phpRS help fórum : phpRS Fórum
Hlavní diskuzní phpRS fórum. Najdete zde odpovědi na otázky týkající se provozu a instalace phpRS systému.
phpRS - redakční a informační systém
Jít na stránku:  Předchozí123456Další
Aktuální stránka:5 z 6
Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-13, 00:25

Napadení inzertního systému:
Město Skuteč . Běží na phpRS, hlavní stránka napadená není.


Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2011-07-13, 00:26

:OT:
To:Ivana
v logovacích souborech :-))

a asi toho bude o hodně víc, o čem nevíme :-(

p.s.
Jinak díky All, kdo pošlou log, já už se bráním i na úrovni IP, protože dvouhodinovej záznam v logu, jak se nějakej BLB snaží probourat pošťáka mne už fakt přestává bavit (no původně jsem chtěl napsat jiné slovo, ale protože tu jsou i Dámy ... :-) )

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------



Celkem upraveno 1×. Poslední úprava JanVar v 13.07.2011 00:27.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-13, 02:44

Nová varianta Lyžování Boží Dar. Přibližný počet výsledků vyhledávání 3000.
Některé stránky ho už mají dvakrát. Nejede už druhé kolo?

Tahle stránka nejede na phpRS a je nakažená taky.





Celkem upraveno 3×. Poslední úprava ivana v 13.07.2011 03:20.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-13, 11:03

ivana napísal/a:
-------------------------------------------------------
> Nová varianta Lyžování Boží Dar. Přibližný počet
> výsledků vyhledávání 3000.
> Některé stránky ho už mají dvakrát. Nejede už
> druhé kolo?

Je možné, že po rozpútaní verejnej diskusie útokov pribudne. Kto nemá zaplátané má smolu :-(

> Tahle stránka nejede na phpRS a je nakažená
> taky.


Nie, čínsky síce neviem, ale myslím, že ten link vznikol výpisom odkazov.




Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: ivana (IP adresa zaznamenána)
Datum: 2011-07-13, 11:32

pa3K
Zdá se že jsem to opravdu nerozumně rozvířila, tohle mě nenapadlo. V odkazech se to už začíná objevovat.
Logy jsem poslala JanVarovi mailem a ještě nějaké pošlu.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: kropis (IP adresa zaznamenána)
Datum: 2011-07-13, 15:40

Diky Martymu jsem byl informovan o hacknuti nasich stranek, bohuzel jsem uz tak tri roky nedelal nic s phprs a kdyz nic nedelas tak se to zapomina:( Kazdopadne jsem projel ftp ucet jestli tam byly provedeny zmeny, pres ftpko na adresu www.drtek.cz nic nenaslo, takze predpokladam ze je to nekde napsane jak zde pisete v sql tabulkach, a potrebuju poradit kde abych to smazal, jinak psal jsem o napadani na webhosting a dosla mi zajimava odpoved od nich: Dobry den,

nejlepsi je zmenit hesla a neukladat heslo do programu, kterym se
pripojujete na FTP ucet.
Web Vam bezi na nejakem redakcnim systemu, ty jsou vzdycky nejvice
nachylne na podobne utoky.
Tam Vam doporucim system aktualizovat na posledni dostupnou verzi.

S pozdravem ... jisty pan

vubec hesla neukladam a upgrade na lepsi verzi phprs nelze ze.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: marty (IP adresa zaznamenána)
Datum: 2011-07-13, 16:42

ahoj, mas phprs 2.8.1. coz je v tuto chvili nejvyssi verze.

utok nebyl pres FTP, ci totalcmd atd... byl pomoci GET a POST primo na strankach.
Doporuceni:
Upravit si 1-3 php soubory viz: [http://www.phprs.net/forum/read.php?2,37473]
a pak hlavne zmenit hesla u vstupu do admin.html, nebot ten kdo ma bozidar na webu, je realne nebezpeci ze dotycny udelal i zalohu DB a tak ziskal pristup ke vsem uctum ctenaru a administratoru

ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: kropis (IP adresa zaznamenána)
Datum: 2011-07-13, 17:45

Jj vim ze mam nejvisi verzi proto jsem rikal ze to uz nelze. Kazdopadne dekuju za radu opravim to jak bude mozne. A hesla do admina zmenim. Diky Pavel

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2011-07-13, 19:12

Amerika, Turecko, Německo, Česko....

to je jen malý výběr, odkud toho bylo nejvíce, takže někdo našel díru a pak ji zkoušel protlačit, kudy to jen šlo, tedy děravými servery...

BTW ta německá IP a asi dvě z ameriky už jsou na "blacklistu", takže jsem si taky přihřál "naší lžičku"...

p.s.
jinak díky za logy, ale příště PLS jen ty relevantní, takhle jsem se tím musel prokousávat já sám a věřte mi, že to sežralo dost velkej kus dne...

Tady MUSÍM "před nastoupenou jednotkou" pochválit "ivanu"... od ní to bylo naprosto excelentní (tleskám a chválím...)

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-13, 19:25

Ďalšie útoky už vyzerajú byť zo zahraničných anonymných proxyserverov, takže analýza logov IMHO už stráca význam. Zameral by som sa na tú juhočeskú IP, ak sa bude dať identifikovať pôvodný útočník, bude to dostatočné zadosťučinenie.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: mr3ska (IP adresa zaznamenána)
Datum: 2011-07-13, 21:28

já mám vyžádaný logy, bohužel jsem se idiot zapomněl podívat na svůj mail, kde mi k tomu něco obratem psali z technický podpory, takže jsem žádost dořešil až dnes... Prohlídnu si logy obou webů, který na phpRS mám a když něco, dám vědět. Každopádně ani jeden web napadenej nemam a v administraci si u každýho ukládam IP z níž se přihlásil a tam tu IP kterou jste tu zmiňovali taky nemam takže uvidim...

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2011-07-13, 23:05

pa3k napsal/a:
-------------------------------------------------------
> Ďalšie útoky už vyzerajú byť zo zahraničných anonymných proxyserverov, takže analýza logov IMHO
> už stráca význam. Zameral by som sa na tú juhočeskú IP, ak sa bude dať identifikovať pôvodný
> útočník, bude to dostatočné zadosťučinenie.
>

přesně tak, na JHComp jsem poslal všechno, co šlo od nich a já vyhrabal ze svých a vámi poslaných logů, Bytek už jde mimo nás, to už je jinde :-(

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: JiHo (IP adresa zaznamenána)
Datum: 2011-07-14, 06:07

Začínám mít podezření, že i na té jihočeské IP seděl nějaký bot na hacklém PC. A jak tady padla domněnka, že vlastní změny na webových stránkách byly dělány ručně, tak při těch dnes už spíš tisících webech mi to taky nepřipadá reálné. Podle mne i to musel být robotek, jinak by to byl neuvěřitelně pilný hacker.

=== JiHo === WEB: Jitřní země ===

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: Thomash (IP adresa zaznamenána)
Datum: 2011-07-14, 09:21

Ahoj, dnes v noci cca ve 02:45 probehl dalsi utok na system PHPRs. Vzhledem k tomu, utocnik vlozil soubory to storage (pres FTP to nebylo) a pote monitoroval porty jinejch PC v siti.

Takze dulezita a podle mne nezbytna oprava PHPRs by mela byt v omezeni pripon souboru, kterych lze do storage nahrat! Jak je mozne, ze lze nahrat soubory s priponou .php?

moje ICQ - 119064914

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-14, 10:29

Thomash napísal/a:
-------------------------------------------------------
> Ahoj, dnes v noci cca ve 02:45 probehl dalsi utok
> na system PHPRs. Vzhledem k tomu, utocnik vlozil
> soubory to storage (pres FTP to nebylo) a pote
> monitoroval porty jinejch PC v siti.
>
> Takze dulezita a podle mne nezbytna oprava PHPRs
> by mela byt v omezeni pripon souboru, kterych lze
> do storage nahrat! Jak je mozne, ze lze nahrat
> soubory s priponou .php?
>
> moje ICQ - 119064914


phpRS kontrolu má, ak máš na serveri povolené aj iné prípony pre php, pridaj ich do /admin/astdlib_file.php riadok 61
$pole_nepovolenych_formatu=array('php','asp','shtml');

