Tā vien šķiet, ka viss pasaulē iet uz elles pusi. Te, Pink, iemeta vēl vienu sabojātu lapu jeb pareizāk sakot forumu.
Nebrīnīšos, ja tuvākajās dienās panesīsies vētra ar dažādām nonukotām un līdzīgi sabojātām lapām.
Iekš hackers.lv var palasīt sīkāk par PHP-Nuke jauno un ļoti bīstamo caurumu. Par šī cauruma bīstamību mēs visi šodien pārliecinājāmies. Nu, ko es varu teikt – saturieties PHP-Nukes lapu īpašnieki, jums šīs dienas būs karstas.
Ai ai neapskauzhu…
Nu buus mazajiem iespeeja paziimeeties, un adminjiem upgreidoties; rosiiba – tas ir labi!
viss notiek uz labu…
http://www.nuketest.com/modules/WebMail/mailattach.php?userfile=../../ config.php&userfile_name=../attachments/file.txt&attachments=1
vienkaarshi apbriinojami – vel joprojam daudz lieto shitos nukus un gatavos CMS – gatvaas lietas un pa briivu nekad nav labas… vismaz security zinjaa – slikti paardomaatas
Tad jau Linux sūkā
Es iisti kaut ko nesaprotu, ko dara taa saucamie lauzeeji, vinji dabuu db paroliiti un peec tam vienkaarshi papildina vai modificee db ar saviem ierakstiem, ne? Bet kur glabaajaas db paroliite? Failaa config.php to zina visi taapeec arii censaas nolasiit sii faila saturu un dabuut paroli, bet vai tad nevar vienkaarshi nomainiit faila nosaukumu uz piem. config_file.php un taadaa gadiijumaa lauzeejiem nebuus ne mazaakaas nojeegas kur mekleet db paroliiti? Vai es tieshaam neko nesaprotu?
php gljuki liek gan pamazaam aizdomaaties vispaar par softiem, kas ir pa briivu… 🙁 …cik tie maz ir droshi. vispaar open source programmaam izskataas peedeejaa laikaa ir daudz gljuku … 🙁
Sorri “php” vietaa bija jaaliek “phpnuke”… vainiigs
Notiek baiga rosiba
!!!!!!
Djuke: jaa, sleegtaa koda windows ir izcili droshs un nav neviena gljuka. hahahaha
Vecos komentaarus drosji vien nelasa, te ir mans coments no ieprieksheejaa raksta
coolynx:
1. ja vieteejie sanitaari neizniidees slimaas lapas, tad par to pacentiisies Braziilieshu vai veel hvz kaadi iezemieshi. labs iemesls nedot vinjiem to prieku.
Mans jautaajums, varbuut arii pa pusei retorisks, nebija ierobezots geograafiski. Nafig vispaar aiztikt liikas lapas, es tachu nemekleeshu argentiinas webu tikai lai atrastu kaadu labi nosauljotas liikas rokas darbu.
2. jo vairaak defeisos, jo taalaak izplatiisies shii informaacija un cilveeki baidiisies likt shaadus caurumainus portaalu suudus.
Labums ta kaads ka baidiisies? Nu, baidiisies un taalaak?
3. ja neviens par to nerunaas, tad visi domaas, ka viss ir labi un turpinaas piemeeslot .lv tiiklu ar shaada tipa drazu, jo dziivos siltumniicaa, kur viss ir labi – vienmeer aplaista, apgaismo ar maaksliigo sauli utt.
Kaapeec drazu? Man piemeeram ir pilniigi vienalga uz kaa un kaa griezas saits, vai vinsh ir liiks vai taisns vai vispaar 90 graadu lenkii, man galvenais lai var lietot taa, kaa paredzeets.
4. shiis lapas ir uzskataams piemeers citiem, kas nesaprot kaada jeega ir ieguldiit liidzekljus portaalu izstraadee, ja to var izdariit *par velti* pie kaada pioniera.
Par pionieriem piekriitu, vieniigais arguments no tevis, kas skaitaas.
5. ja pastaav risks, ka lapu var uzlauzt, tad lapas veidotaajs daudz vairaak uztrauksies un piedomaas par taas droshiibu.
Taads risks pastaav vienmeer, lai arii kaads super mega risinaajums tiktu izdzemdeets.
6. ja shie iemesli nav saprotami, tad ejam uz phpnuke.org un lejupielaadeejam peedeejo versiju.
Buus jau labi 🙂
laka: jo vairaak baidaas, jo vairaak meegjina noliegt, ka baidaas. rezultaats ir redzams tavaa riiciibaa. skaidrs, ka vienkaarshi liekuljo un esi sapratis pareizi. ko tur vairs piebilst.
davai lauzham visus php_nukistus 🙂
bus vairak pasutijumu firmaam web taisiit :_))) [tiem kam $ ir]
padariisim LV.NET tiiraaku!
dev/null: … tur jau arii tas sviests, ka windows ir gljukains ka vai nu… kaameer cilveeki rakstiis programmas – taas buus gljukainas… tikai fishka ir taa, ka windowam visaa pasaulee ir daudz vairaak testeetaaju (kaut vai vienkaarshie useri)… lielaaka iespeeja, ka tiks atrasti bugi
Djuke: nu, kaa redzi, bugi naskaak tiek atrasti kaa reiz atveertaa koda programmaas 🙂 izlabot tos arii ir nesaliidzinaami vieglaak. Neesmu skatiijies php-nukes kodus, bet izskataas, ka tur jau pashos pamatos kaut kas greizi uztaisiits…
Ar šito var panākt, ka neviens vairs interesantas (ar viegli maināmu contentu, forumiem, balsošanu, komentēšanu, utt.) lapas neliks webā.
Ieliks vienkārši statiskas lapas par sevi (firmu) tie, kas super-security nevar atļauties (uz ko pašlaik tiek ekonomēts).
Tad arī webmasteri un programmētāji mazāk $ dabūs.
Starp citu kā tev coolynx izdodas savu lapu neuzlauztu uzturēt. Ja netraucē drošības apsvērumi padalies ar info :).
Varbūt coolynx lapa nemaz nav tik droša – tikai lauzēji ir tik laipni un neizmēģina savas spējas ar šo lapu – – Tāpat kā neesmu manījis Dreef lapu uzlauztā veidā. Būtu interesanti, ja kāds kuram ir pietiekamas zināšanas notestētu šīs lapas…..
Nu vispaar PHPNuke pamatos ir spiests uz eertumu, bet droshiiba atstaata saldajam eedienam…
Diez vai nau kaada aptuvena statistika, par to, cik LV hakeri piem. Braziilijas lapas salauzushi?
Par to “laka” minēto brazīliešu invāziju un laušanas vētrām. Tas viss ir liels blefs. Nopietni zog un laupa tikai tad, ja ir ko zagt un laupīt. Pārējos gadījumos, tā ir blēņošanās. Ko var nozagt neprofesionālā lapā? Varbūt tikai patrenēties.Iesācējiem.
Vai būtu jācīnās ar sliktām lapām tās laužot un tamlīdzīgi? Pēc būtības tā ir bezdarbnieku cienīga nodarbošanās, ja nav nekā nopietna ko darīt. Kamēr tā neskar kādu personīgi, neviena lapa nevienu netraucē. Ja nepatīk apšaubāmas kvalitātes lapu dažreiz pompozā publicitāte, uztaisi labāku. No kļūdām būtu jāmācās, taču slikto lapu publiska ķidošana ir neproduktīva nodarbošanās. Manuprāt, tas viss līdzinās tam, kā puišeļi sacenšas , kurš ar akmeni trāpīs braucoša vilciena logos.
manuprat piekritu ka phpnuke ir smagi aizmirsts par drosibu meginot laut parejiem rakstitajiem viegli iebazt moduli modulii un uttt, bet tomer kaut nelielu tiesibu parbaudi tak var veikt pie konkretas darbibas izpildes….. kas attiecas uz DB parolem. viena lieta ir vinjas iegut, bet ja cilveks kaut vai tam pasam mysql uzliek ka uzeris var pieklut no jebkura hosta un nevis no tiesi ta uz kura stav webserv, tad tas jau vien ir 70% no cauruma.
a wot – kexs laizh no ROOTa to shtelli.. a pieslegties mysql nevar jo root – localhost – kaadi ir varianti ?
a varbuut kaads var ieteik kaadu variantu, ja tev nav $$$ un nav arii pietiekoshu zinaashanu, kur var mekleet kaadu paliidziibu? tipa kaadu saturiigu info par php lapu izveidi?
Tāpat vien: meegjina skaneet un uzlauzt taapat kaa visas citas lapas, ja njem veeraa, ka man ir uzkraajies nelabveelju pulcinjsh kuri man veelas atmaksaat (nu gribaas tak papriecaaties kaa tam iedomiigam coolynx’am uzlauzh to podu beidzot), tad sanaak ka censhaas 2x vairaak 🙂
No visiem gadiijumiem, kad ir atrastas kaut kaadas nepilniibas ir atsaukushies kaadi 3-4 cilveeki. Paareejie taapat priecaajaas 😛
Turi kodu sleegtu un iesaaceejam buus gruutaak to uzlauzt. Vai arii izmantojot kaadu atvertaa koda produktu paarraksti to peec sava praata.
