 |
| ru |
 |
03-08-07 @ 01:47
iTclan  : Ex*Предсказатель  
Мы полагаем, а жизнь располагает..
|
“Я было сначала хотел прилететь на
драконе и извергнуть на них огненное пламя,
а потом подумал, к чему эти понты?” © }{oTTab)ч
Вот и мы думали сегодня, пробежавшись выборочно по рейтингу, дефейснуть с десяток клановых сайтов. Запиарится на «Сталках» и т.д. А потом подумал, ну зачем реально эти понты? Лучше ведь помочь чем разрушить. Тем более.. сегодня радио БК слушаю. Ребята молодцы! Разве можно что-то дефейсить, когда есть такие хорошие люди в БК )?
Итак, уязвимости были найдены.. Сразу оговорюсь, проверял сайты выборочно. На сканирование уходило не более пяти минут на сайт. Под уязвимостью в данной теме понимается всё, с помощью чего можно 100% «залезть» на сайт, а потом удалить/скопировать/изменить и т.д. Короче говоря, всё, что позволяет выполнять команды либо через консоли, сплойтов и т.д. как, например, у “Тёмной империи”.
Либо позволяет залить веб-шелл (SQL инъекции, PHP инклудинги в основном):
Вот собственно небольшой список:
 http://adfclan.info
 http://www.steelw.domenas.net
 http://www.kamikadze-clan.pp.ru
 http://ambers.ru
 http://mbclan.org
 http://www.rising.ru
 http://alcoclan.ru
 http://www.darkd.ru
 http://kia-clanbk.1gb.ru
 http://www.vendeta.ru
 http://www.dark-order.ru/
 http://combats.evial.ru
За подробностями.. айтишники клана, глава или зам – в приват или в ICQ.
|
Total disscussion threads: 27 Pages: 2
1 2 » »»
Post reply | Post reply with quote
| Руден
03-08-07 @ 17:59
|
 |
|
Предсказатель, молодец!!!
А те кто говорит типа ха-ха "сканер запустил и все...я так же могу... " Ну ведь не сделали так же... не помогли никому?! так что не адо тут панты кидать...
Предсказатель думаю не пытается показать какой он крутой...а просто помогает людям - респектище !! |
 |
|
|
| Гость БК
03-08-07 @ 19:58
|
|
|
аффтар молоток.
правильно сделал...
если на http://kia-clanbk.1gb.ru защитились от SQL иньекций, как я рассказывал/показывал/дал скрипт - то хорошо... остальные - незнаю как там и что...
сканер сканером. он далеко не все дает... а прощупать дыры - это уже больше ручками делается...
from l-Michael-l |
|
|
|
|
 |
|
| Благодарю, если понимаешь как защищатся и помогаешь узнать об этом другим ;-) |
|
|
|
|
| Гость БК
04-08-07 @ 01:06
Все понятно, только не понятно ничего. |
|
|
Итак, прошу прощения сразу. Залогиниться в БК - не удается уже полчаса. Жаль. Хотелось, чтобы не от гостя сообщение было. Итак, вас приветствует ИТ ДаркЭмпайр - Июлька.
Хочу сразу выразить благодарность г-ну Предсказателю. Просто за заботу. Человек действительно решил помочь. Неважно, что в данном случае это неважно.
Дальше - простите, приятного мало. Я и сейчас за 30 сек - 1 минуту найду в инете эксплойт для PhpBB2 - 2.0.10. Вопрос не в том. Сайт - временный, форум - временный... и самое страшное - я боюсь, что я все-таки в БК уже - тоже временная. И не уверена, что вернусь к сайту. Хотя, вашего спокойствия ради - быть может стоит заняться безопасностью. Вот только - чего в этом будет? Нет, поставим вопрос по другому - зачем это надо? Хотите почитать внутренние ветки форума? Поверьте, там сейчас вообще ничего секретного, а в целом - тишина. Написать на 1-й странице «ВЦ!» - большими буквами? тоже не красит... Смысла нет ломать. А значит, пока нет смысла защищать.
А теперь - без наездов и оправданий. Как известно, цель оправдывает средства. Если цель - понты - человек взломает сайт, напишет «Hacked by ...», возможно, оставит пару троянов, и все. После - можно поменять пароль доступа и залить ТОТ ЖЕ софт - 2-й раз тот же не полезет - ибо скучно. Правда, если есть повод насолить - возможны рецидивы. А вот, если цель - действительно, взлом, либо, действительно помощь сайтам - в этом случае в список должны были попасть сайты, представляющие хоть малейший интерес для кулхацкеров. Читаемые, например.
Еще раз извините, если кого обидела. Автору благодарна за поднятие темы - теперь толпы практикантов займутся отработкой стандартных эксплойтов на Дарк-Ордере. А мне, как назло - сейчас не до того, даже заплатку повесить нет времени.
