#19609

Благодаря опубликованному позавчера эксплойту к популярному форумному движку phpbb, у меня сегодня был на редкость насыщенный день.
1
1
Подписаться на Dirty
так…
дыра в пхпбб очень серьезная, сейчас по всему интернет шпана ищет кого бы еще взломать.
анализ логов показал, что за 12 часов у нас на сервере побывали три группы взломщиков и все из России ;)
Первая группа вытащила посредством пхпбб эксплойта пароль к MySQL базы форума, вторая втихаря закачала два пхп файла с народ.ру, которые должны были использоваться для загрузки файлов к нам на сервак (пытались сделать что–то типа файлообменника)…
Третья группа пришла и от нефиг делать написала на индекс.хтмл что–то типа "Мы вас взломали". Больше ничего они не трогали. Но я благодарен им не столько за безмерную доброту, сколько за то, что благодаря им мы увидели первых двух.
Папка с форумом была сразу же запаролена, так что попользоваться нашим трафиком народ не успел.
Бэкапы мои делает друг из АМерики, у которого нормальный толстый канал и которому ничего не стоит залить за несколько минут 100МБ файл с резервной копией.
Мы с им подробно обсудили, что он удалит предварительно все старые файлы, а потом зальет бэкап 3–дневней давности.
через десять минут после того как он начал удалять старые файлы с сервера, у нас получился такой вот диалог:

***: shit, we have agas leak in the building, they are evaquating us
***: а я удивляюсь, чего это у меня голова болит
groul: groul: blyad…
groul: ladno, do vstrechi togda. Vozmi CD s backupami
groul: davaj!
groul: не теряй времени
***: blin, голова реально тяжелеет… такого я еще не чувствовал
***: бегу :))) p[izdec
А говорят opensource — это хорошо. Кучу форумов сегодня похакали, просто кучу. Был бы код закрытым — никто бы и не догадался :) А что будет, если в той же мозиле, или, не дай бог, Апаче, серьезную дыру найдут? Это же миллиардные потери, не побоюсь слова "миллиардные".
hizhina: больше всего "радует", что оказывается дыра была известна с первого октября, просто в команде phpbb никто не почесался написать заплатку.
groul: спасибо за пост, сразу же пошла патчить форум. Вроде бы пронесло и никто не успел залезть.

hizhina: Windows i IE — не opensource, ну и что? Все равно находят дыры каждый день, только в отличие от opensource все должны сидеть и ждать пока Microsoft соизволит выпустить patch.
Unknown_Zone: С первым комментарием!
спасибо за пост, сразу же пошла патчить форум. Вроде бы пронесло и никто не успел залезть
В логах проверь. Там тебе могли много чего создать и изменить.
groul а где хранятся логи?
groul: это само собой, сразу после патча.

hizhina: спасибо, сама не знаю что на меня нашло :)
ey8bb: у меня на сервере :)
Как это сделано у твоего хостера, сказать затрудняюсь.
ночь длинных логов, хехе. Вот тебе бабушка и urldecode.
Ну вот, чувствую себя последним ламером… я тут файл один скачал, он мне ненужен, как его обратно закачать?
а нефиг пользоваться чужими форумами, свои иметь надо (не так уж трудно и долго писать свой форум, тем более что большей частью никто не пользуется и половиной возможностей всех этих больших форумов типа phpBB)
Какой молодец A_Gaupsher!
Verhe: Реально крут чувак, респект, лол!
>> А говорят opensource — это хорошо. Кучу форумов сегодня похакали, просто кучу. Был бы код закрытым — никто бы и не догадался :)

:::::

можно подумать, есть форумы (кроме собственноручно написанных, естественно) у которых код закрыт.
Kolbasevich: А ты можешь объяснить, в чем фишка с urldecode? Вроде как обычная функция…
djfox: Есть платные форумы, их код открыт гораздо меньшим людям. Я, конечно, понимаю, что это не панацея. Но в таких делах (особенно, если сайт серьезный) должен быть ответственный за продукт. Если ты его купил — ты имеешь право требовать, чтобы такие вещи фиксились. И у платного форума, я думаю, не стали бы ждать полтора месяца после того, как узнали о баге.
hizhina: вчера на тот же вопрос ответили аргументом, про CodeRed, от которого лежала вся Юго–Восточная Азия. Я не совсем в этот аргумент врубился, но звучало серьезно :)
А в чем проблема с urlencode? Опять какой–нибудь внутренний буфер фиксированной длины?
А, уже нашел.
(поет на мотив гостей из будущего) Неее–эскейп!
groul: :))
atariteenage2107: Нашел — расскажи остальным!
Вообще, с одной стороны, надо дать людям время пропатчиться, но с другой — информация ищется за 1 минуту в гугле по "phpbb urldecode", поэтому.. http://www.securitylab.ru/49455.html
hizhina: Пральна–пральна! Требуй долива после отстоя пены…
Если увернёшься от посылания в один городок Перу.
Удивительно, но мой основной форум как раз НЕ на phpbb :)
А на сильно модифицированном движке ITAForum
Так что ломитесь ко мне, хацкеры, ломитесь :)