Pokud si to nechali udělat na objednávku a najdu to u sebe jen v jednom z exemplářů, sedřu z nich kůži. Jestli je to skutečně úmyslně, asi jakože asi je, jedná se o bezprecentní sviňáctví. Co se na internetu děje, to už fakt nemá obdoby.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: mr3ska (IP adresa zaznamenána)
Datum: 2011-07-05, 10:55

provozuju dva weby na phpRS. Jeden svuj a druhej pro charitu. Na svym galerii nemam, na tom charitnim mam, ale tenhle skrytej link nemam ani na jednom.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 11:52

Jenda napísal/a:
-------------------------------------------------------
> Já jsem naštěstí čistej, provozuju už na phpRS jen
> dva weby, z toho je jeden už blokovaný a
> přesměrovaný. Na ostatních jsem přešel na Drupal.
> Vypadá to, že jim tam asi napíšu tedy do penzionu
> Rebel na Božím daru. URL je prokazatelně jejich,
> mají smůlu. Pokud si to nechali udělat na
> objednávku a najdu to u sebe jen v jednom z
> exemplářů, sedřu z nich kůži. Jestli je to
> skutečně úmyslně, asi jakože asi je, jedná se o
> bezprecentní sviňáctví. Co se na internetu děje,
> to už fakt nemá obdoby.


Nie je to dokázateľné. Jediná rozumná možnosť reakcie je nahlásenie na Seznam, Google a pod. ako nekalá SEO praktika.

[http://search.seznam.cz/nahlasit-spam]
[https://www.google.com/webmasters/tools/spamreport?hl=cs]

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: marty (IP adresa zaznamenána)
Datum: 2011-07-05, 12:33

bohuzel to mam i ja.
[http://www.bxclub.com] - napadeno : 2011-07-01 01:47:02 vstup byl do tabulky rs_bloky
[http://www.s21obchod.cz]
[http://hnfond.cz] - napadeno : 2011-07-04 01:42:28 vstup byl ve stejnou dobu do tabulek: rs_alias, rs_ankety, rs_bloky
:-(

edit: patriku mailem sem ti poslal tebou zadane veci z DB

ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net



Celkem upraveno 5×. Poslední úprava marty v 05.07.2011 17:52.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-05, 16:45

Máme čtyři stránky na phpRS, napadený je jeden: [http://rozcestnik.jitrnizeme.cz/]
Nedalo by se to bonznout poskytovateli toho bozidar.info?

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 17:24

ivana napísal/a:
-------------------------------------------------------
> Nedalo by se to bonznout poskytovateli toho
> bozidar.info?

Poskytovateľ s tým nemá nič spoločné. Treba dohľadať logy, IP adresu a podľa nej podať trestné oznámenie. Osobne som videl logy,ktoré viedly automatizovaný útok len na gallery.php - z IP adresy poskytovateľa z južných čiech - no to pravdepodobne nebude tento prípad. Tu bol útok vedený najskôr priamo na phpRS.

Jedna známa chyba je v search.php ale nie je kritická:


Oprava search.php pre 2.8.1:
// zpracovani pole hledanych slov; kdyz je text "all-phpRS-all" tak se pozaduje uplny vypis a neni nutne dale retezec zpracovavat
  if (!in_array('all-phpRS-all',$slova)):
    // inic.
    $GLOBALS["rsvztah"]=phprs_sql_escape_string($GLOBALS["rsvztah"]);
    $pocet_slova=count($slova);
    if (($pocet_slova) != 0) {
        $vysl_str_slova='';
        // vyhledavani omezene na nektera slova
        $vysl_str_slova.='(';
        for ($pom=0;$pom<$pocet_slova;$pom++):
            if ($pom>0): // vztah se neuvadi u prvniho prubehu
                $vysl_str_slova.=' '.$GLOBALS["rsvztah"].' ';
            endif;
            if (substr($slova[$pom],0,1)=='-'): // test na negaci vyhledavaneho retezce
                $vysl_str_slova.=Prohledej('-',$GLOBALS["rskde"],substr($slova[$pom],1,(strlen($slova[$pom])-1))); 
            else:
                $vysl_str_slova.=Prohledej('+',$GLOBALS["rskde"],$slova[$pom]);
            endif;
        endfor;
        $vysl_str_slova.=')';
        // ulozeni vysledku do podminkoveho pole
        $pole_obsah_podminka[]=$vysl_str_slova;
    }
  endif;

