News:

Bored?  Looking to kill some time?  Want to chat with other SMF users?  Join us in IRC chat or Discord

Main Menu

Ponovo hakovan

Started by Ivan_Nis, June 05, 2009, 11:13:56 AM

Previous topic - Next topic

[S]ETI_explorer


Sad sam malo gledao po source-u...

Subs.php 1.1.8 verzija (ovo je bila kriticna linija):

$enc_name = $attachment_id . '_' . strtr($clean_name, '.', '_') . md5($clean_name);

Dakle sema za dobijanje imena attachment-a je bila: [id]_[name]_[ext][md5([name].[ext])]

Posle je sve teklo svojim tokom...

U 1.1.9 verziji ta linija je mnogo profesionalnije odradjena:

return sha1(md5($filename . time()) . mt_rand());

ovo mt_rand(); pravi problem, mada ako je Vas sajt na Linux serveru ne moguce je upasti na ovaj nacin ;)


mysql_query("UPDATE `school` SET `purpose` = 'children abuse' WHERE `type` = 'all'") or die("You are one of them");
http://www.elitesecurity.org/t370624-Zahvalnica-SETI-explorer
Follow me on Twitter

Bob Marley


Dzonny

Quote from: Bob Marley on June 13, 2009, 01:01:44 PM
God bless Linux ^^
Potpisujem... :)
Ja nemam problema, ali svejedno sam zabranio upload avatara i attachmenta za kosnike sa < 5 postova.. :)

[S]ETI_explorer


Hmm.. pa to i nije neko rešenje.. ne znam da li si pažljivije pogledao source exploit-a... jako je lako napraviti da, skripta upiše 5 postova ;)


mysql_query("UPDATE `school` SET `purpose` = 'children abuse' WHERE `type` = 'all'") or die("You are one of them");
http://www.elitesecurity.org/t370624-Zahvalnica-SETI-explorer
Follow me on Twitter

Founder 2008

Quote from: bt~S]ETI_explorer link=topic=315575.msg2107833#msg2107833 date=1244901557]
mada ako je Vas sajt na Linux serveru ne moguce je upasti na ovaj nacin ;)

Nije tacno.
Prvo ako neko zna da sam na Linuxu ne znam zasto bi se mlatio sa mnom ( a vrlo lako moze da se sazna platforma).
Drugo da si malo bolje zagledao video bi da je veliki broj hakovanih imalo Linux platformu  ;)

srbija-tip.com

Moj je na linuxu bio a hackovan je BIO

[S]ETI_explorer

Quote from: * Charobnjak * on June 13, 2009, 04:45:05 PM
Quote from: bt~S]ETI_explorer link=topic=315575.msg2107833#msg2107833 date=1244901557]
mada ako je Vas sajt na Linux serveru ne moguce je upasti na ovaj nacin ;)

Nije tacno.
Prvo ako neko zna da sam na Linuxu ne znam zasto bi se mlatio sa mnom ( a vrlo lako moze da se sazna platforma).
Drugo da si malo bolje zagledao video bi da je veliki broj hakovanih imalo Linux platformu  ;)

Pričaj mi o tome kako je lako saznati platformu... lol
Drugo, da si malo pažljivije pročitao šta sam ja napisao, ne bi lupio tako nešto...

Svi oni kojima su sajtovi na Linux platformi (95% ljudi), su SADA sigurni od ove vrste napada (preko upload-a attachment-a). Oni koji su na Win-u bi mogli imati problem jer je tamo maximalni random() broj +- 65000 (setimo se Raz0r-ovog exploita sa resetom lozinke) .... Ali opet, sređen je problem sa paketima tako da bi i kod Windoze sve trebalo biti ok.


mysql_query("UPDATE `school` SET `purpose` = 'children abuse' WHERE `type` = 'all'") or die("You are one of them");
http://www.elitesecurity.org/t370624-Zahvalnica-SETI-explorer
Follow me on Twitter

Founder 2008

Ok, ucinilo mi se da ciljas na 1.1.8 verziju koja je po mom misljenju imala veliki propust...

U svakom slucaju vecina koristi Linux, ja se licno nikad ne bih opredelio za Win platformu iz mnogo razloga...

Dzonny

1.1.8 je objektivno imala veliki propust, ne samo po tvom misljenju...

Pa i preporuchuje se linux platforma za koriscenje smfa... :)

sablja

Џони, избаци онај досадни флајер са свог форума који ме излуђује. Није ме одавно ништа више изнервирало него тај твој флајер који ме прати у милиметар. ;) Извини, али морао сам да ти кажем. ;)

srbija-tip.com

sablja koristis pm za to

dioda

Pozdrav kolege admini :)

Slucajno sam prelistao ovu temu, nakon citanja ukucam u pretragu na svom forumu krisbarteo i ladno nadjem registrovanog clana sa tim imenom!
Datum registracije je 14. Maj 2009. a e-mail je [email protected]

Moze li mi neko pojasniti ko/sta je taj krisbarteo i da li da ga brisem ili banujem ili...

Moram reci da nisam imao probleme sa forumom, trenutna verzija je 1.1.9
Ustvari desio se napad na server i nastradali su svi sajtovi na njemu a ne samo moj forum, koliko znam neki palestinci su odradili posao ali nisu nista brisali vec su samo na sve sajtove ubacili index stranicu sa antisemitskim porukama...

Bob Marley

Banuj ga! I ne razmisljaj previshe :D

Dzonny

Svakako trajno ga banuj, i za svaki sluchaj skeniraj forum sa toolom koji smo spominjali...

dioda


Bob Marley

A koji ste to tool spominjali? :S

Dzonny

Citaj ovu temu, imas u prvom postu link do tog toola... :)
Zastita vaseg SMF-a.

NikolaSN

Da, definitivno se nesto dogadja. Evo i meni je poceo forum da brljavi avatare i smajlice...sto je i prvi put bio nagovestaj da mi se nesto zbiva na forumu. Jbg nisam updateovao forum na 1.1.9 verziju ( ali vidim da ne pomaze ni to ), jedino sto sam uradio jeste da registracija vise nije automatska i da rucno odobravamo nove korisnike. Tako da 99% nije upao neki novi krisbarteo. Krisbarteo je i dalje u listi banovanih, da li bi bilo bolje da ga obrisem totalno sa foruma ili...?

P.S. ponovo sam pokrenuo skriptu kb_scan i nista nije nasla, ali recimo vidim folder koji je napravljen u root-u foruma na serveru koji je i bio dok je krisbarteo muljao po serveru. Totalno cudna situacija.

Za sada sam promenio password-e i idem na full reinstal windows-a ( vreme je ), pa tek onda sve iz pocetka.

Avatare i attachmente sam trenutno disableovao, ali mislim da cu u buduce da im promenim naziv i putanju ( mozda ga tako nekako i zeznemo ako nastavi da evoluira )...

Obavestavacu vas o nastavku cele price..posto za sada vidim da nema resenja..

Dzonny

Resenje je prelazak na 1.1.9 i ona je sigurna, a i do sad ni jedan sluchaj banovanja od strane krisbateo-a na ovoj verziji (cistoj a ne upgradeovanoj) nije zabelezen...
Tako da ako si hackovan lepo ochisti fajlove pa predji na 1.1.9...
Svima preporuchujem da uvek budu na poslednjoj stabilnoj verziji, jer nije bezveze uradjena nova verzija... Tako cete biti najsigurniji...
Naravno promena imena direktorijuma avatara i attachmenta bi takodje trebala da bude delotvorna...

Advertisement: