Pilna sprawa!

[Malas 0]

Witajcie.

 

Mam ogromny problem. Wszystko zaczęło się od spam komentarzy z dwóch nowo zarejestrowanych kont. Później to już coś poważniejszego, ponieważ robiło/ktoś robił kilka nowych kont z uprawnieniami administratora, bez podania adresu email. CMS od strony użytkownika jest zabezpieczony, zresztą rejestracja bez podania maila byłaby niemożliwa czyli wnioskuję, że to przez bazę danych ktoś wrzucał? Nie było nawet podanej daty rejestracji, więc to mnie utwierdza w tym przekonaniu. Jednak gdy wyłączyłem stronę(opcja w PA z przekierowaniem na forum) to nowe konta administratora już się nie zakładają, więc sam teraz nie wiem..

 

Proszę o pilną pomoc, pozdrawiam.

[ftt000 5]

Ktos mogl exploita wrzucic , moze jakas luka jest w tym CMS'ie , nie znam go , napisz do autoraskryptu najlepiej.

[Malas 0]

Mi się wydaje jakby to było włamanie od strony serwera. Ten CMS używa wiele sportowych stron i takich przypadków nigdy nie było.

Wygląda to tak jakby ktoś w bazie danych do tabeli z użytkownikami dodawał nowe dane i nie wypełniał wszystkich pól, które w przypadku nie wypełnienia zapełniają się defaultową wartością(Przykładowo data rejestracji 0000-00-00)

[ftt000 5]

No to jakis dzieciak mogl exploita uzyc wrzucic potem pliczek **** ktory daje dane do calego serwera ftp _ mysql i zrobic sobie co chce.

Moze nie tylko Ty na tym serwerze gdzie masz strone ma podobne perypetie :/

[Gość Kopaczka]

Ta jasne,

Daj link do hostingu i daj nazwe cmsa.

[Malas 0]

Rozmawiałem z autorem cms'a i to na sto procent nie była dziura w nim. Ktoś dostał się do bazy danych. Tyle wiem, ale już zrobiłem praktycznie wszystko aby takie coś się nie powtórzyło.

 

Kopaczka:

Co Ci by dała niby nazwa hostingu? Podobnie z cms'em, który jest przeznaczony na mały rynek i nieznany szerszemu gronu.

To czego się dowiedziałem wystarczy w zupełności do zapobiegania podobnym sytuacjom w przyszłości.

[Gość Kopaczka]

Rozmawiałem z autorem cms'a i to na sto procent nie była dziura w nim. Ktoś dostał się do bazy danych. Tyle wiem, ale już zrobiłem praktycznie wszystko aby takie coś się nie powtórzyło.

 

Kopaczka:

Co Ci by dała niby nazwa hostingu? Podobnie z cms'em, który jest przeznaczony na mały rynek i nieznany szerszemu gronu.

To czego się dowiedziałem wystarczy w zupełności do zapobiegania podobnym sytuacjom w przyszłości.

 

Jasne cms 100% bezpieczny

Autor cmsa może sobie pisać..

Mało ludzi było przekonanych o takim fakcie a potem mieli deface na stronie bo cms okazał się podatny?

Jak to autorski to mnie nazwa nie interesuje. Co do hostingu to też nie był bym zawsze na 100% pewien.

Wystarczy, że jakiś koleś sobie wgra phpshella na jakiegoś innego cmsa użytkownika który też ma konto na serwie co Ty.

Pobawi się troszkę, zobaczy czy administrator popełnił jakąś głupotę czy wie co to security itp

 

Pewnym to możesz być tylko śmierci i podatków

[Malas 0]

Siedzę na tym forum tyle czasu, że błąd w wyborze hostingu raczej mi się nie przytrafił Co do cms'a to nawet sytuacja z tworzeniem użytkowników wyraźnie pokazuje że to nie był atak przez stronę.

[kafi 2425]

Takie tworzenie użytkowników może wskazywać właśnie na sql-injection, gdzie ktoś napisał zapytanie INSERT i nie znał całości kolumn, a te niewypełnione engine bazy ustawił na wartości zerowe.

[Malas 0]

Myślisz, że jestem głupi i bym korzystał z systemu, który nie jest zabezpieczony przed sql-injection? No proszę was.. Takie podstawowe informacje to ja jeszcze znam.. Grubo przed startem serwisu prosiłem kilka osób(nie autora systemu) o przetestowanie pod tym właśnie względem.

[eRIZ 4]

Po pewnym kopaniu w źródłach/Google jest to coś zwanego Wrex Sport, czy coś w tym stylu.

 

Generalnie ciężko coś o nim w Sieci znaleźć; widziałem gdzieś oferty sprzedaży za 40zł, więc hmm...

 

Strona domowa też nie poraża.

