forum.cm.lv kārtējais upuris

Tā vien šķiet, ka viss pasaulē iet uz elles pusi. Te, Pink, iemeta vēl vienu sabojātu lapu jeb pareizāk sakot forumu.

forum.cm.lv

Nebrīnīšos, ja tuvākajās dienās panesīsies vētra ar dažādām nonukotām un līdzīgi sabojātām lapām.

Iekš hackers.lv var palasīt sīkāk par PHP-Nuke jauno un ļoti bīstamo caurumu. Par šī cauruma bīstamību mēs visi šodien pārliecinājāmies. Nu, ko es varu teikt – saturieties PHP-Nukes lapu īpašnieki, jums šīs dienas būs karstas.

46 thoughts on “forum.cm.lv kārtējais upuris

  1. whatever..

    http://www.nuketest.com/modules/WebMail/mailattach.php?userfile=../../ config.php&userfile_name=../attachments/file.txt&attachments=1

    Atbildēt
  2. Delf

    vienkaarshi apbriinojami – vel joprojam daudz lieto shitos nukus un gatavos CMS – gatvaas lietas un pa briivu nekad nav labas… vismaz security zinjaa – slikti paardomaatas

    Atbildēt
  3. cilveeks neizpratnee

    Es iisti kaut ko nesaprotu, ko dara taa saucamie lauzeeji, vinji dabuu db paroliiti un peec tam vienkaarshi papildina vai modificee db ar saviem ierakstiem, ne? Bet kur glabaajaas db paroliite? Failaa config.php to zina visi taapeec arii censaas nolasiit sii faila saturu un dabuut paroli, bet vai tad nevar vienkaarshi nomainiit faila nosaukumu uz piem. config_file.php un taadaa gadiijumaa lauzeejiem nebuus ne mazaakaas nojeegas kur mekleet db paroliiti? Vai es tieshaam neko nesaprotu?

    Atbildēt
  4. Djuke

    php gljuki liek gan pamazaam aizdomaaties vispaar par softiem, kas ir pa briivu… 🙁 …cik tie maz ir droshi. vispaar open source programmaam izskataas peedeejaa laikaa ir daudz gljuku … 🙁

    Atbildēt
  5. laka

    Vecos komentaarus drosji vien nelasa, te ir mans coments no ieprieksheejaa raksta
    coolynx:
    1. ja vieteejie sanitaari neizniidees slimaas lapas, tad par to pacentiisies Braziilieshu vai veel hvz kaadi iezemieshi. labs iemesls nedot vinjiem to prieku.
    Mans jautaajums, varbuut arii pa pusei retorisks, nebija ierobezots geograafiski. Nafig vispaar aiztikt liikas lapas, es tachu nemekleeshu argentiinas webu tikai lai atrastu kaadu labi nosauljotas liikas rokas darbu.
    2. jo vairaak defeisos, jo taalaak izplatiisies shii informaacija un cilveeki baidiisies likt shaadus caurumainus portaalu suudus.
    Labums ta kaads ka baidiisies? Nu, baidiisies un taalaak?
    3. ja neviens par to nerunaas, tad visi domaas, ka viss ir labi un turpinaas piemeeslot .lv tiiklu ar shaada tipa drazu, jo dziivos siltumniicaa, kur viss ir labi – vienmeer aplaista, apgaismo ar maaksliigo sauli utt.
    Kaapeec drazu? Man piemeeram ir pilniigi vienalga uz kaa un kaa griezas saits, vai vinsh ir liiks vai taisns vai vispaar 90 graadu lenkii, man galvenais lai var lietot taa, kaa paredzeets.
    4. shiis lapas ir uzskataams piemeers citiem, kas nesaprot kaada jeega ir ieguldiit liidzekljus portaalu izstraadee, ja to var izdariit *par velti* pie kaada pioniera.
    Par pionieriem piekriitu, vieniigais arguments no tevis, kas skaitaas.
    5. ja pastaav risks, ka lapu var uzlauzt, tad lapas veidotaajs daudz vairaak uztrauksies un piedomaas par taas droshiibu.
    Taads risks pastaav vienmeer, lai arii kaads super mega risinaajums tiktu izdzemdeets.
    6. ja shie iemesli nav saprotami, tad ejam uz phpnuke.org un lejupielaadeejam peedeejo versiju.
    Buus jau labi 🙂

    Atbildēt
  6. coolynx

    laka: jo vairaak baidaas, jo vairaak meegjina noliegt, ka baidaas. rezultaats ir redzams tavaa riiciibaa. skaidrs, ka vienkaarshi liekuljo un esi sapratis pareizi. ko tur vairs piebilst.