С уважением, Июлька. |
|
|
|
|
 | | Июлька
04-08-07 @ 15:35
Updated |
|
|
| Установлены последние обновления безопасности для ПхпББ2. Try to exploit it NOW! |
|
|
|
|
|
|
Если надо будет - взломаем)
Просто времени мало.. |
|
|
|
|
 |
|
Заблокируйте всё, чего не понимаете, до тех пор, пока не появится время заняться патченьем.
Но то, что Вы написали выше, про phpBB 2.0.10 - это просто ужас.
Поставить последний релиз 2.0.22 - делов на 15 минут, а надежность уже выше на порядок.
Сайт можно заблокировать вообще, скачать любым спайдером и залить требуемые законодательством БК странички в виде HTML, а не исполнимого кода. Еще 30-40 минут.
Всё. Дыры заткнуты. Правда, ценой работы сайта, но, по крайней мере, никто не будет через вас рассаживать троянов.
Согласитесь, лучше узнать, что у вас замок не запирается, от пришедшего в гости друга, который еще и подскажет, что и как починить, чем из милиции, которая только и сможет, что опечатать место преступления (т.е. снять сайт с рейтинга).
P.S.
Никто не будет проверять Ваши слова о том, что вами установлены обновления, пробуя на излом ваш сайт.
Не ради этого создавалась тема и не такой обиженной реакции от вас тут ждут.
Больше того, я уверен, что не ждали вообще никакой реакции. Скажут спасибо - не скажут спасибо - личное дело каждого.
Задача ставилась донести информацию до общественности.
Могу привести не единичные примеры, когда замалчивание уязвимостей рушило целые карьеры и только по случайности не привело к краху двух серьезных фирм. И одна из них - Novell netware. |
|
|
|
|
|
|
Ну они как раз поставили 22-ю версию )
ещё осталось удалить фаил /docs/CHNGELOG.html и считается что всё тип-топ )
Да и я, можете поверить, не хотел чтоб на вашем сайте тестили сплойты. Просто дело вот в чём: многие, такие как вы, Июлька, не уделяют должного внимания безопасности. А когда им показывают на узвимости и т.д. Они ищут оправдания.. мол "Защищать не нужно" и говорят:
> возможно, оставит пару троянов, и все.
Честно говоря не понимаю такого отношения. В день на ваш сайт заходят не меньше чем пара десятков человек. В день в бк будут вороватся 10, 20, 30, 40 или более персов. А всё из-за халатности. Из-за того что "ну и что? оставит пару троянов и всё.".
Я было недавно потестил на уязвимости интернет магазин, там была инъекция... Об уязвимостях отправил руководству. Там их штат прогеров. Дык вот там тоже люди хорошие. Профи, но вот из-за незнания, возможно из-за халатности у них, окажись ктото кроме меня, спрли бы базу пользователей 50 000 человек с адрессами, телефонами и т.д. Сколько раз убеждаюсь.. многие крутые прогеры не знают основ. |
|
|
|
|
| Гость БК
05-08-07 @ 19:52
|
|
|
2Предсказатель
не буду ругать :D молодец конечно, что помогаешь. это хорошо.
выскажу такую мысль - наверно не стоило выкладывать это на всеобщее обозрение.
у меня например возникло желание покиддить вышеупомянутые адреса. )
прям надпись такая - ломать здесь :)
пы.сы. найдешь баги у нас - пиши, дам конфетку :P *у нас их точно навалом (багов, а не конфеток)*
асё: двестивосемдесятсемьнольпесятчетыре.
пы.пы.сы. не логинилась и не буду.
Рысь из Тени |
|
|
|
|
| Гость БК
10-08-07 @ 10:04
RE |
|
|
Видимо, меня не совсем правильно поняли. Я была недовольна исключительно тем, что такие вещи выкладываются в общее обозрение. Действительно, "ломать тут". Я ценю вашу заботу о безопасности. Я говорю вам спасибо. Просто, ваш скролл заставил меня срочно заняться и без того известной мне проблемой, так сказать, в авральном режиме, и в итоге мы имеем то, что форум не пашет вообще - проблема на хостинге с MySQL (и не надо спрашивать, почему старый форум работал - шаманства тут нет, но видимо, после на сервере что-то поменяли) - а админа хоста поймать не могу. Надеюсь, что моя досада теперь понятна... Все-таки - такие вещи надо рассказывать без конкретных адресов и тд.
Июлька |
|
|
|
|
 |
|
| хм! я тебя помню с этим материалом) |
|
|
|
|
Post reply | Post reply with quote
Total disscussion threads: 27 Pages: 2
1 2 » »»
|
 |
