Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Вопросы, а так же полная паника!
Вопросы, а так же полная паника!
есть один вопрос... как можно просматреть файл config.php? и исправлены ли все дырки в файлах db.php, install.php, common.php, и там по моему в privmsg.php?...
откуда взялся этот вопрос... всё очень просто, взломали сайт (точнее sql), то ли хостера, то ли фарум.... т.к. больше вариантов нет...
откуда взялся этот вопрос... всё очень просто, взломали сайт (точнее sql), то ли хостера, то ли фарум.... т.к. больше вариантов нет...
-
- Former team member
- Сообщения: 816
- Зарегистрирован: 20 лет
- Откуда: Estonia, Tallinn
Всех дырок закрыть невозможно, в версии 2.0.10 они так-же есть, но а где их нет ?
А те дырки о которых ты говоришь (и о которых мы знаем), конечно исправлены...
А те дырки о которых ты говоришь (и о которых мы знаем), конечно исправлены...
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
-
- Former team member
- Сообщения: 816
- Зарегистрирован: 20 лет
- Откуда: Estonia, Tallinn
Ясен пень могут, они везде могут быть, даже в самом PHP или Apache, а моды это вообще форт-нокс для хакерамогут быть дырки в модах?...
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
-
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
Данные этого файла можно просмотреть, только получив доступ к ftp.
Возможно, что против твоего форума или другого скрипта была применена sql-инъекция. Следует изучить логи.
Данные этого файла можно просмотреть, только получив доступ к ftp.
Возможно, что против твоего форума или другого скрипта была применена sql-инъекция. Следует изучить логи.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Xpert *****ий хостер не ведёт логи на SQL, а на ftp там это логами нельзя назвать!... Просто IP и когда был вход, вот и все логи....
Есть ли какие нибудь известные дырки в:
Атач моде
Квик реплау
PAFileDB
Фаворитс
да наверное и всё...
Просто хостер вчера заявил, что ему лень ваще этим заниматься, и что дырка в скриптах...
Весь ресурс был проверен XSpider'ом 7й версии... дырки были только в SSH и в SSL на хостинге... В скриптах ни одной ошибки... Может кто посоветует какой нибудь сканер получше?...
И ещё, если PHPMyAdmin при выполнении SQL запроса, пишет что нет пра на выполнение этого запроса, это хостинг?...
Короче у меня на форуме все админы... и это не исправить, т.к. не заменить переменные в SQL'е... =о(((
Короче паника продолжается!..
Есть ли какие нибудь известные дырки в:
Атач моде
Квик реплау
PAFileDB
Фаворитс
да наверное и всё...
Просто хостер вчера заявил, что ему лень ваще этим заниматься, и что дырка в скриптах...
Весь ресурс был проверен XSpider'ом 7й версии... дырки были только в SSH и в SSL на хостинге... В скриптах ни одной ошибки... Может кто посоветует какой нибудь сканер получше?...
И ещё, если PHPMyAdmin при выполнении SQL запроса, пишет что нет пра на выполнение этого запроса, это хостинг?...
Короче у меня на форуме все админы... и это не исправить, т.к. не заменить переменные в SQL'е... =о(((
Короче паника продолжается!..
-
- Former team member
- Сообщения: 816
- Зарегистрирован: 20 лет
- Откуда: Estonia, Tallinn
VEO
Нужен стандартный лог апача
там идёт
ip [ дата ] "http://aдрес" (обозреватель) и рефёрер
Такой лог ведётся везде, если хост платный то у тебя должен быть доступ из панели управления
если бесплатный то можешь попросить и они могут дать
Нужен стандартный лог апача
там идёт
ip [ дата ] "http://aдрес" (обозреватель) и рефёрер
Такой лог ведётся везде, если хост платный то у тебя должен быть доступ из панели управления
если бесплатный то можешь попросить и они могут дать
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
-
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
У тебя у всех пользователей права "Администратор"? Это можно убрать.
Из всех вышеперечисленных думаю подвести мог только paFileDB, да и то врядли.
Добавлено спустя 1 минуту 52 секунды:
Чтобы это узнать необходимо смотреть логи на предмет странных передаваемых параметров.
Хорош хостер однако.
У тебя у всех пользователей права "Администратор"? Это можно убрать.
Из всех вышеперечисленных думаю подвести мог только paFileDB, да и то врядли.
Добавлено спустя 1 минуту 52 секунды:
Чтобы это узнать необходимо смотреть логи на предмет странных передаваемых параметров.
Хорош хостер однако.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
-
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
Попробуй так:
Это скрипт сделает всех пользователей обычными.
Далее вот это:
Этот скрипт сделает пользователя с нужным номером админом (номер редактируется здесь: WHERE user_id=2.
Попробуй так:
Код: Выделить всё
<?php
define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);
$sql = 'UPDATE ' . $table_prefix . 'users SET user_level=0 WHERE 1';
if (!$db->sql_query($sql))
{
$res = $db->sql_error();
echo "Failed: $res[message]";
exit;
}
echo "Completed succesfully!";
exit;
?>
Далее вот это:
Код: Выделить всё
<?php
define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);
$sql = 'UPDATE ' . $table_prefix . 'users SET user_level=1 WHERE user_id=2';
if (!$db->sql_query($sql))
{
$res = $db->sql_error();
echo "Failed: $res[message]";
exit;
}
echo "Completed succesfully!";
exit;
?>
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
-
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
Вкратце: это внедрение собственных произвольных инструкций в SQL-запрос, соответственно злоумышленнику открываются невиданные просторы по манипулированию содержимым БД. Более подробную информацию, думаю, выдаст любой поисковик.
Вкратце: это внедрение собственных произвольных инструкций в SQL-запрос, соответственно злоумышленнику открываются невиданные просторы по манипулированию содержимым БД. Более подробную информацию, думаю, выдаст любой поисковик.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений