Zdravím,
dnes jsem obdržel tento email, který mě dost znepokojil. Poslal mi všechny přístupy s hesly do administrace. Nevíte někdo, co s tím?

---text emailu---

Hello,

The reason why I decided to contact you is because I found security holes in your website.
You have serious security problem because complete data from your database is available for potential attackers.

As a example I just want to show you what one attacker can find in your website :

Username : admin
Password : ...zde bylo uvedeno přesné heslo...
Mail : [email]redakce@regionycr.cz[/email]

a zde pokračoval výpis všech účtů do administrace

etc... there is really a lot of accounts ( all users and all admin accounts, passwords ) and complete data is visible for potential attackers so as you can see, I'm telling you a truth, you have very serious security problems in your website. The changing passwords is not solution because you have problems in your website structure and new passwords will be also visible.

Don't worry, I will not abuse any information, I just want to show you what an attacker can find in your website. Please inform your website programmer.

My job is pen-testing, website security testing and I can offer you complete website testing, location of all security holes, I can find all possible security vulnerabilities and give you a complete list of all security holes.

I worked for a lot of companies and websites, some recent pen-testing projects was for websites : Czech Fragile s.r.o ( techno.cz - website under Tiscali.cz ) , Adriatic Media ( Net.hr - the biggest Balkan portal ) , LiveSport s.r.o ( flashscore.com ), Sukad Dubai ( sukad.com ), Bettingexpert ( Bettingexpert.com ), etc...
I have experience and good reputation behind me.

Please pass this message to your website programmer or to someone with who I can talk in solving your problem.

Kind regards
Sasa

LinkedIn - Zdeněk Pikulík

Regiony ČR.cz - 1. responzivní zpravodajství z regionů ČR
Medializujeme ČESKO.cz - Revoluční program podpory a modernizace obcí ČR
Obce2020.cz - Moderní řešení profesionálního webu pro obce

V prvom rade sa mu pekne poďakuj že to oznámil. V druhom rade si fixni známe chyby v phpRS, chybu máš v search.php - jedná sa pravdepodobne o blind SQL injection a oprava je zverejnená dávno. Hint: skús si dať vyhľadať uvodzovky. V treťom rade si poriadne nastav server aby nevypisoval chybové hlášky.

Mrkni tiež na 2.8.2 RC2 - odporúčam nasadenie aj na ostré weby.

A aby som nezabudol, samozrejme po opravách treba zmeniť všetky heslá. To je myslím v takomto prípade samozrejmosť.

282 má v search toto:

if (
	(isset($GLOBALS["rskolik"]) && !ctype_digit($GLOBALS["rskolik"]))
	||
	(isset($GLOBALS["rskolikata"]) && !ctype_digit($GLOBALS["rskolikata"]))
	||
	(isset($GLOBALS["rstema"]) && $GLOBALS["rstema"] != "nic" && !ctype_digit($GLOBALS["rstema"]))
) {
	// chybny vstup
	echo "Nepovoleny pristup! / Hacking attempt!";
	return false;
}

Díky moc

LinkedIn - Zdeněk Pikulík

Regiony ČR.cz - 1. responzivní zpravodajství z regionů ČR
Medializujeme ČESKO.cz - Revoluční program podpory a modernizace obcí ČR
Obce2020.cz - Moderní řešení profesionálního webu pro obce

Chci se jen zeptat,

mám plno změn hodně souborech včetně mnoha svých pluginů, tak nevím co všechno mi o udlá se stávajícím stavem. Lze nějak jednoduše upgradovat verzi 281 na 282?

Díky za odpověď

LinkedIn - Zdeněk Pikulík

Regiony ČR.cz - 1. responzivní zpravodajství z regionů ČR
Medializujeme ČESKO.cz - Revoluční program podpory a modernizace obcí ČR
Obce2020.cz - Moderní řešení profesionálního webu pro obce

Mrkni sem: [http://www.phprs.net/forum/read.php?32,38010,38011#msg-38011] - je tam popis zmien. Môžeš si porovnať súbory 281a a 282RC2 a nechaj si vypísať zoznam zmien, ktoré následne aplikuješ do svojej upravenej verzie. 282 má inštalačný script, ktorý prechod plne zautomatizuje. Sprav si funkčný klon webu aj s DB a jednoducho to vyskúšaj.