    Atbildēt
  7. Delf

    davai lauzham visus php_nukistus 🙂
    bus vairak pasutijumu firmaam web taisiit :_))) [tiem kam $ ir]
    padariisim LV.NET tiiraaku!

    Atbildēt
  8. Djuke

    dev/null: … tur jau arii tas sviests, ka windows ir gljukains ka vai nu… kaameer cilveeki rakstiis programmas – taas buus gljukainas… tikai fishka ir taa, ka windowam visaa pasaulee ir daudz vairaak testeetaaju (kaut vai vienkaarshie useri)… lielaaka iespeeja, ka tiks atrasti bugi

    Atbildēt
  9. /dev/null

    Djuke: nu, kaa redzi, bugi naskaak tiek atrasti kaa reiz atveertaa koda programmaas 🙂 izlabot tos arii ir nesaliidzinaami vieglaak. Neesmu skatiijies php-nukes kodus, bet izskataas, ka tur jau pashos pamatos kaut kas greizi uztaisiits…

    Atbildēt
  10. Tāpat vien

    Ar šito var panākt, ka neviens vairs interesantas (ar viegli maināmu contentu, forumiem, balsošanu, komentēšanu, utt.) lapas neliks webā.
    Ieliks vienkārši statiskas lapas par sevi (firmu) tie, kas super-security nevar atļauties (uz ko pašlaik tiek ekonomēts).
    Tad arī webmasteri un programmētāji mazāk $ dabūs.
    Starp citu kā tev coolynx izdodas savu lapu neuzlauztu uzturēt. Ja netraucē drošības apsvērumi padalies ar info :).

    Atbildēt
  11. Varbūt

    Varbūt coolynx lapa nemaz nav tik droša – tikai lauzēji ir tik laipni un neizmēģina savas spējas ar šo lapu – – Tāpat kā neesmu manījis Dreef lapu uzlauztā veidā. Būtu interesanti, ja kāds kuram ir pietiekamas zināšanas notestētu šīs lapas…..

    Atbildēt
  12. Heremit

    Nu vispaar PHPNuke pamatos ir spiests uz eertumu, bet droshiiba atstaata saldajam eedienam…
    Diez vai nau kaada aptuvena statistika, par to, cik LV hakeri piem. Braziilijas lapas salauzushi?

    Atbildēt
  13. ss

    Par to “laka” minēto brazīliešu invāziju un laušanas vētrām. Tas viss ir liels blefs. Nopietni zog un laupa tikai tad, ja ir ko zagt un laupīt. Pārējos gadījumos, tā ir blēņošanās. Ko var nozagt neprofesionālā lapā? Varbūt tikai patrenēties.Iesācējiem.
    Vai būtu jācīnās ar sliktām lapām tās laužot un tamlīdzīgi? Pēc būtības tā ir bezdarbnieku cienīga nodarbošanās, ja nav nekā nopietna ko darīt. Kamēr tā neskar kādu personīgi, neviena lapa nevienu netraucē. Ja nepatīk apšaubāmas kvalitātes lapu dažreiz pompozā publicitāte, uztaisi labāku. No kļūdām būtu jāmācās, taču slikto lapu publiska ķidošana ir neproduktīva nodarbošanās. Manuprāt, tas viss līdzinās tam, kā puišeļi sacenšas , kurš ar akmeni trāpīs braucoša vilciena logos.

    Atbildēt
  14. jurisv

    manuprat piekritu ka phpnuke ir smagi aizmirsts par drosibu meginot laut parejiem rakstitajiem viegli iebazt moduli modulii un uttt, bet tomer kaut nelielu tiesibu parbaudi tak var veikt pie konkretas darbibas izpildes….. kas attiecas uz DB parolem. viena lieta ir vinjas iegut, bet ja cilveks kaut vai tam pasam mysql uzliek ka uzeris var pieklut no jebkura hosta un nevis no tiesi ta uz kura stav webserv, tad tas jau vien ir 70% no cauruma.

    Atbildēt
  15. dumsh

    a varbuut kaads var ieteik kaadu variantu, ja tev nav $$$ un nav arii pietiekoshu zinaashanu, kur var mekleet kaadu paliidziibu? tipa kaadu saturiigu info par php lapu izveidi?