 

Wystarczy, że jakiś koleś sobie wgra phpshella na jakiegoś innego cmsa użytkownika który też ma konto na serwie co Ty.

 

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

[Gość Kopaczka]

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

Bardzo dużo jest phpshelli bardzo rozbudowanych. Wbudowane wyszukiwarki exploitów na kernel itp. Paści do budowania botneta. Można wymieniać długo

 

Myślisz, że jestem głupi i bym korzystał z systemu, który nie jest zabezpieczony przed sql-injection?

 

Myślę, że nie znasz wszystkich metod ataków na aplikacje webowe i jest ich od groma

[Malas 0]

Po pewnym kopaniu w źródłach/Google jest to coś zwanego Wrex Sport, czy coś w tym stylu.

 

Generalnie ciężko coś o nim w Sieci znaleźć; widziałem gdzieś oferty sprzedaży za 40zł, więc hmm...

 

Strona domowa też nie poraża.

 

 

 

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

 

 

 

Brawo, no bo strona domowa z pewnością mówi wszystko o bezpieczeństwie produktu Cena taka bo jest skierowany na taki a nie inny rynek.

W całym systemie są tylko 2 pisane ręcznie zapytania, nie do złamania zresztą. Reszta automatycznie tworzona przez framework.

Dalsza dyskusja chyba już nie ma sensu.

[eRIZ 4]

Brawo, no bo strona domowa z pewnością mówi wszystko o bezpieczeństwie produktu Cena taka bo jest skierowany na taki a nie inny rynek.

 

Stronę domową wtrąciłem mimochodem. Ale nie spodziewałbym się wiele od CMS-a, którego chcą odsprzedawać za 40zł.

 

 

 

W całym systemie są tylko 2 pisane ręcznie zapytania, nie do złamania zresztą. Reszta automatycznie tworzona przez framework.

 

Z doświadczenia - najbardziej lekceważone dziury najbardziej dają popalić.

[Malas 0]

Z doświadczenia - najbardziej lekceważone dziury najbardziej dają popalić.

Tylko, że on nie ma dziur, które umożliwiają włamanie. Jest na wielu stronach i nikt nigdy luki bezpieczeństwa nie odkrył..

Zakończmy już dyskusję na ten temat bo to nie ma sensu. Ja mam swoje racje i Wy swoje

[crazyluki 114]

Malas: Pamiętaj że to Ty poprosiłeś o pomoc nie mówiąc gdzie miała miejsce taka sytuacja (shared or dedicated), jaki skrypt. Podałeś objawy a chciałeś wyleczenia;-)

[Dawid Sz. 98]

Po pewnym kopaniu w źródłach/Google jest to coś zwanego Wrex Sport, czy coś w tym stylu.

 

Generalnie ciężko coś o nim w Sieci znaleźć; widziałem gdzieś oferty sprzedaży za 40zł, więc hmm...

 

Strona domowa też nie poraża.

 

 

 

Widziałem ostatnio całkiem rozbudowanego potwora, 125 KiB czystego kodu PHP, a potrafił wybadać wszystkie możliwe furtki na serwerze. Łącznie z postawieniem binarnej aplikacji otwierającej socketa.

 

 

Licencja kosztuje 50 zł ale wszystko kosztem czegoś, suport jest słaby Jest to CMS oparty na frameworku KohanaPHP, hmm dziur w nim nie zauważyłem a używam już go przez kilka miesięcy

[Gość Kopaczka]

Ta ale jak to miał na współdzielonym hostingu to istnieje możliwość, że ktoś inny ma dziurawy cms.

Reszta robi kawałek kodu php i mózg

[Malas 0]

Niestety, zmartwię Cię bo nie miałem tego na współdzielonym. Nie próbuj już wymyślać kolejnych teorii bo to nie ma sensu;)

[Gość Kopaczka]

Napisaliśmy z innymi użytkownikami tyle postów i po co? Na nic.

Bo jakiś użytkownik chce pomocy i z drugiej strony jej nie chce.

Zastanów się co w końcu chcesz i zacznij pisać jak człowiek.

 

Trzeba było wszystko na samym początku napisać, albo po kilku postach.

Jak doskonale wiesz ze cms jest zabezpieczony w 100% chodź pewnie nie jest, że masz super

bezpieczny hosting z super security chodź też tak pewnie nie jest to po co piszesz temat o nazwie "Pilna sprawa !"

 

Albo masz jakiś syf na kompie, albo ktoś doskonale zna Twoje passy jeżeli powyższe to z całą pewnością prawda.

 

Chcesz pomocy to daj sobie pomóż a nie cwaniacz.

[Malas 0]

Gościu co Ty wymyślasz teraz. Stworzyłem ten temat aby uzyskać pomoc jak do tego mogło dojść. Tak na dobrą sprawę odpowiedziałeś ponad 15 godzin po zdarzeniu - do tego czasu to zdążyłem wykluczyć spokojnie kilka opcji. Kilka postów wyżej napisałem co i jak oraz dodałem, że dalsza dyskusja nie ma sensu. Ty dalej tworzysz teorie, że to cms ma luki itp. Nigdy go na oczy nie widziałeś Już chyba moje zdanie jest bliższe prawdzie ponieważ ja na nim pracuję ponad rok i jakieś pojęcie o nim posiadam

[eRIZ 4]

Jak doskonale wiesz ze cms jest zabezpieczony w 100% chodź pewnie nie jest, że masz super

bezpieczny hosting z super security chodź też tak pewnie nie jest to po co piszesz temat o nazwie "Pilna sprawa !"

Nigdy go na oczy nie widziałeś

 

Właśnie dlatego tak mówi. I całkowicie go popieram - najwięcej tego typu dziur jest wykorzystywanych tylko dlatego, że użytkownik danego systemu jest święcie przekonany, że jest on 100% odporny na wszelkie próby ataku. Tylko że nie ma w 100% zabezpieczonych aplikacji i nie będzie. Czasem wystarczy, (hipotetycznie) żeby skoczyło napięcie na zasilaniu i układy scalone zaczynają fiksować, a algorytm idealny wtedy nie może polegać na układzie.

 

Poza tym, nie powiedziałeś, jakiej wersji PHP używasz, czy regularnie go łatasz, czy masz Suhosin patch, czy używasz czegoś w stylu suExec/suPHP, czy może jednak wszystkie serwisy na serwerze pracują na jednym koncie, czy masz wszystkie paczki na serwerze w najnowszych wydaniach, czynników jest mnóstwo.

 

Pozostaje jeszcze kwestia tego, że - jak wspomniał przedmówca - korzystasz z np. zapisywania haseł w Total Commanderze, ale bez zabezpieczenia kluczem globalnym.

 

A odnoszę wrażenie, że nie chcesz podać nam pewnych kluczowych informacji, tylko poznać dziesiątki tysięcy opcji, jak mogło się to stać. Odpowiadam: przez dziurę w emacsie, gdy skrypt odpalał przez niego sendmaila. (mam nadzieję, że zrozumiałeś ironię )

[Malas 0]

Pozostaje jeszcze kwestia tego, że - jak wspomniał przedmówca - korzystasz z np. zapisywania haseł w Total Commanderze, ale bez zabezpieczenia kluczem globalnym.

Teraz to spadłem z krzesła..Trzeba być idiotą żeby zapisywać hasła w programach FTP, wszystkich bez wyjątków.

Co do reszty to tak jak pisałem, dalsza dyskusja nie ma sensu. Sporo opcji wykluczyłem, zrobiłem kilka rzeczy, które powinny wykluczyć podobne sytuacje w przyszłości.

 

Temat do zamknięcia.

[Gość Kopaczka]

Teraz to spadłem z krzesła..Trzeba być idiotą żeby zapisywać hasła w programach FTP, wszystkich bez wyjątków.

Co do reszty to tak jak pisałem, dalsza dyskusja nie ma sensu. Sporo opcji wykluczyłem, zrobiłem kilka rzeczy, które powinny wykluczyć podobne sytuacje w przyszłości.

 

Temat do zamknięcia.

 

 

 

Ja zapisuje i co? W przeglądarce passy też zapisuje.

Jak dla mnie to Ty jesteś idiotą bo sprzeczasz się a nie masz pojęcia o tym co piszesz.

Znasz jeden, może dwa rodzaje ataku na aplikacje webowe i cwaniaczysz.

 

Możesz się pochwalić jak Cię wyrolowali to sobie chętnie poczytam zdanie master of security który kupuje cmsa za 4 dychy. Skończyłbyś się unosić i zaczął pisać jak człowiek bo szkoda czasu na kłótnie.

[Malas 0]

Straciłeś u mnie resztki szacunku. Ja Ciebie idiotą nie nazwałem, bynajmniej bezpośrednio(bo skąd miałem wiedzieć że zapisujesz hasła w ftp itd). Nerwy w konserwy chłopcze.

Przeglądarka to ciut inna sprawa. Gdzie ja cwaniacze? Nie możesz chyba doczytać zdania, że już nie potrzebuje pomocy w tej kwestii i TEMAT JEST DO ZAMKNIĘCIA.

Jeżeli byłby cms za 5zł, który spełnia moje oczekiwania i posiada funkcje, których potrzebuje to też bym go kupił. Nie znasz rynku na którym jest sprzedawany, nie znasz autora, zachowujesz się tylko jak wszechwiedzący. Żegnam, z Tobą dyskusji kontynuować nie będę.