есть один вопрос... как можно просматреть файл config.php? и исправлены ли все дырки в файлах db.php, install.php, common.php, и там по моему в privmsg.php?...
откуда взялся этот вопрос... всё очень просто, взломали сайт (точнее sql), то ли хостера, то ли фарум.... т.к. больше вариантов нет...
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Вопросы, а так же полная паника!
-
Vladson
- Former team member
- Сообщения: 816
- Зарегистрирован: 20 лет
- Откуда: Estonia, Tallinn
Всех дырок закрыть невозможно, в версии 2.0.10 они так-же есть, но а где их нет ?
А те дырки о которых ты говоришь (и о которых мы знаем), конечно исправлены...
А те дырки о которых ты говоришь (и о которых мы знаем), конечно исправлены...
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
-
VEO
-
Vladson
- Former team member
- Сообщения: 816
- Зарегистрирован: 20 лет
- Откуда: Estonia, Tallinn
Ясен пень могут, они везде могут быть, даже в самом PHP или Apache, а моды это вообще форт-нокс для хакерамогут быть дырки в модах?...
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
-
Xpert
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
Данные этого файла можно просмотреть, только получив доступ к ftp.
Возможно, что против твоего форума или другого скрипта была применена sql-инъекция. Следует изучить логи.
Данные этого файла можно просмотреть, только получив доступ к ftp.
Возможно, что против твоего форума или другого скрипта была применена sql-инъекция. Следует изучить логи.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
-
VEO
Xpert *****ий хостер не ведёт логи на SQL, а на ftp там это логами нельзя назвать!... Просто IP и когда был вход, вот и все логи....
Есть ли какие нибудь известные дырки в:
Атач моде
Квик реплау
PAFileDB
Фаворитс
да наверное и всё...
Просто хостер вчера заявил, что ему лень ваще этим заниматься, и что дырка в скриптах...
Весь ресурс был проверен XSpider'ом 7й версии... дырки были только в SSH и в SSL на хостинге... В скриптах ни одной ошибки... Может кто посоветует какой нибудь сканер получше?...
И ещё, если PHPMyAdmin при выполнении SQL запроса, пишет что нет пра на выполнение этого запроса, это хостинг?...
Короче у меня на форуме все админы... и это не исправить, т.к. не заменить переменные в SQL'е... =о(((
Короче паника продолжается!..
Есть ли какие нибудь известные дырки в:
Атач моде
Квик реплау
PAFileDB
Фаворитс
да наверное и всё...
Просто хостер вчера заявил, что ему лень ваще этим заниматься, и что дырка в скриптах...
Весь ресурс был проверен XSpider'ом 7й версии... дырки были только в SSH и в SSL на хостинге... В скриптах ни одной ошибки... Может кто посоветует какой нибудь сканер получше?...
И ещё, если PHPMyAdmin при выполнении SQL запроса, пишет что нет пра на выполнение этого запроса, это хостинг?...
Короче у меня на форуме все админы... и это не исправить, т.к. не заменить переменные в SQL'е... =о(((
Короче паника продолжается!..
-
Vladson
- Former team member
- Сообщения: 816
- Зарегистрирован: 20 лет
- Откуда: Estonia, Tallinn
VEO
Нужен стандартный лог апача
там идёт
ip [ дата ] "http://aдрес" (обозреватель) и рефёрер
Такой лог ведётся везде, если хост платный то у тебя должен быть доступ из панели управления
если бесплатный то можешь попросить и они могут дать
Нужен стандартный лог апача
там идёт
ip [ дата ] "http://aдрес" (обозреватель) и рефёрер
Такой лог ведётся везде, если хост платный то у тебя должен быть доступ из панели управления
если бесплатный то можешь попросить и они могут дать
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
-
VEO
-
Xpert
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
У тебя у всех пользователей права "Администратор"? Это можно убрать.
Из всех вышеперечисленных думаю подвести мог только paFileDB, да и то врядли.
Добавлено спустя 1 минуту 52 секунды:
Чтобы это узнать необходимо смотреть логи на предмет странных передаваемых параметров.
Хорош хостер однако.
У тебя у всех пользователей права "Администратор"? Это можно убрать.
Из всех вышеперечисленных думаю подвести мог только paFileDB, да и то врядли.
Добавлено спустя 1 минуту 52 секунды:
Чтобы это узнать необходимо смотреть логи на предмет странных передаваемых параметров.
Хорош хостер однако.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
-
VEO
-
Xpert
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
Попробуй так:
Это скрипт сделает всех пользователей обычными.
Далее вот это:
Этот скрипт сделает пользователя с нужным номером админом (номер редактируется здесь: WHERE user_id=2.
Попробуй так:
Код: Выделить всё
<?php
define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);
$sql = 'UPDATE ' . $table_prefix . 'users SET user_level=0 WHERE 1';
if (!$db->sql_query($sql))
{
$res = $db->sql_error();
echo "Failed: $res[message]";
exit;
}
echo "Completed succesfully!";
exit;
?>Далее вот это:
Код: Выделить всё
<?php
define('IN_PHPBB', true);
$phpbb_root_path = './';
include($phpbb_root_path . 'extension.inc');
include($phpbb_root_path . 'common.'.$phpEx);
$sql = 'UPDATE ' . $table_prefix . 'users SET user_level=1 WHERE user_id=2';
if (!$db->sql_query($sql))
{
$res = $db->sql_error();
echo "Failed: $res[message]";
exit;
}
echo "Completed succesfully!";
exit;
?>Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
-
VEO
-
Xpert
- phpBB Guru
- Сообщения: 5484
- Зарегистрирован: 20 лет 1 месяц
- Поблагодарили: 2 раза
VEO
Вкратце: это внедрение собственных произвольных инструкций в SQL-запрос, соответственно злоумышленнику открываются невиданные просторы по манипулированию содержимым БД. Более подробную информацию, думаю, выдаст любой поисковик.
Вкратце: это внедрение собственных произвольных инструкций в SQL-запрос, соответственно злоумышленнику открываются невиданные просторы по манипулированию содержимым БД. Более подробную информацию, думаю, выдаст любой поисковик.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
-
VEO
-
VEO
