Skocz do zawartości
Malas

Pilna sprawa!

Polecane posty

Witajcie.

 

Mam ogromny problem. Wszystko zaczęło się od spam komentarzy z dwóch nowo zarejestrowanych kont. Później to już coś poważniejszego, ponieważ robiło/ktoś robił kilka nowych kont z uprawnieniami administratora, bez podania adresu email. CMS od strony użytkownika jest zabezpieczony, zresztą rejestracja bez podania maila byłaby niemożliwa czyli wnioskuję, że to przez bazę danych ktoś wrzucał? Nie było nawet podanej daty rejestracji, więc to mnie utwierdza w tym przekonaniu. Jednak gdy wyłączyłem stronę(opcja w PA z przekierowaniem na forum) to nowe konta administratora już się nie zakładają, więc sam teraz nie wiem..

 

Proszę o pilną pomoc, pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mi się wydaje jakby to było włamanie od strony serwera. Ten CMS używa wiele sportowych stron i takich przypadków nigdy nie było.

Wygląda to tak jakby ktoś w bazie danych do tabeli z użytkownikami dodawał nowe dane i nie wypełniał wszystkich pól, które w przypadku nie wypełnienia zapełniają się defaultową wartością(Przykładowo data rejestracji 0000-00-00)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No to jakis dzieciak mogl exploita uzyc :) wrzucic potem pliczek **** ktory daje dane do calego serwera ftp _ mysql i zrobic sobie co chce.

Moze nie tylko Ty na tym serwerze gdzie masz strone ma podobne perypetie :/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Rozmawiałem z autorem cms'a i to na sto procent nie była dziura w nim. Ktoś dostał się do bazy danych. Tyle wiem, ale już zrobiłem praktycznie wszystko aby takie coś się nie powtórzyło.

 

Kopaczka:

Co Ci by dała niby nazwa hostingu?biggrin.gif Podobnie z cms'em, który jest przeznaczony na mały rynek i nieznany szerszemu gronu.

To czego się dowiedziałem wystarczy w zupełności do zapobiegania podobnym sytuacjom w przyszłości.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Rozmawiałem z autorem cms'a i to na sto procent nie była dziura w nim. Ktoś dostał się do bazy danych. Tyle wiem, ale już zrobiłem praktycznie wszystko aby takie coś się nie powtórzyło.

 

Kopaczka:

Co Ci by dała niby nazwa hostingu?biggrin.gif Podobnie z cms'em, który jest przeznaczony na mały rynek i nieznany szerszemu gronu.

To czego się dowiedziałem wystarczy w zupełności do zapobiegania podobnym sytuacjom w przyszłości.

 

Jasne cms 100% bezpieczny :)

Autor cmsa może sobie pisać..

Mało ludzi było przekonanych o takim fakcie a potem mieli deface na stronie bo cms okazał się podatny?

Jak to autorski to mnie nazwa nie interesuje. Co do hostingu to też nie był bym zawsze na 100% pewien.

Wystarczy, że jakiś koleś sobie wgra phpshella na jakiegoś innego cmsa użytkownika który też ma konto na serwie co Ty.

Pobawi się troszkę, zobaczy czy administrator popełnił jakąś głupotę czy wie co to security itp

 

Pewnym to możesz być tylko śmierci i podatków laugh.gif

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Siedzę na tym forum tyle czasu, że błąd w wyborze hostingu raczej mi się nie przytrafiłwink.gif Co do cms'a to nawet sytuacja z tworzeniem użytkowników wyraźnie pokazuje że to nie był atak przez stronę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Takie tworzenie użytkowników może wskazywać właśnie na sql-injection, gdzie ktoś napisał zapytanie INSERT i nie znał całości kolumn, a te niewypełnione engine bazy ustawił na wartości zerowe.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Myślisz, że jestem głupi i bym korzystał z systemu, który nie jest zabezpieczony przed sql-injection? No proszę was..blink.gif Takie podstawowe informacje to ja jeszcze znam.. Grubo przed startem serwisu prosiłem kilka osób(nie autora systemu) o przetestowanie pod tym właśnie względem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po pewnym kopaniu w źródłach/Google jest to coś zwanego Wrex Sport, czy coś w tym stylu.

 

Generalnie ciężko coś o nim w Sieci znaleźć; widziałem gdzieś oferty sprzedaży za 40zł, więc hmm... :)

 

Strona domowa też nie poraża.

 

Wystarczy, że jakiś koleś sobie wgra phpshella na jakiegoś innego cmsa użytkownika który też ma konto na serwie co Ty.

 

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

Bardzo dużo jest phpshelli bardzo rozbudowanych. Wbudowane wyszukiwarki exploitów na kernel itp. Paści do budowania botneta. Można wymieniać długo :)

 

Myślisz, że jestem głupi i bym korzystał z systemu, który nie jest zabezpieczony przed sql-injection?

 

Myślę, że nie znasz wszystkich metod ataków na aplikacje webowe i jest ich od groma :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po pewnym kopaniu w źródłach/Google jest to coś zwanego Wrex Sport, czy coś w tym stylu.

 

Generalnie ciężko coś o nim w Sieci znaleźć; widziałem gdzieś oferty sprzedaży za 40zł, więc hmm... :)

 

Strona domowa też nie poraża.

 

 

 

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

 

 

 

Brawo, no bo strona domowa z pewnością mówi wszystko o bezpieczeństwie produktubiggrin.gif Cena taka bo jest skierowany na taki a nie inny rynek.

W całym systemie są tylko 2 pisane ręcznie zapytania, nie do złamania zresztą. Reszta automatycznie tworzona przez framework.

Dalsza dyskusja chyba już nie ma sensu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Brawo, no bo strona domowa z pewnością mówi wszystko o bezpieczeństwie produktu Cena taka bo jest skierowany na taki a nie inny rynek.

 

Stronę domową wtrąciłem mimochodem. Ale nie spodziewałbym się wiele od CMS-a, którego chcą odsprzedawać za 40zł. :)

 

 

 

W całym systemie są tylko 2 pisane ręcznie zapytania, nie do złamania zresztą. Reszta automatycznie tworzona przez framework.

 

Z doświadczenia - najbardziej lekceważone dziury najbardziej dają popalić.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z doświadczenia - najbardziej lekceważone dziury najbardziej dają popalić.

Tylko, że on nie ma dziur, które umożliwiają włamanie. Jest na wielu stronach i nikt nigdy luki bezpieczeństwa nie odkrył..

Zakończmy już dyskusję na ten temat bo to nie ma sensu. Ja mam swoje racje i Wy swojewink.gif

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Malas: Pamiętaj że to Ty poprosiłeś o pomoc nie mówiąc gdzie miała miejsce taka sytuacja (shared or dedicated), jaki skrypt. Podałeś objawy a chciałeś wyleczenia;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po pewnym kopaniu w źródłach/Google jest to coś zwanego Wrex Sport, czy coś w tym stylu.

 

Generalnie ciężko coś o nim w Sieci znaleźć; widziałem gdzieś oferty sprzedaży za 40zł, więc hmm... :)

 

Strona domowa też nie poraża.

 

 

 

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

 

 

Licencja kosztuje 50 zł ale wszystko kosztem czegoś, suport jest słaby :) Jest to CMS oparty na frameworku KohanaPHP, hmm dziur w nim nie zauważyłem a używam już go przez kilka miesięcy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Ta ale jak to miał na współdzielonym hostingu to istnieje możliwość, że ktoś inny ma dziurawy cms.

Reszta robi kawałek kodu php i mózg :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niestety, zmartwię Cię bo nie miałem tego na współdzielonym. Nie próbuj już wymyślać kolejnych teorii bo to nie ma sensu;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Napisaliśmy z innymi użytkownikami tyle postów i po co? Na nic.

Bo jakiś użytkownik chce pomocy i z drugiej strony jej nie chce.

Zastanów się co w końcu chcesz i zacznij pisać jak człowiek.

 

Trzeba było wszystko na samym początku napisać, albo po kilku postach.

Jak doskonale wiesz ze cms jest zabezpieczony w 100% chodź pewnie nie jest, że masz super

bezpieczny hosting z super security chodź też tak pewnie nie jest to po co piszesz temat o nazwie "Pilna sprawa !"

 

Albo masz jakiś syf na kompie, albo ktoś doskonale zna Twoje passy jeżeli powyższe to z całą pewnością prawda.

 

Chcesz pomocy to daj sobie pomóż a nie cwaniacz.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Gościu co Ty wymyślasz teraz. Stworzyłem ten temat aby uzyskać pomoc jak do tego mogło dojść. Tak na dobrą sprawę odpowiedziałeś ponad 15 godzin po zdarzeniu - do tego czasu to zdążyłem wykluczyć spokojnie kilka opcji. Kilka postów wyżej napisałem co i jak oraz dodałem, że dalsza dyskusja nie ma sensu. Ty dalej tworzysz teorie, że to cms ma luki itp. Nigdy go na oczy nie widziałeś:) Już chyba moje zdanie jest bliższe prawdzie ponieważ ja na nim pracuję ponad rok i jakieś pojęcie o nim posiadamwink.gif

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jak doskonale wiesz ze cms jest zabezpieczony w 100% chodź pewnie nie jest, że masz super

bezpieczny hosting z super security chodź też tak pewnie nie jest to po co piszesz temat o nazwie "Pilna sprawa !"

Nigdy go na oczy nie widziałeś

 

Właśnie dlatego tak mówi. I całkowicie go popieram - najwięcej tego typu dziur jest wykorzystywanych tylko dlatego, że użytkownik danego systemu jest święcie przekonany, że jest on 100% odporny na wszelkie próby ataku. Tylko że nie ma w 100% zabezpieczonych aplikacji i nie będzie. Czasem wystarczy, (hipotetycznie) żeby skoczyło napięcie na zasilaniu i układy scalone zaczynają fiksować, a algorytm idealny wtedy nie może polegać na układzie.

 

Poza tym, nie powiedziałeś, jakiej wersji PHP używasz, czy regularnie go łatasz, czy masz Suhosin patch, czy używasz czegoś w stylu suExec/suPHP, czy może jednak wszystkie serwisy na serwerze pracują na jednym koncie, czy masz wszystkie paczki na serwerze w najnowszych wydaniach, czynników jest mnóstwo.

 

Pozostaje jeszcze kwestia tego, że - jak wspomniał przedmówca - korzystasz z np. zapisywania haseł w Total Commanderze, ale bez zabezpieczenia kluczem globalnym.

 

A odnoszę wrażenie, że nie chcesz podać nam pewnych kluczowych informacji, tylko poznać dziesiątki tysięcy opcji, jak mogło się to stać. Odpowiadam: przez dziurę w emacsie, gdy skrypt odpalał przez niego sendmaila. (mam nadzieję, że zrozumiałeś ironię ;))

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pozostaje jeszcze kwestia tego, że - jak wspomniał przedmówca - korzystasz z np. zapisywania haseł w Total Commanderze, ale bez zabezpieczenia kluczem globalnym.

Teraz to spadłem z krzesła..Trzeba być idiotą żeby zapisywać hasła w programach FTP, wszystkich bez wyjątków.

Co do reszty to tak jak pisałem, dalsza dyskusja nie ma sensu. Sporo opcji wykluczyłem, zrobiłem kilka rzeczy, które powinny wykluczyć podobne sytuacje w przyszłości.

 

Temat do zamknięcia.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Teraz to spadłem z krzesła..Trzeba być idiotą żeby zapisywać hasła w programach FTP, wszystkich bez wyjątków.

Co do reszty to tak jak pisałem, dalsza dyskusja nie ma sensu. Sporo opcji wykluczyłem, zrobiłem kilka rzeczy, które powinny wykluczyć podobne sytuacje w przyszłości.

 

Temat do zamknięcia.

 

 

 

Ja zapisuje i co? W przeglądarce passy też zapisuje.

Jak dla mnie to Ty jesteś idiotą bo sprzeczasz się a nie masz pojęcia o tym co piszesz.

Znasz jeden, może dwa rodzaje ataku na aplikacje webowe i cwaniaczysz.

 

Możesz się pochwalić jak Cię wyrolowali to sobie chętnie poczytam zdanie master of security który kupuje cmsa za 4 dychy. Skończyłbyś się unosić i zaczął pisać jak człowiek bo szkoda czasu na kłótnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Straciłeś u mnie resztki szacunku. Ja Ciebie idiotą nie nazwałem, bynajmniej bezpośrednio(bo skąd miałem wiedzieć że zapisujesz hasła w ftp itd). Nerwy w konserwy chłopcze.

Przeglądarka to ciut inna sprawa. Gdzie ja cwaniacze? Nie możesz chyba doczytać zdania, że już nie potrzebuje pomocy w tej kwestii i TEMAT JEST DO ZAMKNIĘCIA.

Jeżeli byłby cms za 5zł, który spełnia moje oczekiwania i posiada funkcje, których potrzebuje to też bym go kupił. Nie znasz rynku na którym jest sprzedawany, nie znasz autora, zachowujesz się tylko jak wszechwiedzący. Żegnam, z Tobą dyskusji kontynuować nie będę.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×