no, u asi měsíc staré zálohy tam už ten haxah byl. taskže celé tohle je jistě starší nežli měsíc.

Hepbegclub | Čáslavsko | MN Čáslav

mozno pomocou google hladal svoje obete, vlozeny ucet sa totiz objavi v search ako filter pre autora - vyzera to na nejakeho robota ktory sa snazi vopchat svoje konto do adminu a potom vyhladava svoje obete cez normalny prehliadac

no jestli to spis nebyla nejaka obet, ktera hledala dalsi podobne postizene (tak jako daval odkazy Hyena) - ip adresa je z pripojeni Karnevalu a preci jen mam dojem, ze takoveto lumparny se deji z cizich statu (uz treba proto, aby byl hacker hure vyhledatelny - pouzije nejaky "cizi" pocitac, do ktereho se naboural)

V každom prípade zatiaľ to vyzerá, že pa3kovo riešenie funguje - po update autori.php a vymazaní dotyčného sa zatiaľ neobjavil. Je to asi šesť hodín a doteraz bol vždy o pár minút späť.
Takže v mene všetkých postihnutých ďakujem!

MirekS: no ak to fici uz viac ako mesiac tak mozne je asi uplne vsetko :-/

Hyena:
rado sa stalo, no netešil by som sa predčasne - ak nebudeme presne vedieť ako a kadiaľ sa to tam dostalo, tak to vyriešené nebude, navyše videl som jeden postihnutý web aj bez pluginu autori :-/



Celkem upraveno 2×. Poslední úprava pa3k v 29.11.2007 23:02.

Správne. Radosť bola predčasná. Je tam zase.

Hyena: mozes zapnut to logovanie (config.php) co som pisal par prispevkov vyssie? Potom staci uz len cakat kedy sa zapise znova, exportnut tabulku s logmi a poslat na moj mail.

Hyena:
pripadne mi skus zohnat pristup k databaze a ftp niektoreho webu, kde sa to objavuje, rad by som sa tomu pozrel na zubok

Pokusil jsem se kontaktovat webmastery z napadených CZ webů. Uvidíme, jestli se ozvou a budou mít k dispozici logy.

Koukal jsem na [http://www.ircnet.cz]. Vypadá to, že jediný plugin, který je tam použitý, je loginkomplet. Plugin Autoři tam rozhodně použitý není.

Tom_AG
www.Stříbro.net



Celkem upraveno 1×. Poslední úprava Tom_AG v 30.11.2007 15:54.

Zariadim. Obeť sa ti ozve.

No uvidíme, můj tip: čtenářská část (registrace, úprava profilu ...) ... objeví se vám tento uživatel i jako čtenář? Nebo nějaký podobný v dané době útoku?

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Budu mít také snad logy ale asi zítra kolem poledního. Objevil se mi tam zase, a myslím že dnes. Každopádně ve čtvrtek večer byl vymazán. (mám datum výmazu - dělal jsem zálohu) Takže ty logy nebudou muset být tak rozsáhlé. Doufám, že mi tam admin nedá celý ten log (1,2G bych tady nestáhnul ani za tejden)
Zkusím ještě přidělat to logování dle pa3ka a apk ho zase smažu.

Jinak viz předchozí tip: na webu mám jen čtyři reg čtenáře. Tři buď znám, nebo jsou tam už přes rok. Poslední tam je asi půl roku, neznám a je to zřejmě nějaká generovaná blbost. Ale je v době,která je značně vzdálená objevení se haxah-a (několik měsíců)

Hepbegclub | Čáslavsko | MN Čáslav



Celkem upraveno 1×. Poslední úprava Kryšpín v 30.11.2007 19:49.

Nie, medzi čitateľmi nie je.

btw: používáte externí galerii? Tam bych o díře věděl ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Michálek absolutně ***** na ošetření vstupů ... nejsnazší pomoct bez většího zásahu do kódu galerie je přidání alespoň tohoto do gallery.php, někam na začátku po definici globálních proměnných:

// 2011-07-25 - fix SQL injection in gallery.php by Patrik JAN www.kvalitne.sk


define("IN_CODE",true); // inic. ochranne konstanty
define("GAL_DEFINE_ADMIN",0); // nemenit!
$GLOBALS["gal_soubor"]="gallery.php";

include_once("config.php");



include_once("specfce.php");
include_once("myweb.php");
include_once("sl.php");
include_once("trlayout.php");
include_once($adrlayoutu);


