Ну вот и мой сайт отломали...

[flagman]

Такая фигня. Каким-то образом заменили index.php на index.html в корневом каталоге. Просветите пожалуйста.

вот код того index.html

<html>
<head>
<title> Anomaly 1n the System CrEW</title>
<style TYPE="text/css">
<!--
A:link {text-decoration: none}
A:visited {text-decoration: none}
A:hover { text-decoration: none;}
-->
</style>
</head>
<body bgcolor="#000000" text="#FFFFFF">
<br><br>
<br><br>
<p align= "center"><font size="2" face="terminal">A n o m a l y &nbsp; 1 n &nbsp; t h e &nbsp; S y s t e m &nbsp; C r E W</font></p>
<p align= "center"><font size="2" face="terminal">i S &nbsp; B A C K &nbsp; ! ! !</font></p>
<br><br>
<p align= "center"><font size="2" face="terminal">O O O . . . W W W . . . E E E . . . D D D . . .</font></p>
<br><br>
<p align= "center"><font size="2" face="terminal"><u>We are:</u></font></p>
<p align= "center"><font size="2" face="terminal">V4mu&nbsp;&nbsp;<*>&nbsp;&nbsp;S0l 4r1s&nbsp;&nbsp;<*>&nbsp;&nbsp;paulinhu&nbsp;&nbsp ;<*>&nbsp;&nbsp;r3ckd4ll&nbsp;&nbsp;<*>&nbsp;&nbsp ;magic</font></p>
<p align= "center"><font size="2" face="terminal">Need help ? #A1TS on irc.gigachat.net</font></p>
</body>
</html>

[D@rk]

Могли ftp положить..ссылку на сайт дай посмотрим мож дырки какие есть..

[LARK]

Это взлом через Newbb Plus, лекарство в аттаче (то что обнаружено на данный момент, может есть и еще дырки)

Если повторится пишите сюда и мне в приват

[clog]

LARK*
Не мог бы написать сюда (или в личку) что ты изменил?
А то в эти файлы я как то редактировал...


Спасибо.

[Irbis]

LARK* Таблетка для какой версии?

[LARK]

Irbis clog

Таблетка для 1.2 Но если делать в ручную то подойдет для всех версий. Во всех PHP файлах папки modules/newbb_plus/class нужно в начале файла добавить


if (!defined('XOOPS_ROOT_PATH')) {
exit();
}

Хотя уязвимы только те два файла которые я выложил

P.S. Это исправление от SVL

[LARK]

Вот исправленные файлы - для RunCMS 1.2 (newbb plus 0.82) и RunCMS 1.1A (newbb plus 0.81)

Ставятся на "чистый" newbb plus т.е. без хаков и изменений

[Deemitri]

сказал 2 файла поправить а ща вон их сколько в архиве!!... и никаких комментариев. 2 файла поправить недостаточно?

[LARK]

Я просто пока не хочу вдавться в детали.

В папке modules/newbb_plus/class уязвимы только два файла, те которые я вначале выложил. Для остальных из этой же папки сделана просто "профилактика" - чтобы к ним не был прямой доступ.

Остальные три файла в modules/newbb_plus/ закрывают дырку от SQL инъекций. В версии 1.2 эта уязвимость блокируется специальным фильтром от SQL инъекций, но сами переменные из за которых и возможна это инъекция не проверяются, поэтому возможен вариант, когда фильтр не сможет блокировать атаку и файлы окажутся не защищены.

P.S. Из за этой дырки вчера были взломаны два датских сайта, один из которых датская поддержка RunCMS

[SVL]

Цитата:

LARK: if (!defined('XOOPS_ROOT_PATH')) { exit(); }

Это надо делать не только в ньюбб+, а во всём движке, во всех модулях.
Добавить пару строк не трудно, но головных болей станет на много меньше.

А вместо exit скрипт можно перенаправить в любую сторону - редирект на индекс, вызов абуси или матюг какой нибуть написать