Ar to variantu – rakstiit pasham iet ljoti leeni un taa ir lielaakaa probleema ne tikai man, bet visiem paareejiem. Risinaajuma pagaidaam nav.
coolynx pieturas pie KISS stratēģijas (un tā vajadzētu darīt visiem lameriem), tādēļ arī lapa turas 🙂
Delerium: ja reiz gribeeji izteeloties gudraaks esam, tad vareeji ari pierakstiit skaidrojumu savam sveshvaardu (?) saiisinaajumam.
un veelvairaak ir kas grib uzlauzt hackers.lv taa teikt tad tik buutu ar ko paspiideet 🙂
Labi ka savaa laikaa tomeer mani sakuudiija rakstiita savu engini, nevis izmantot phpNuki :]
Muljkjiibas! Raxtiishana leeni ejot??? Ja apmierina taadas sarezhgjiitiibas lapa kaa pods, tad meenesha laikaa pa briivo laiku varu uzbliezt pat veel krutaaku. Protams, intensiivi kodeejot var dabuut gatavu arii pa 1 – 2 naktiim, tachu visadi bugfixi panjem laiku (sk. par laacz spp tapshanu). CLX neuztver to kaa uzbraucienu.
To: dumsh :: 22.01.2003 / 12:13
Vispirms saac ar www.php.net – palasi par php valodas pamatiem un tad google://php-howto. Es iesaku: http://www.devshed.com/Server_Side/PHP iipashi: http://www.devshed.com/Server_Side/PHP/PHPMySQLPublishing/page1.html
Pashraxtiitu saitu nemaz nav tik viegli uzlauzt, jo standarta riiki te neder a parastiem huligaaniem mekleet tavaa kodaa/lietotajaa softaa kljuudas ir slinkums. Protams, ja kaads gribees tieshi tavu projektu nogaazt, tad tas ir tikai laika jautaajums 😉 (kautvai satiekot tevi tumshaa ielaa 😉
Ja veel kaadi jautaajumi – vari uzmailot.
hackers.lv var lauzt? 😉
MZM: laikam jau, tomeer tev nebuus taisniiba, jo visu pagaajusho gadu apmeeram 7-8 cilveeki dazhaados laika posmos saaka kodeet podam dzineeju un beidzaas viss ar to, ka tagad pac maacos php 😀
Soliits makaa nekriit – teiciens par kuru esmu paarliecinaajies dziivee. 🙁
coolynx, neņem pie sirds, nezināju, ka nezini 🙂
KISS = [k]eep [i]t [s]imple, [s]tupid
Un ideja gaužām vienkārša – mēģināt visas lietas rakstīt pēc iespējas vienkāršākas un saprotamākas un tad arī gļuku nebūs tik daudz.
Delerium: es jau nenjemu, jo tavus tekstus jau sen vairs neuztveru par nopietniem. un biju par 90% paarliecinaats, ka izveelesies tieshi sho skaidrojumu, lai gan ir pieejami veel vismaz 3 citi KISS atshifreejumi.
Es pielietoju citu variantu, kas arii ir KISS – Keep It Safe and Secure, lai gan shie abi varianti neizsleedz viens otru, jo tieshaam izmantoju peec iespeejas mazaak nevajadziigu fiichu kaa rezultaataa mazinaas riks, ka kaadu no taam var ari exploitot. 😉
MZM: taa var runaat students, kam maaminja apmaksaa gan desu uz maizes gan studijas gan alu. ja uzkodeet citiem viegli saprotamu, viegli pielaagojamu un droshu engini buutu tik aatri/vienkaarsi izdaraams, tad puspasaules pamatskolnieki buutu sacepushu kaudzeem saadas engines. kaapeec pats neesi uzcepis neko tamldz? varbuut esi, bet tad neturi zem puura
Jaa, iedod lauzni un hackers.lv, es uzlauziishu.
Nu taads kurzemnieks.lv – ne tur ko zagt, ne ko, pat atrast taadu pagruuti, naudas vinjiem nav, ko samaksaat kodeetaajam, viens cirviitis kaut ko pamainiijis – news ieksh pods.lv, 100 komentaari, utt.. a jeega kur?
laka: jeegu meklee www.delfi.lv
Clx: teu vaig izlikt atklaatu projektu par web dzineeju!!! t.i. jebkursh var kaadu gabalu pakodeet, bet tu uztur to visu kopaa…
Heremit: ja es buutu tik speeciigs PHP, tad es taa arii izdariitu, bet diemzheel es neesmu. Lai gan bija doma uztaisiit kaut ko ljoti primitiivu, kas buutu baazeets uz php + txt nu un, lai tauta smejaas par manu roku liikumu un labo gljukus, ja taadus atrastu 🙂
AArpraats ko nu dariit,elle zemes virsuu.Atradushi par ko satraukties.Sviests
Lai nebaidiitos, ka kaads nozog DB paroles, jaaaizsargaajaas ar citiemveidiem, piemeeram, aizliegt piesleegties pie DB no visaam IP, iznjemot localhost un admina IP…
jaa jaa
coolynx. Man pagājušovasar iepatikās tava ideja par veblogu, tādeļ savu lapu pārtaisīju kā veblogu, lai pašam mazāk darba. Un realizēju tavu agrāk izteikto domu: php.+ txt. Piemēra pēc vari apskatīt http://www.fishing.lv/cope/cope.php Par drošību neraizējos un arī tauta nesmejas.
postnukei arii ir taadas pashas probleemas kaa php nukei??
procesors: visaam nukeem, kas ir baazeetas uz php-nukes ir tie pashi caurumi, jo nukei jau pashaa kodolaa idejas liimenii ir viens liels caurums. cilveeki ir kodeejushi ar apreekjinu, ka shajaa pasaulee viss notiek perfekti un neviens nemaz pat nedomaa pachakareet cita portaalu. vinju manuaaljos neeksistee sadaljas par droshu, optimizeetu un korektu kodu.
Vai uz myphpnuke šitais ar darbojās, vai tikai uz php-nuke?
Ai nu ko juus nervozeejat, taas lapas ir laustas un tiks laustas, taa starp attieciigu aprindu paarstaavjiem skaitaas kruta lieta, bez tam – kaapeec ne, ja to izdariit it _tik_ viegli, peec tam ir par ko palieliities un par to nekas nedraud; nav ko te saliidzinaat ar automashiinaam – neesat ieveerojushi, ka virtuaalaa pasaule un reaalaa ir divas pilniigi atshkjiriigas lietas? Bez tam pirmaas reizes tas ir arii ljoti interesanti; ja kaut kaadi iipashi triki/zinashanas japielieto vai iesaistiits risks, tad rodas speeciigs adrenaliina piepluudums, patiesiibaa, tas pat var izraisiit taadu kaa pieradumu.
Ir protams beediigi, ja tu cilveeks centies, veido lapu, naudu nesanjem, darbu ieguldi, un tad kads atnak un to visu sabojaa (vairaak vai mazaak). Tikpat nepatiikami kaa, ja kaads sabojaa tavu darbu reaalajaa dziivee, tachu taapat kaads pacentiisies salauzt seetu, sabojaat celjaziimes, izdauziit logu, it iipashi taapeec, ka taa nevajadzeetu dariit. Atshkjiriiba ir taada, ka lapu ir vieglaak izlabot un zaudeejumi paarreekjinot naudas izteiksmee ir nelieli (runaaju par nekomerciaalajiem entuziastu projektiem)
Nedariit citam taa, ka pasham negribeetos – pie taa vajadzeetu pietureeties. Zinaamaa vecumaa to saak saprast un respekteet. Hackoshana ir paarejosha lieta vairumaa gadiijumu, peec tam tas vienkaarshi vairs nesagadaa prieku.
Taas ir manas domas par to visu, protams es taa iesliipi pasmaidu ik reizes, izlasot par kaadu uzlaustu saitu, varbuut mazliet pat sajuutos paaraaks par upuri (gluzhi taa pat kaa CLX – atvaino, bet tas vienkaarshi spiezhas laukaa no taviem izteikumiem ;)) tachu nekad neuzskatu lauzeejus par varonjiem, nee, pietiekami daudz hakeru un “hakeru” paziistu, un man vinjus ir mazliet zheel.
Starp citu tiem kam ir atkariiba no saitu laushanas un shaadas taadas zinaashanas (protams mazliet vairaak, nekaa securityfocus lasiishanas skilli) iesaku izlaadeeties challenge saitos taados kaa www.caesum.com un liidziigos.
Nezinu kaa jums, man to visu uzraxtot vieglaak palika 😛
P.S. Veel pagaidaam neesmu izpratis tos cilveekus, kas speciaali skanee un meklee caurus serverus masveida defeisoshanai, kaapeec juus taa darat – labpraat parunaatos, e-mailojiet.