/**
 *			FIX SQL injection - start
 */ 

 
if (true == isset($GLOBALS["media_id"])) {
	$GLOBALS["media_id"] = (int)$GLOBALS["media_id"];
}

if (true == isset($GLOBALS["obrazek_id"])) {
	$GLOBALS["obrazek_id"] = (int)$GLOBALS["obrazek_id"];
}

if (true == isset($GLOBALS["galerie_id"])) {
	$GLOBALS["galerie_id"] = (int)$GLOBALS["galerie_id"];
}

if (true == isset($GLOBALS["kat_id"])) {
	$GLOBALS["kat_id"] = (int)$GLOBALS["kat_id"];
}

if (true == isset($GLOBALS["kat_ukaz_pocet"])) {
	$GLOBALS["kat_ukaz_pocet"] = (int)$GLOBALS["kat_ukaz_pocet"];
}

if (true == isset($GLOBALS["gal_ukaz_pocet"])) {
	$GLOBALS["kat_ukaz_pocet"] = (int)$GLOBALS["gal_ukaz_pocet"];
}

if (true == isset($GLOBALS["strana"])) {
	$GLOBALS["strana"] = (int)$GLOBALS["strana"];
	// proti vypisu chyby pri utoku pres strankovani
	if ($GLOBALS["strana"] === 0) {
		$GLOBALS["strana"] = 1;
	}
} 
/**
 *			FIX SQL injection - end
 */ 

Galerie je asi nejděravější věc co na phpRS znám :) alespoň z těch základních věcí, co je v phpRS běžných (ve 2.6.5 snad dokonce součást základní instalace) ... tyto proměnné, které jsou jednoduše ošetřitelné, pže musí být typu integer, jsou přímo vstupy v dotazech na DB, ale ošetřené nejsou VŮBEC ... pokud nemáte galerii a přesto máte haxah mezi redakcí, dejte vědět ... nyní podezírám útok přes galerii :) úplně jsem na ní zapomněl :)


EDIT pa3k:
doplnil som fix SQL injection o jednu premennú

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================



Celkem upraveno 7×. Poslední úprava pa3k v 25.07.2011 11:30.

Tak problém bude asi ještě někde jinde ... každopádně je i v té galerii ... ale např. citrusy co jsou napadeni také, tak jsem u nich galerii nenašel ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Galerii sice nepoužívám, ale ten kod tam tuším mám. Mám už k disozici log, poslal jsme ho pa3k-ovi. pošlu ho ještě i Tobě.

Hepbegclub | Čáslavsko | MN Čáslav

Další asi neopravená chyba je ve vyhledávání, alespoň práve na citrusech (při omezení na téma a zneužití tohoto vstupu) :)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

v search.php je dobré přidat na začátek min.:

if (true == isset($GLOBALS["rstema"])) {
	if ($GLOBALS["rstema"] != "nic") {
		$GLOBALS["rstema"] = (int)$GLOBALS["rstema"];
	}
}

if (true == isset($GLOBALS["rskolik"])) {
	$GLOBALS["rskolik"] = (int)$GLOBALS["rskolik"];
	if ($GLOBALS["rskolik"] === 0) {
		$GLOBALS["rskolik"] = 15;
	}
}

if (true == isset($GLOBALS["rskolikata"])) {
	$GLOBALS["rskolikata"] = (int)$GLOBALS["rskolikata"];
	if ($GLOBALS["rskolikata"] === 0) {
		$GLOBALS["rskolikata"] = 1;
	}
}

if (true == isset($GLOBALS["stromhlmenu"])) {
	$GLOBALS["stromhlmenu"] = (int)$GLOBALS["stromhlmenu"];
}

též nevím, zda je to vše, musim makat na diplomce, fakt teď nestíhám ... co se týče logu, nic konkrétního jsem nenašel, ale jen jsem to prolétl, je toho moc :D jinak útok se dá provést i tak, že to v podobném logu IMHO nepoznáš ... mohl by pomoct i log chyb a warningů PHP, nebyl by i ten? Min. pro nalzení přesnější doby útoku, pže při útoku přes URL to většinou vyvolá i chybu či warning či notice, i když nemusí :)

Každopádně chyba asi nebude v pluginu (i když jich je po pluginech mraky), ale přímo v phpRS (nebo pluginu, co tam je VŽDY). Jak jde o podobný útok na hodně webů, bude to na 90% chyba přímo systému ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================



Celkem upraveno 1×. Poslední úprava xsuchy09 v 23.03.2009 21:28.