Показано с 1 по 9 из 9

Тема: Не читайте, т.к. буду ругаться и матюгаться!

  1. #1
    Vadim
    Vadim вне форума
    Участник Аватар для Vadim
    Регистрация
    01.11.2002
    Сообщений
    4,711

    Не читайте, т.к. буду ругаться и матюгаться!

    Итак меня все это уже порядочно за…ло, форум смомали уже второй раз за последнюю неделю >
    Причем в логах сервера вообще ничего нет, кроме бычного обращения к этому форуму через файл index.php
    Используется только метод GET, никакого POST.
    Народ давайте попробуем решить эту проблему совместно. После 1 взлома я уже форум обновил до 1.5.0 - текущий релиз, но его позачерась заломили снова.


    Че делать бум то??

  2. #2
    Voyager
    Voyager вне форума
    Новичок Аватар для Voyager
    Регистрация
    05.11.2002
    Сообщений
    176

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    в чём заключается взлом?

  3. #3
    Vadim
    Vadim вне форума
    Участник Аватар для Vadim
    Регистрация
    01.11.2002
    Сообщений
    4,711

    Re:Не читайте, т.к. буду ругаться и матюгаться!


  4. #4
    Ivonin
    Ivonin вне форума
    Участник Аватар для Ivonin
    Регистрация
    05.11.2002
    Сообщений
    13

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    В данном случае это был не взлом, а deface… Хотя, понимаю, что тебе от этого не легче… :-)
    Проблема, насколько я понимаю, именно в YaBBCE - это его дырка. Ссылку постараюсь найти…

    Честно говоря, я думал, что я один имею такой извращенный вкус - мне старый форум нравился куда как больше… А поскольку всем остальным, вроде, новый нравился - я решил не соваться. Но теперь, если дифейс так напрягает - можно пойти двумя путями: поставить фильтр на урлы (а дифейс в Яббсе делается именно через Get - обычное переполнение буфера) либо отказаться от Яббса вообще.

    Вадик, скинь мне на мыло полную конфигурацию твоего сервера (софтовую) - покопаюсь в эксплоитах…

  5. #5
    Ivonin
    Ivonin вне форума
    Участник Аватар для Ivonin
    Регистрация
    05.11.2002
    Сообщений
    13

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    VY> Добрый день,
    VY> Прошу всех ознакомится, в особенности Киселева Сашу!
    VY> https://nobat.ru/yabbse/index.php?bo…y;threadid=316


    Как и обещал - все ссылки по дырам в YaBBSE:

    Первая появилась 13 января - Очередные ошибки в CGI
    Опубликовано: 13 января 2003 г.
    Источник:
    Опасность: 5
    Продукты: YABB: YaBB 1.41
    Документы: VOID.AT Security, [VSA0306] YABBSE 1.4.1 SQL Injection Bugs,
    http://www.security.nnov.ru/search/d…asp?docid=3976


    Далее, 20 января - Очередные ошибки в CGI,
    Опубликовано: 20 января 2003 г.
    Источник: BUGTRAQ
    Тип: удаленная
    Опасность: 5
    Продукты: YABB: YaBB 1.50
    Документы: YabbSE Remote Code Execution Vulnerability,
    http://www.security.nnov.ru/search/d…asp?docid=4011
    Файлы: phpBB delete the text of all users' private
    messages exploit,
    http://www.security.nnov.ru/files/phpbb-exploit.pl


    С последнего документа (не эксплоита!) можно поиметь следующее
    на редкость оригинальное решение:

    ----------------------
    Solution:
    ----------------------

    Please check the vendor's website for new patches.


    А вот следующий абзац - вполне можно использовать. Хотя я не сильно
    представляю (не обладая конфигурацией), как это скажется на
    работоспособности:

    As a temporary solution, create a .htaccess file that contains 'Deny
    from all'. Place it in the /Sources/ directory and that should block
    remote users from accessing it.


    И, наконец, по последней ссылке приведен эксплоит - можно попробовать
    после темпорари сольюшна протестировать состояние им… Хотя, обычно
    эксплоиты выкладываются с некоторыми примитивными ошибками (типа
    синтаксических), дабы совсем ламеры уж не ломали все, что не попадя…
    А поскольку я в перле понимаю примерно столько же, сколько в законах
    Хаммурапи, я не могу оценить - насколько эксплоит придется
    подправить…

    Кстати, я таки наврал: работа все же идет через post, похоже… так
    что - ищи в логах…

    (дублирую и в лист, и на доску - думаю, никто не обидится :-)))

  6. #6
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    Ну и что, это ж не тот эксплойт. Это снос "instant messages", а они в нашем случае ни фига не страдают. Кто вообще сказал, что ломают именно форум, а не сайт, кстати?:-) где логи?

  7. #7
    Vadim
    Vadim вне форума
    Участник Аватар для Vadim
    Регистрация
    01.11.2002
    Сообщений
    4,711

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    Ну блин, Вы меня обижаете!
    У меня на серваке, около 20 сайтов, а сломали только форум YABBSE!
    Сервер FreeBSD Stable 4.7
    Apache 1.3.27
    PHP 4.2.3

  8. #8
    akiselev
    akiselev вне форума
    Участник
    Регистрация
    02.11.2002
    Сообщений
    796

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    Ну ладно, будем считать, что эту конкретную дырку закрыли… Ждем-с…

  9. #9
    Ivonin
    Ivonin вне форума
    Участник Аватар для Ivonin
    Регистрация
    05.11.2002
    Сообщений
    13

    Re:Не читайте, т.к. буду ругаться и матюгаться!

    Цитата Сообщение от Alexander Kiselev
    Ну и что, это ж не тот эксплойт. Это снос "instant messages", а они в нашем случае ни фига не страдают. Кто вообще сказал, что ломают именно форум, а не сайт, кстати?:-) где логи?
    Саш, "как показывает практика", как только находится более или менее серьезная дырочка в продукте, так тут же активизируются исследования, эксплуатирующие именно эту уязвимость…

    То есть, дыру "расширяют", "углубляют" и "разрабатывают"… :-)))

    А тут - remote code execution… _Это_ дыра. И то, что эксплоит приведен, сносящий месседжи - это неважно… Эксплоит можно любой написать…

    Хотя я не буду настаивать на том, что тут именно так все было :-)))

Похожие темы

  1. Может кто ответит на пару вопросов буду очень благодарен
    от texrdcom в разделе The Bat!: вопросы и ответы
    Ответов: 1
    Последнее сообщение: 27.11.2004, 01:12