MOD Cracker Tracker Professional

Сообщение **Siava** » 17.01.2006 2:07

Joss писал(а):Но.. у меня почему-то это не работает. Может я криво поставил?

У меня теперь что включаешь защиту, что выключаешь - её не видно

Joss · Сообщение **Joss** » 17.01.2006 2:19

Гмм.. а выйти.. неправильно ввести пароль и попытаться еще раз. Появится или нет?

Сообщение **Siava** » 17.01.2006 11:00

Joss
Даже зарегался отдельно - нет ничего.

NCom · Сообщение **NCom** » 20.01.2006 22:31

YeНу к что народ? стоит или не стоит ставить?

Joss · Сообщение **Joss** » 21.01.2006 0:51

Ставьте, просто одна фича как-то странно работает, или не работает. Автор заявляет, что все нормально. Но у нас не работает. Я код смотрел, если честно, мало чего понял. Вот этот код, как он работает?

Код: Выделить всё

if(!empty($HTTP_POST_VARS['username'])....

Откуда, предполагается, в данном варианте, мы получаем username?

Сообщение **Siava** » 28.01.2006 3:06

На днях "выудил" такую штуку:

Код: Выделить всё

24.01.2006, 00:21	80.82.36.6	GLOBALS[signature_bbcode_uid]=(.%2B)/e%00	ctl_referrer	libwww-perl/5.803

edgar · Сообщение **edgar** » 28.01.2006 5:58

Siava писал(а):На днях "выудил" такую штуку:

И чего это? Дурак КракерТракер счетчик какой-то за хакера принял?

Или в чем суть?

Сообщение **Siava** » 28.01.2006 13:49

edgar
Сомневаюсь что это счётчик? Скорей эксплоит на perl'e, эксплуатирующий какую-нибудь уязвимость через глобальные переменные =)

edgar · Сообщение **edgar** » 28.01.2006 23:34

Siava
Мне кажется вам не надо тут волноваться. Это точно какой-то счетчик статистики.

Добавлено спустя 1 минуту 52 секунды:

Они так называются. Да и ip известный и официальной фирме принадлежит.

Сообщение **Siava** » 29.01.2006 21:29

edgar
Ути-пути.. обломитесь пожалуйста

Провёл маленькое расследование, так как сегодня было то же самое, но с другого адреса - 62.253.128.14.
Этот адрес на самом деле прокся, а реальный IP 81.100.93.247 (хотя наверно тоже липа)
Глянул логи, проследил всё как было:

1. обычный поиск в гугле уязвимой версии

Код: Выделить всё

62.253.128.14 - - [29/Jan/2006:17:54:58 +0300] "GET /forum/attachments.php HTTP/1.1" 200 4834 "http://www.google.ru/search?q=inurl:forum+by+phpbb+2.0.17&hl=ru&lr=&start=10&sa=N" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.10) Gecko/20050719 Firefox/1.0.6 Mandriva/1.0.6-11mdk (2006.0)"

2. далее переход в тему, потом на страницу со списком форумов..

3. попытка применить эксплоит:

Код: Выделить всё

62.253.128.14 - - [29/Jan/2006:17:56:35 +0300] "POST /forum/profile.php?GLOBALS[signature_bbcode_uid]=(.%2B)/e%00 HTTP/1.1" 200 878 "-" "libwww-perl/5.803"
62.253.128.14 - - [29/Jan/2006:17:56:36 +0300] "POST /forum/login.php HTTP/1.1" 200 6237 "http://www.siava.ru/forum/login.php" "libwww-perl/5.803"
62.253.128.14 - - [29/Jan/2006:17:56:37 +0300] "GET /forum/profile.php?mode=editprofile HTTP/1.1" 302 5 "-" "libwww-perl/5.803"
62.253.128.14 - - [29/Jan/2006:17:56:38 +0300] "GET /forum/login.php?redirect=profile.php&mode=editprofile HTTP/1.1" 200 6998 "-" "libwww-perl/5.803"

Сообщение **Mr. Anderson** » 29.01.2006 21:39

Siava писал(а):Скорей эксплоит на perl'e

Скажем одна из версий Santy

edgar · Сообщение **edgar** » 29.01.2006 23:42

Siava писал(а):обычный поиск в гугле уязвимой версии

Не, такой запрос не катит для поиска уязвимой версии. Маленькая отдача будет. Имхо один форум на 100 страниц. Если в новых искать "Powered by phpBB" намного больше принесет. Если в старых то прибавить номера версии. А это я просто уверен сборщик какойто статистики. Может нехорошей для рекламы и проч. но для поиска уязвимой версии такой запрос можно только по сильной обкурке сделать. То что вы назвали "попытка применить эксплоит" это только подтверждает.
Только не ругайтесь словами "ути пути". я просто свое имхо высказал.

Добавлено спустя 5 минут 17 секунд:

Вообще мне очень не нравится Кракер Тракер тем, что злоумышленник зная что это мод установлен может сильно попортить жизнь админу. А выдает он себя очень бытро

Сообщение **Xpert** » 30.01.2006 0:22

edgar писал(а):Вообще мне очень не нравится Кракер Тракер тем, что злоумышленник зная что это мод установлен может сильно попортить жизнь админу.

С этого места поподробнее пожалуйста

Siava писал(а):http://www.google.ru/search?q=inurl:for ... 7&hl=[b]ru[/b]&lr=&start=10&sa=N" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.10)

Соотечественники балуются

Добавлено спустя 4 минуты 41 секунду:

А проявить его действительно просто - через тот же поиск.

Arhar · Сообщение **Arhar** » 20.03.2006 20:34

Давайте вместо критики закрывать найденные дырки сами
И тогда всё будет рулить сильнее любого обновления.
Как вернуть Visual Confirmation, чтобы оно было всегда?

Добавлено спустя 2 часа 10 минут 13 секунд:

После установки этого мода выяснилось очень интересное явление.
Раньше нам запускали скрипт, который регил 3000 юзеров, но Visual Confirmation рулило..
теперь стоит кракер..он тоже рулит
Раньше вижуал конфирматион спасало только от убитой дб
А CGI выдавало ошибку на всех страницах форума, типа максимальное количество соединений с хостингом(не с форумом, макс сешшон ип не спасает) превышено, ждите.
Теперь кракер тракер спасает, и CGI выдаёт ошибку только на index.php, типа максимальное количество соединений с индекс пхп превышено, а на вьюфорум или админку всё нормально..
может есть способ поставить защиту по количеству запросов на выполнение файла, если не программно в пхп, то может на самом фтп как-нибудь?

edgar · Сообщение **edgar** » 03.05.2006 0:04

Вышли новые версии, пока не отмеченные в этой теме

2006-04-11 - Version 4.1.2
- Added note for phpBB 2.0.19 / 2.0.20 Users
- Extended Heuristic-Engine to detect "tunneled" or just spammy requests on your Board to reduce server load and traffic.

2006-04-30 - Version 4.1.3
- Fixed Bug with creating Logfile
- Additional "sensible vars" Protection
- Added Note for files into the includes/ Folder

Такая вот новость.

Ссылка для скачивания та же