    Atbildēt
  16. coolynx

    Tāpat vien: meegjina skaneet un uzlauzt taapat kaa visas citas lapas, ja njem veeraa, ka man ir uzkraajies nelabveelju pulcinjsh kuri man veelas atmaksaat (nu gribaas tak papriecaaties kaa tam iedomiigam coolynx’am uzlauzh to podu beidzot), tad sanaak ka censhaas 2x vairaak 🙂
    No visiem gadiijumiem, kad ir atrastas kaut kaadas nepilniibas ir atsaukushies kaadi 3-4 cilveeki. Paareejie taapat priecaajaas 😛
    Turi kodu sleegtu un iesaaceejam buus gruutaak to uzlauzt. Vai arii izmantojot kaadu atvertaa koda produktu paarraksti to peec sava praata.
    Ar to variantu – rakstiit pasham iet ljoti leeni un taa ir lielaakaa probleema ne tikai man, bet visiem paareejiem. Risinaajuma pagaidaam nav.

    Atbildēt
  17. coolynx

    Delerium: ja reiz gribeeji izteeloties gudraaks esam, tad vareeji ari pierakstiit skaidrojumu savam sveshvaardu (?) saiisinaajumam.

    Atbildēt
  18. MZM

    Muljkjiibas! Raxtiishana leeni ejot??? Ja apmierina taadas sarezhgjiitiibas lapa kaa pods, tad meenesha laikaa pa briivo laiku varu uzbliezt pat veel krutaaku. Protams, intensiivi kodeejot var dabuut gatavu arii pa 1 – 2 naktiim, tachu visadi bugfixi panjem laiku (sk. par laacz spp tapshanu). CLX neuztver to kaa uzbraucienu.
    To: dumsh :: 22.01.2003 / 12:13
    Vispirms saac ar www.php.net – palasi par php valodas pamatiem un tad google://php-howto. Es iesaku: http://www.devshed.com/Server_Side/PHP iipashi: http://www.devshed.com/Server_Side/PHP/PHPMySQLPublishing/page1.html
    Pashraxtiitu saitu nemaz nav tik viegli uzlauzt, jo standarta riiki te neder a parastiem huligaaniem mekleet tavaa kodaa/lietotajaa softaa kljuudas ir slinkums. Protams, ja kaads gribees tieshi tavu projektu nogaazt, tad tas ir tikai laika jautaajums 😉 (kautvai satiekot tevi tumshaa ielaa 😉
    Ja veel kaadi jautaajumi – vari uzmailot.

    Atbildēt
  19. coolynx

    MZM: laikam jau, tomeer tev nebuus taisniiba, jo visu pagaajusho gadu apmeeram 7-8 cilveeki dazhaados laika posmos saaka kodeet podam dzineeju un beidzaas viss ar to, ka tagad pac maacos php 😀
    Soliits makaa nekriit – teiciens par kuru esmu paarliecinaajies dziivee. 🙁

    Atbildēt
  20. Delerium

    coolynx, neņem pie sirds, nezināju, ka nezini 🙂
    KISS = [k]eep [i]t [s]imple, [s]tupid
    Un ideja gaužām vienkārša – mēģināt visas lietas rakstīt pēc iespējas vienkāršākas un saprotamākas un tad arī gļuku nebūs tik daudz.

    Atbildēt
  21. coolynx

    Delerium: es jau nenjemu, jo tavus tekstus jau sen vairs neuztveru par nopietniem. un biju par 90% paarliecinaats, ka izveelesies tieshi sho skaidrojumu, lai gan ir pieejami veel vismaz 3 citi KISS atshifreejumi.
    Es pielietoju citu variantu, kas arii ir KISS – Keep It Safe and Secure, lai gan shie abi varianti neizsleedz viens otru, jo tieshaam izmantoju peec iespeejas mazaak nevajadziigu fiichu kaa rezultaataa mazinaas riks, ka kaadu no taam var ari exploitot. 😉

    Atbildēt
  22. BigUgga

    MZM: taa var runaat students, kam maaminja apmaksaa gan desu uz maizes gan studijas gan alu. ja uzkodeet citiem viegli saprotamu, viegli pielaagojamu un droshu engini buutu tik aatri/vienkaarsi izdaraams, tad puspasaules pamatskolnieki buutu sacepushu kaudzeem saadas engines. kaapeec pats neesi uzcepis neko tamldz? varbuut esi, bet tad neturi zem puura

    Atbildēt
  23. laka

    Nu taads kurzemnieks.lv – ne tur ko zagt, ne ko, pat atrast taadu pagruuti, naudas vinjiem nav, ko samaksaat kodeetaajam, viens cirviitis kaut ko pamainiijis – news ieksh pods.lv, 100 komentaari, utt.. a jeega kur?