// omezeni na tema


Ďalšia zraniteľnosť je XSS v admin.php cez modul readers. Popis riešenia je tu:
[http://www.phprs.net/forum/read.php?32,30139,30302#msg-30302]

Pre nájdenie riešenia je potrebné, aby niekto, kto má zálohu db, zistil dátum a čas, kedy sa to objavilo v tabuľke rs_bloky. Podľa času sa môže z logov identifikovať IP adresa a spôsob útoku. Preto je dôležité zistiť poslednú zmenu v tabuľke pomocou

SHOW TABLE STATUS

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 17:25

Overenie chyby v search.php je jednoduché, zadajte uvodzovky do vyhľadávania.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: JiHo (IP adresa zaznamenána)
Datum: 2011-07-05, 17:29

ivana napsal/a:
-------------------------------------------------------
> Máme čtyři stránky na phpRS, napadený je jeden:
>
> Nedalo by se to bonznout poskytovateli toho
> bozidar.info?


Tak jsme měli ještě napadené [http://www.nachvojnici.cz] ale tam to vložili tak blbě, že jsem si všiml chyby ve validitě stránky a smazal to u někdy o víkendu.

Jste přesvědčeni o tom, že to je jenom přes gallery.php? Zablokoval jsem všechny soubor Michálkovy galerie a teď se jen modlím, aby ta díra nebyla někde jinde. Jinak nebylo to náhodně ve zdrojovém kódu, ale v obou případech v Hlavním menu přidáno na konci.




=== JiHo === WEB: Jitřní země ===



Celkem upraveno 1×. Poslední úprava JiHo v 05.07.2011 17:39.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 17:51

Áno, pridáva to na koniec bloku. Prvý výskyt som našiel: 29. jún 2011 16:32:35 GMT pracuje sa už na zhromažďovaní logov.

Michálkova galéria je žiaľ deravá. Oprava:
[http://www.phprs.net/forum/read.php?32,30139,30223#msg-30223]

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 17:52

> ivana napsal/a:
> Jste přesvědčeni o tom, že to je jenom přes
> gallery.php?

Supersvet a ďalšie napadnuté weby galeriu nemajú, takže to bude inde.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-05, 18:45

Napadení jsem zjistila teprve dneska.
Výsledky mého úsilí: Volala jsem na webhosting Quantasoft [http://www.quantasoft.cz/Company/Contacts.aspx] který hostuje doménu bozidar.info a na mail [email]support@gsh.cz[/email]
jsem poslala všechny mě dostupné údaje o útoku. Webhosting volat zpět, že doménu vypnuli, ale zákazník tvrdí že s útoky nemá nic společného tudíž doménu opět zapínají.
Na vypnutí útočníka je proto potřebné zaslat údaje o útoku (chtějí logy) na adresu [email] [email]support@gsh.cz[/email][email] Prosím všechny o spolupráci, vypnutá doména se mi hodně líbila.

Neumím vypnout ty paznaky v emailu, sorry. Konec je gsh.cz

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-05, 19:04

Jsem hloupá, správný mail na poslání důkazů je support@qsh.cz

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 19:31

ivana:
Nie, snahu treba zamerať na správcu hostingu, ktorý bol napadnutý. Z databázy treba vyčítať dátum a čas poslednej zmeny tabuľky rs_bloky pomocou SQL príkazu: SHOW TABLE STATUS
Následne terba vyťiadať od správcu postihnutého webu logy webservera z času kedy bola zmenená databázová tabuľka. Logy na nalýzu možete posielať mne.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-05, 19:34

Útok bol vedený zo siete v meste Jindrichuv Hradec. Zhomažďujem informácie a logy pre prípadné trestné oznámenie.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-05, 19:35

pa3k:
Už jsme psali na náš webhosting. A co s tím pak? Pokud by tam byla prokázaná spojitost tak webhosting kde hostuje bozidar.info je ochotný tu doménu vypnout.

Jít na stránku:  123456Další
Aktuální stránka:1 z 6


Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.