Toto ale nieje problém. php kód môže byť kľudne aj v .jpg alebo .zip - je na nastavení serveru aké prípony dovolí php-čku spúšťať, phpRS s tým moc nespraví. Samozrejme lepšie by bolo, ak by phpRS malo zoznam povolených prípon do uploadu namiesto zoznamu povolených. Čiže whitelist miesto blacklitu. Túto možnosť zvážime pre zahrnutie do phpRS 2.8.2




Celkem upraveno 2×. Poslední úprava pa3k v 14.07.2011 11:08.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-14, 10:35

Test či je search.php správne zaplátaný:

/search.php?rstext=a&rstema=TEST

vyspis vysledkov vyhladavania by mal byt rovnaky ako v pripade odkazu:

/search.php?rstext=a&rstema=nic


ak vyhodi chybu alebo nic nevypise (ak su zakazane chybove hlasky) je to derave
ak vypise zoznam clankov, ktore obsahuju znak "a" nastaveny v premennej rstext, je to OK





Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-14, 11:32

Úprava phpRS na whitelist:
/admin/astdlib_file.php


// definice povolenych formatu
    $pole_povolenych_formatu=array('rar', 'zip', 'arj', '7z', 'pdf', 'doc', 'xls', 'ppt', 'docx', 'xlsx', 'odt', 'ods', 'txt', 'csv', 'jpg', 'jpeg', 'png');
    // test na format souboru
    if (!in_array($prtyppripona, $pole_povolenych_formatu)):
      // chyba: nepovoleny format souboru
      $chyba_txt .= "<p align=\"center\" class=\"txt\">".RS_ADM_ASL_ERR_FORMAT_SB."</p>\n";
      $chyba_vse=1;
      $chyba_fatal=1;
      $chyba_format=1;
    else:
      // vse OK
      $nove_umisteni = $vs_cilovy_adr.$jedinecny_ident.'_'.$vs_pripona.'_'.$prtypjmeno.'.'.$prtyppripona;
    endif;


Kto použije, dajte vedieť či funguje OK

download úpravy na whitelist (netestované)



Celkem upraveno 21×. Poslední úprava pa3k v 14.07.2011 13:57.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: Thomash (IP adresa zaznamenána)
Datum: 2011-07-14, 14:50

Vypada to ze to funguje...

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2011-07-14, 14:53

Nemám čas testovať. Ešte by som skúsil internú galériu, asi bude používať rovnakú upload funkciu a bude treba asi povoliť aj bmp a gif aby fungovali aj tieto formáty v galérii.

Re: Má PHPRS backdoor - skrytý odkaz na www.bozidar.info
Zaslán uživatelem/kou: marty (IP adresa zaznamenána)
Datum: 2011-07-14, 14:55

Ten kdo nechce aby v administraci v sekci download sly uploadovat php scripty,
Plati to pouze pro verzi 2.8.x , kde je mozno aktualizovat tyto dva soubory ve slozce admin.


admin/adownload.php ---> adownload.php

admin/astdlib_file.php ---> astdlib_file.php



Ve verzich nizsich nez 2.8.x upload pres administraci neni, tudiz se vas tato uprava netyka.
PS: Pa3ku dik za upravy. [img]http://www.phprs.net/forum/smileys/smiley24.gif[/img]


ICQ: 179653900
skype: marty_hranice
| www.hnfond.cz | | www.struhlovsko.cz | www.bxclub.com | www.r21club.com | www.palenice.net



Celkem upraveno 9×. Poslední úprava marty v 14.07.2011 15:05.

Jít na stránku:  Předchozí123456Další
Aktuální stránka:5 z 6


Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.