MOD Cracker Tracker Professional

[Siava]

Но.. у меня почему-то это не работает. Может я криво поставил?

У меня теперь что включаешь защиту, что выключаешь - её не видно

[Joss]

Гмм.. а выйти.. неправильно ввести пароль и попытаться еще раз. Появится или нет?

[Siava]

Joss
Даже зарегался отдельно - нет ничего.

[NCom]

YeНу к что народ? стоит или не стоит ставить?

[Joss]

Ставьте, просто одна фича как-то странно работает, или не работает. Автор заявляет, что все нормально. Но у нас не работает. Я код смотрел, если честно, мало чего понял. Вот этот код, как он работает?

Код: Выделить всё

if(!empty($HTTP_POST_VARS['username'])....


Откуда, предполагается, в данном варианте, мы получаем username?

[Siava]

На днях "выудил" такую штуку:

Код: Выделить всё

24.01.2006, 00:21   80.82.36.6   GLOBALS[signature_bbcode_uid]=(.%2B)/e%00   ctl_referrer   libwww-perl/5.803

[edgar]

На днях "выудил" такую штуку:

И чего это? Дурак КракерТракер счетчик какой-то за хакера принял? Или в чем суть?

[Siava]

edgar
Сомневаюсь что это счётчик? Скорей эксплоит на perl'e, эксплуатирующий какую-нибудь уязвимость через глобальные переменные =)

[edgar]

Siava
Мне кажется вам не надо тут волноваться. Это точно какой-то счетчик статистики.

Добавлено спустя 1 минуту 52 секунды:

Они так называются. Да и ip известный и официальной фирме принадлежит.

[Siava]

edgar
Ути-пути.. обломитесь пожалуйста

Провёл маленькое расследование, так как сегодня было то же самое, но с другого адреса - 62.253.128.14.
Этот адрес на самом деле прокся, а реальный IP 81.100.93.247 (хотя наверно тоже липа)
Глянул логи, проследил всё как было:

1. обычный поиск в гугле уязвимой версии

Код: Выделить всё

62.253.128.14 - - [29/Jan/2006:17:54:58 +0300] "GET /forum/attachments.php HTTP/1.1" 200 4834 "http://www.google.ru/search?q=inurl:forum+by+phpbb+2.0.17&hl=ru&lr=&start=10&sa=N" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.10) Gecko/20050719 Firefox/1.0.6 Mandriva/1.0.6-11mdk (2006.0)"


2. далее переход в тему, потом на страницу со списком форумов..

3. попытка применить эксплоит:

Код: Выделить всё

62.253.128.14 - - [29/Jan/2006:17:56:35 +0300] "POST /forum/profile.php?GLOBALS[signature_bbcode_uid]=(.%2B)/e%00 HTTP/1.1" 200 878 "-" "libwww-perl/5.803"
62.253.128.14 - - [29/Jan/2006:17:56:36 +0300] "POST /forum/login.php HTTP/1.1" 200 6237 "http://www.siava.ru/forum/login.php" "libwww-perl/5.803"
62.253.128.14 - - [29/Jan/2006:17:56:37 +0300] "GET /forum/profile.php?mode=editprofile HTTP/1.1" 302 5 "-" "libwww-perl/5.803"
62.253.128.14 - - [29/Jan/2006:17:56:38 +0300] "GET /forum/login.php?redirect=profile.php&mode=editprofile HTTP/1.1" 200 6998 "-" "libwww-perl/5.803"

[Mr. Anderson]

Скорей эксплоит на perl'e

Скажем одна из версий Santy

[edgar]

обычный поиск в гугле уязвимой версии

Не, такой запрос не катит для поиска уязвимой версии. Маленькая отдача будет. Имхо один форум на 100 страниц. Если в новых искать "Powered by phpBB" намного больше принесет. Если в старых то прибавить номера версии. А это я просто уверен сборщик какойто статистики. Может нехорошей для рекламы и проч. но для поиска уязвимой версии такой запрос можно только по сильной обкурке сделать. То что вы назвали "попытка применить эксплоит" это только подтверждает.
Только не ругайтесь словами "ути пути". я просто свое имхо высказал.

Добавлено спустя 5 минут 17 секунд:

Вообще мне очень не нравится Кракер Тракер тем, что злоумышленник зная что это мод установлен может сильно попортить жизнь админу. А выдает он себя очень бытро

[Xpert]

Вообще мне очень не нравится Кракер Тракер тем, что злоумышленник зная что это мод установлен может сильно попортить жизнь админу.

С этого места поподробнее пожалуйста

http://www.google.ru/search?q=inurl:forum+by+phpbb+2.0.17&hl=ru&lr=&start=10&sa=N" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.10)

Соотечественники балуются

Добавлено спустя 4 минуты 41 секунду:

А проявить его действительно просто - через тот же поиск.

[Arhar]

Давайте вместо критики закрывать найденные дырки сами
И тогда всё будет рулить сильнее любого обновления.
Как вернуть Visual Confirmation, чтобы оно было всегда?

Добавлено спустя 2 часа 10 минут 13 секунд:

После установки этого мода выяснилось очень интересное явление.
Раньше нам запускали скрипт, который регил 3000 юзеров, но Visual Confirmation рулило..
теперь стоит кракер..он тоже рулит
Раньше вижуал конфирматион спасало только от убитой дб
А CGI выдавало ошибку на всех страницах форума, типа максимальное количество соединений с хостингом(не с форумом, макс сешшон ип не спасает) превышено, ждите.
Теперь кракер тракер спасает, и CGI выдаёт ошибку только на index.php, типа максимальное количество соединений с индекс пхп превышено, а на вьюфорум или админку всё нормально..
может есть способ поставить защиту по количеству запросов на выполнение файла, если не программно в пхп, то может на самом фтп как-нибудь?

[edgar]

Вышли новые версии, пока не отмеченные в этой теме

2006-04-11 - Version 4.1.2
- Added note for phpBB 2.0.19 / 2.0.20 Users
- Extended Heuristic-Engine to detect "tunneled" or just spammy requests on your Board to reduce server load and traffic.

2006-04-30 - Version 4.1.3
- Fixed Bug with creating Logfile
- Additional "sensible vars" Protection
- Added Note for files into the includes/ Folder

Такая вот новость.

Ссылка для скачивания та же