    Atbildēt
  24. Heremit

    Clx: teu vaig izlikt atklaatu projektu par web dzineeju!!! t.i. jebkursh var kaadu gabalu pakodeet, bet tu uztur to visu kopaa…

    Atbildēt
  25. coolynx

    Heremit: ja es buutu tik speeciigs PHP, tad es taa arii izdariitu, bet diemzheel es neesmu. Lai gan bija doma uztaisiit kaut ko ljoti primitiivu, kas buutu baazeets uz php + txt nu un, lai tauta smejaas par manu roku liikumu un labo gljukus, ja taadus atrastu 🙂

    Atbildēt
  26. shal3r

    Lai nebaidiitos, ka kaads nozog DB paroles, jaaaizsargaajaas ar citiemveidiem, piemeeram, aizliegt piesleegties pie DB no visaam IP, iznjemot localhost un admina IP…

    Atbildēt
  27. ss

    coolynx. Man pagājušovasar iepatikās tava ideja par veblogu, tādeļ savu lapu pārtaisīju kā veblogu, lai pašam mazāk darba. Un realizēju tavu agrāk izteikto domu: php.+ txt. Piemēra pēc vari apskatīt http://www.fishing.lv/cope/cope.php Par drošību neraizējos un arī tauta nesmejas.

    Atbildēt
  28. coolynx

    procesors: visaam nukeem, kas ir baazeetas uz php-nukes ir tie pashi caurumi, jo nukei jau pashaa kodolaa idejas liimenii ir viens liels caurums. cilveeki ir kodeejushi ar apreekjinu, ka shajaa pasaulee viss notiek perfekti un neviens nemaz pat nedomaa pachakareet cita portaalu. vinju manuaaljos neeksistee sadaljas par droshu, optimizeetu un korektu kodu.

    Atbildēt
  29. Kaitnieks

    Ai nu ko juus nervozeejat, taas lapas ir laustas un tiks laustas, taa starp attieciigu aprindu paarstaavjiem skaitaas kruta lieta, bez tam – kaapeec ne, ja to izdariit it _tik_ viegli, peec tam ir par ko palieliities un par to nekas nedraud; nav ko te saliidzinaat ar automashiinaam – neesat ieveerojushi, ka virtuaalaa pasaule un reaalaa ir divas pilniigi atshkjiriigas lietas? Bez tam pirmaas reizes tas ir arii ljoti interesanti; ja kaut kaadi iipashi triki/zinashanas japielieto vai iesaistiits risks, tad rodas speeciigs adrenaliina piepluudums, patiesiibaa, tas pat var izraisiit taadu kaa pieradumu.
    Ir protams beediigi, ja tu cilveeks centies, veido lapu, naudu nesanjem, darbu ieguldi, un tad kads atnak un to visu sabojaa (vairaak vai mazaak). Tikpat nepatiikami kaa, ja kaads sabojaa tavu darbu reaalajaa dziivee, tachu taapat kaads pacentiisies salauzt seetu, sabojaat celjaziimes, izdauziit logu, it iipashi taapeec, ka taa nevajadzeetu dariit. Atshkjiriiba ir taada, ka lapu ir vieglaak izlabot un zaudeejumi paarreekjinot naudas izteiksmee ir nelieli (runaaju par nekomerciaalajiem entuziastu projektiem)
    Nedariit citam taa, ka pasham negribeetos – pie taa vajadzeetu pietureeties. Zinaamaa vecumaa to saak saprast un respekteet. Hackoshana ir paarejosha lieta vairumaa gadiijumu, peec tam tas vienkaarshi vairs nesagadaa prieku.
    Taas ir manas domas par to visu, protams es taa iesliipi pasmaidu ik reizes, izlasot par kaadu uzlaustu saitu, varbuut mazliet pat sajuutos paaraaks par upuri (gluzhi taa pat kaa CLX – atvaino, bet tas vienkaarshi spiezhas laukaa no taviem izteikumiem ;)) tachu nekad neuzskatu lauzeejus par varonjiem, nee, pietiekami daudz hakeru un “hakeru” paziistu, un man vinjus ir mazliet zheel.
    Starp citu tiem kam ir atkariiba no saitu laushanas un shaadas taadas zinaashanas (protams mazliet vairaak, nekaa securityfocus lasiishanas skilli) iesaku izlaadeeties challenge saitos taados kaa www.caesum.com un liidziigos.
    Nezinu kaa jums, man to visu uzraxtot vieglaak palika 😛
    P.S. Veel pagaidaam neesmu izpratis tos cilveekus, kas speciaali skanee un meklee caurus serverus masveida defeisoshanai, kaapeec juus taa darat – labpraat parunaatos, e-mailojiet.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *