Fatalny blad administratora www Opcje

[boya]

zapraszam was na
http://www.ctb-pl.com/
zobaczcie tam link panel administracyjny i dalej jak sie otowrzy to zobaczcie zrodelko

koles mnie rozwalil az z krzesla spadlem

pozdrawiam

[AcidBurnt]

heheheheh fajnie haslo i login zapsac w JS

l: alex
p: heronx

lub po prostu od razu http://www.ctb-pl.com/index.php?go=12

[boya]

proponuje troche pozmieniac i udac sie na zakupy ;D mozna sobie zlozyc nowego niezlego kompa za kilka zetek

[AcidBurnt]

ja wlasnie sie nad tym zastanawialem ale nie daie sie nic nie miac pisze caly czas ze nie moze znalesc edanych produktu

[AcidBurnt]

kto zamawia ddr twon mosa 512 z 1 zł?

[Chewolf]

Fachowcy nie ma co , jeszcze takiego czegoś nie widziałem.

Dziekujemy za liczne telefony ze zwróceniem uwagi na błąd jaki był na naszej stronie administracyjnej. Zrobiliśmy taki prosty test. Chceliśmy siędowiedzieć ile osób zauważy błąd, a co za ty idzie ile osób ją wogóle ogląda. Test się sprawdził. O błędzie wiedzieliśmy a co za tym idzie możemy go teraz spokojnie usunąć włącznie z panelem adminstracyjnym, który i tak jest dostępny tylko dla osób uprawnionych. DZIEKUJEMY i ŻYCZYMY SZCZŚLIWEGO NOWEGO ROKU.

Ten post edytował Chewolf 9.01.2005, 10:36:30

[nobody]

kto zamawia ddr twon mosa 512 z 1 zł?

Zamow zamow...a jutro bedziesz mial smefow pod drzwiami. Macie zabawe...a wszystko sie w logach rejestruje. :wink:

[jacek811]

Kod

Dziekujemy za liczne telefony ze zwróceniem uwagi na błąd jaki był na naszej stronie administracyjnej. Zrobiliśmy taki prosty test. Chceliśmy siędowiedzieć ile osób zauważy błąd, a co za ty idzie ile osób ją wogóle ogląda. Test się sprawdził. O błędzie wiedzieliśmy a co za tym idzie możemy go teraz spokojnie usunąć włącznie z panelem adminstracyjnym, który i tak jest dostępny tylko dla osób uprawnionych. DZIEKUJEMY i ŻYCZYMY SZCZĘŚLIWEGO NOWEGO ROKU.

A jednak ludzie są życzliwi

[GrayHat]

http://www.ctb-pl.com/index.php?go=13&act=dodaj

super wiedzieli o bledzie i go poprawili tylko ze mozna jeszcze adminow dodawac

[Chewolf]

Jakbyś przeczytał to być zobaczył że to juz zamiescilem na forum. Nie zaśmiecaj !

[Seth]

A jednak to prawda, ze admini nigdy sie nie przynadza do bledow

btw: http://www.oldestonewall.com/config.inc

[jacek811]

Jak bym widzial ze zamiesciles to bym nie dodawal, ale otworzylem tego topica, sprawdzilem strone i potem wpisalem tego posta, a ty musiales to zrobic w miedzyczasie !

[boya]

zamawiac nie bede ale jak logi mnie zczaja i smerfy przyjda to nie wpooszcze ;] i taka podobna akcja jak to cale sprawdzanie legalnosci oprogramowania huehue

[nobody]

To jak juz jestesmy przy dawaniu ciala przez adminow i webmasterow to...dla wszystkich posiadaczy komorek - dobra nowina. Otoz serwis wapster.pl korzysta z apletow, ktore w locie generuja melodyjke tak wiec kazy niezalogowany uzytkownik moze podejrzec zrodelko strony, ktora aktualnie gra dana melodyjke i...zgarnac sobie dzwonek nie placac nic...No a jelonki wysylaja smsy za 2,44 + VAT . Nie wiem czy bylo cos kiedys na ten temat, ale ja to odkrylem wczoraj.
Pozdro.

[kubatron]

A jednak to prawda, ze admini nigdy sie nie przynadza do bledow

btw: http://www.oldestonewall.com/config.inc

Seth dobre to było wszystki informacje:/ jak zabezpieczyc takie pliki przd otworzeniem?

[AcidBurnt]

kubatron dodac rozszeznie .php

[nobody]

kubatron dodac rozszeznie .php

http://www.acm.org/sigs/sigda/config.php wcale to nie jest regułą .

[AcidBurnt]

kubatron dodac rozszeznie .php

http://www.acm.org/sigs/sigda/config.php wcale to nie jest regułą .

ee.. nie popadajmy w skrajnosci jak ktos nie mam serwera php to juz nie moja wina

a najlpeiej to takie sprawy w bazie danych umiescic i zakodowac

[GrayHat]

http://213.218.116.222/mp3srv.aspx?id=834268 - ehehe shrek z wapstera

[kubatron]

Nie no tylko bez takich odpowiedzi ja zapytałem jak ochronić się przed oglądnieciem tych plików a nie zakodowaniem w bazie danych. :wink:
Prosiłbym o odpowiedz ludzi którzy mają doświadczenie z php, i wiedzią jak to zrobić.

[AcidBurnt]

nadawalnie im unikalnej nazwy... mysle ze jak nazwiesz sobie plik z cnofigkieg tak 234kfasdw3453fesdf.php to raczje malo kto do niego trafi prawda?

albo skorzystanie z pliku htacces i zablokovawnie dostapu do katalogu gdzie znajduja sie takie pliki...

zabezpieczenie ich dodatkowym logowaniem?

[kubatron]

wiesz z tą nazwą to niejest najlepszy sposób bo to napewno jakoś spradzić. a co do reszty nieprotestuje lecz mało skuteczne.
Poszukuje coś takiego że jeżeli się niezalogujesz do do stron w katalogu admin niemasz dostępu.

[AcidBurnt]

http://forum.php.pl/viewtopic.php?t=9279

[Seth]

A jednak to prawda, ze admini nigdy sie nie przynadza do bledow

btw: http://www.oldestonewall.com/config.inc

Seth dobre to było wszystki informacje:/ jak zabezpieczyc takie pliki przd otworzeniem?

.htacces

<Directory /sciezka/do/pliku/z/inc>
<Limit>
order deny,allow
deny from all
</Limit>
</Directory>

[cagrET]

Seth, a wiesz moze dlaczego mi <Directory> w pliku .htaccess nie dziala ? Ani po localu, ani na serverze. Pozatym gdzies czytalem ze opcje <Directory> mozna dac tylko z poziomu httpd.conf : (

I jeszcze jeden problem, chce zabronic dostepu do 2 plikow w katalogu w ktorym jest .htaccess

Kod

<Files ~ "^conf.ini$|^db.php$">

  order deny,allow

  deny from all

</Files>

Ale robiac tak, zabraniam dostepu do plikow o takiej nazwie w danym katalogu i wszystkich innych podkatalogach, jak to zrobic zeby zabronic tylko w tym katalogu ? Bo w innym podkatalogu mam plik db.php do ktorego musi byc dostep z poziomu www

[FiDO]

Mozesz umiescic w podkatalogu jeszcze jeden .htaccess i nadpisac prawa dostepu.

[menic]

Wystarczy zrobić tak jak to jest np. w phpBB
Przeciez pliki tego typu są includowane. W pliku z którego wczytujemy ustalamy stałą a w config.php sprawdzamy, czy taka stała istnieje. Jeżeli nie to exit; i po problemie :]

[Seth]

Tylko tutaj chodzi o to, ze .inc nie jest parsowane przez php, wiec i dostep do niego jest otwarty.

[Cudi]

Kazać apachowi wysyłać pliki *.inc na parsowanie do php No i jeszcze można w pliku .htacces (o ile nasz apache je obsługuje) wpisać magiczne słowa DENY FOR ALL

[menic]

Wiem. Mi chodziło o pliki php, bo to kteś to poruszył
A co do .inc To moze poprostu nadać odpowiednie prawa do braku odczytu :?:
BTW. No i na co wam na komórke melodyjki w formacie .mp3

[Cudi]

No ładnie, nie zorientowałem sie że jest druga strona tematu i napisałem odpowiedź Hihi, chyba czas iść spać

[spenalzo]

To i ja coś dorzuce:
http://www.unrealfiles.com/files/listkeys/lefttable.i
http://www.unrealfiles.com/include/config.i (kiedyś działał)

[BzikOS]

Tak znalezione na szybko:
http://realmadrid.pl/admin/config.inc
http://www.swidnica.cimap.pl/config.inc
http://www.rynski.pl/config.inc

[raf2001]

Mam pytanie:
Jak takie "błędy" znajdujecie. Przecież niemacie dostępu do zródełek, aby odgadnąc gdzie jest plik (z jakiego katalogu) includowany.

[BzikOS]

Inne ciekawostki:
http://realgsd.info/config.inc.php
http://www.sig-auction.com/includes/config.inc.php
http://www.nadamu.com.cn/ny/config.inc.php
http://www.awebcamgirl.com/site/config.inc.php
*http://cyber.edu.hel.fi/koulumuseo/config.inc
http://www.herkes.org/homework/config/config.inc.php
http://www.bjmuma.com/english/config.inc.php
http://www.ge.pl/inc/funkcje.inc hehe

Starczy tego upokarzania

[kwiateek]

Zabawa
No coz zabawa est przednia czyz nie. Mam nadzieje ze na razie dacie spokoj. Milej nocy. ADMIN. Pozdrowionka

Zabawne... To było cały czas? Czy dopiero po Waszych nocnych zabawach ?

Pozdrawiam.

[.dragonfly]

Nawet marszalek ma bugi

GJ DzikOS http://www.rynski.pl/config.inc

[kubatron]

A jeżeli mam serwer na internecie to jak moge wejśc do tego pliku .htacces bo troche niewiem i czy to zabezpiecza pliki na 100% dobrze, i jak można zrobić coś takiego jak w phpbb że dopiero po zalogowaniu można ujżeć pliki z katalogu admin :wink:
Dzięki wszystkim i administratorą również.

[seaquest]

no nie, jak zobaczylem ten topic to normalnie

a tak BTW. Można stosować chmody dla configów najlepsze 666

[kubatron]

e no ja niewiem jak na necie na serwerze mam ten plik

[seaquest]

stary to proste, laczysz sie przez gftp, klikasz prawym przyciskiem myszy na plik i dajesz ustaw chmod, albo laczysz sie przez mc i wpisujesz chmod 0666 nazwa.pliku proste :?: i na pewno dziala

[Jabol]

no nie, jak zobaczylem ten topic to normalnie

a tak BTW. Można stosować chmody dla configów najlepsze 666

nieprawda. najlepsze chmody 000 zmieniane tylko na czas odczytu. Oczywiście rozwiązanie niepewne. Jeżeli właścicielem pliku jest właściciel procesu httpd to najlepiej dac chmod 400

[seaquest]

ale przy 666 nie musisz przedluzac czasu wykonania skryptu, a pozatym nie musisz sie bawic w zmienianie wlasciciela przy uploadzie

[Jabol]

ale przy 666 nie musisz przedluzac czasu wykonania skryptu, a pozatym nie musisz sie bawic w zmienianie wlasciciela przy uploadzie

ale czemu 666? To już lepiej 444.

[kubatron]

panowie a jęsli mam system logowanie to niewejde wtedy do pliku

[AZAZELLO]

z ciekawości postanowiłem to sprawdzić bo nie powiem mnie zainteresowało
i co bez problemu weszłem do phpmyadmin
i mogłem sobie wykasowac baze itp.

po czym wysłałem maila do admina że mają dziure.
i co zadnej odpowiedzi i dalej można wejść

nie wiem czy to na pokaz zrobione jest czy jak ale chyba nie powinno byc dostepu do czegoś takiego nawet jest to jest testowe konto !

macie jakies zdanie na to?

[hwao]

Może zrobili ta strone tylko na pokaz by zobaczyc jaki jest poziom obeznania w zabezpieczeniach w poslkim internecien np.: potem zrobia jakis artukul o tym? Z 2 strony jakby odkryli taka fatalna dziura w takiej stronie to czy bys sie przyznal ze to nei dopatrzenie czy wciskal kit ze tak ma byc ?

[spenalzo]

Ja wam powiem tak:
zanim zabierzecie się za krytykowanie innych, pousuwajcie na swoich kompach (np. z phpmyadmina) konta użytkowników "root" z pustym hasłem i dowolnym hostem, bo wszystko stoi otworem Ale najpierw utwórzcie sobie jednego użytkownia z hasłem i hostem localhost żebyście mogli do bazy wejść

[menic]

Ja wam powiem tak:
zanim zabierzecie się za krytykowanie innych, pousuwajcie na swoich kompach (np. z phpmyadmina) konta użytkowników "root" z pustym hasłem i dowolnym hostem, bo wszystko stoi otworem

Czekam
Ciekaw jestem tylko jak sie prze firewala przebijesz

[spenalzo]

Czekam
Ciekaw jestem tylko jak sie prze firewala przebijesz

Ee a po co sie przebijać? Przecież chyba nie masz zablokowanego portu 80 na wejściu do kompa?

[AZAZELLO]

nie koniecznie musi byc na 80

[menic]

Portu nie mam, ale nie wiem jeszcze jak sie do mojego apache dostaniesz jak mój złom nie ma przydzielonego zew. IP, ani żadnego przekierowania

[b3]

nie no panowie jakby nie bylo... to jest dobry temat, by uswiadomic o zagrozeniu, jakie niesie wlasnie nie umiejetne:) nazwanie pliku, i nie dodanie na koncu .php w config.inc

co do posta, skad wy to bierzecie...
to moze odpowiem:)
metoda prob i bledow... jest najlepsza, nie trzeba miec dostepu do servera by znac nazwy plikow...
80% programistow php, nazywa sobie plik konfiga >> config.inc(.php) wiec tutaj nie ma to jak tamto hehe...

[BzikOS]

Wszystkie linki które podałem wcześniej, pochodziły z googli. Skąd w googlach nazwy plików .inc? Ano z errorów, warningów, notice'ów php'a (np. Warning: Access denied for user: 'user@xxx.pl' (Using password: YES) in /var/www/xxx/config.inc on line 15). Dobrze więc na serverze zewnętrznym (widocznym z inetu) ustawić w php.ini display_errors = Off, a jeżeli nie ma się dostępu do tego pliku to w skrypcie ustawiać error_reporting(0); a jeszcze lepiej jest pisać poprawnie aplikacje, aby nie generowały tego typu błędów

btw. popróbujcie w wyszukiwarkach powpisywać różne komunikaty błędów php

[spenalzo]

Eeee po co cudować
Zapytanie do googli:

"Index of /" "config.inc"

[Fo]

wszystko fajnie extra a mam jeszcze takie male pytanie :

czy (jak) mozna odpytac konkretny serwer o konkretny jakis blad ? bo google to skads maja, wiec gdzies jakies odpytanie musialo nastapic, a jak mozna zrobic zapytanie w konkretne miejsce (serwer) ? da sie tak ?

[uboottd]

czy (jak) mozna odpytac konkretny serwer o konkretny jakis blad ? bo google to skads maja, wiec gdzies jakies odpytanie musialo nastapic, a jak mozna zrobic zapytanie w konkretne miejsce (serwer) ? da sie tak ?

dodac w zapytaniu googla site:domena.gdzies

[rachwal]

Niebezpieczeństwo Google

[kliszaq]

najgorsze jest w tym wszystkim to, ze byla jaka osoba potrafi wlamac sie na strone i jest to przerazajace!!! a gdzie walka o ezpieczenstwo, jak nawet admini nie chca troszeczke zadbac o to !!!

[kubatron]

Więc powiem ra a dobrze:
nie da rady zabezpieczyć phpmyadmin żeby się tam niemożna było dostać ani innych takich pierdół bo to i tak ma swoje dziury i tak niema rzeczy w internecie co by niemiały chodz 10dziur w kodzie php lub zabezpieczeniach wiadomo że można różnymi metodami zabezpieczyć komputer, lub phpmyadmin , lub panel adnimistratora na stronie www ale niezabezpieczycie ze nikt niewejdz to są ludzie przękręty i się na tym znają :wink:
co do firewala to on niezabezpiecza nam komputera przed wejściem do systemu słyszał może ktoś z was jak wchodzi się do systemu za pomocą Biosu :wink:

[Fo]

nie, blagam listosci..... 8O

@kubatron - mam prosbe - zanim zamiescisz posta - blagam cie, przeczytaj go z 2 razy, zrob to dla calego php.pl i moich oczu oraz rozumu.

[b3]

to ja dorzuce swoje...

http://www.uk-christian.net/config.inc [nowy lepszy szatan.. hehe..]
http://www.vlwn.de/search/config.inc
http://www.entexsoft.cz/iptraff/inc/config.inc
http://deca.co.nz/content/includes/config.inc
http://www.lnf.infn.it/esperimenti/finuda/...idas/config.inc


i cos na ostatek..
brytyjskie smerfy

http://www.kent.police.uk/sites/webforms/b...bsct/config.inc [police? smerfy from UK, jednak nie maja tak wysokiego IQ;) ja podaja staty.. hehe]

[enceladus]

Mogę polecić mały patent na zabezpieczenie się przed wypadkiem gdy administrator dopuści wyświetlanie plików, niestety ma on pewne wymagania co do konfiguracji serwera... ale po kolei:
1. Zakładamy że nasza strona to: www.strona.gdzies.pl. Na serwrze zalega ona w katalogu /home/www/strona, w tym miejscu umieszczamy jedyny skrypt:[php:1:1c496d231e]<?php
include "loader.php";
?>[/php:1:1c496d231e]
2. Zmieniamy ustawienia php lub tworzymy plik .htaccess tak aby zmodyfikować include_path:

Kod

AddType application/x-httpd-php .html .php .inc

DirectoryIndex index.php index.html

php_value include_path '/home/www/strona/include'

Metoda z plikiem .htaccess może też zabezpieczyć nas przed ewentualnymi błędami admina - sami w naszym serwisie wymuszamy parsowanie php dla wszystkich potencjalnych rozszerzeń

2. Tworzymy katalog /home/www/strona/include (aby zaciemnic warto nazwać go np inclooooode - w najprostszy sposób zapewni to całkiem sporo ochrony przed googlarzami)
3. Katalog zabezpieczamy przed odczytem - można to zrobić albo w konfigu apache albo plikiem .htaccess (w katalogu /home/www/strona/include):

Kod

Order Deny,Allow

Deny from all

4. Aktywujemy mod_rewrite w apache z następującą konfiguracją:

Kod

RewriteEngine On

rewriteRule ^/([a-z]+).html(.*)$ /index.php?pp=$1 [QSA,L]

Będzie to zmieniało każde wywowałanie z postaci np. /strona.html na /index.php?pp=strona. Przyjęte zostaną wywołania tylko plików z rozszerzeniem html składające się z liter - wszystkie inne zostaną potraktowane przez Error404. Oczywiście można rewriteRule skonstruować zupełnie inaczej, stosowanie do swoich potrzeb. Tutaj podałem tylko najprostszy przykład.
4. Tworzymy plik loader.php w katalogu /home/www/strona/include [php:1:1c496d231e]<?php
$pages_dir="/home/www/strona/include/pages/"
if (!isset($_GET['pp'])) {
$page='index';
} else {
$page=$_GET['pp'];
}
$file=$pages_dir.$page.'.php';
if (file_exists($file)) {
include $file;
} elseif (file_exists($pages_dir.'index.php')) {
include $pages_dir.'index.php';
}
?>[/php:1:1c496d231e]
5. W katalogu /home/www/strona/include/pages/ umieszczamy właściwy kod naszych stron nazywany index.php, strona.php itd....

W przykładzie katalog include znajduje się w obszarze DocumentRoot apache, najlepiej jest jednak wynieść go za ten obszar tak aby przykładowo miec strukturę:
/home/www/strona/root/ <- tutaj znajdzie się index.php z odniesieniem do loader.php i to jest Ustawione jako DocumentRoot
/home/www/strona/include/ <- To jest katalog ustawiany jako include dla php

[itsme]

poszlo PW do kubatrona

[raf2001]

to ja dorzuce swoje...

http://www.uk-christian.net/config.inc [nowy lepszy szatan.. hehe..]
http://www.vlwn.de/search/config.inc
http://www.entexsoft.cz/iptraff/inc/config.inc
http://deca.co.nz/content/includes/config.inc
http://www.lnf.infn.it/esperimenti/finuda/...idas/config.inc


i cos na ostatek..
brytyjskie smerfy

http://www.kent.police.uk/sites/webforms/b...bsct/config.inc [police? smerfy from UK, jednak nie maja tak wysokiego IQ;) ja podaja staty.. hehe]

Hehe poszukajcie w stronie smerfów jakieś dwa katalogi wcześniej bodajrze http://www.kent.police.uk/sites/ kto chce wejść na phpmyadmina (niektórzy to są kompletnie walnięci jeszcze wgrywają sobie phpmyadmina)

[b3]

@raf2001
byli tak uprzejmi ze dorzucili jeszcze phpmyadmin'a nie sa glupi hehe...
zasluguja na IQ 120 w narodowym tescie inteligent... haha...

@enceladus
fajny tutek:) trzeba sie blizej jemu przyjzec!!

[shima]

Ja wam powiem tak:
zanim zabierzecie się za krytykowanie innych, pousuwajcie na swoich kompach (np. z phpmyadmina) konta użytkowników "root" z pustym hasłem i dowolnym hostem, bo wszystko stoi otworem Ale najpierw utwórzcie sobie jednego użytkownia z hasłem i hostem localhost żebyście mogli do bazy wejść

Żartujesz? Jeszcze nie wiedziałem co to SELECT, kiedy to zrobiłem.

[Seth]

Ja wam powiem tak:
zanim zabierzecie się za krytykowanie innych, pousuwajcie na swoich kompach (np. z phpmyadmina) konta użytkowników "root" z pustym hasłem i dowolnym hostem, bo wszystko stoi otworem Ale najpierw utwórzcie sobie jednego użytkownia z hasłem i hostem localhost żebyście mogli do bazy wejść

Dopiero teraz zuwazylem tego posta... ciekawe skad takie przemyslenia

[shima]

Ja wam powiem tak:
zanim zabierzecie się za krytykowanie innych, pousuwajcie na swoich kompach (np. z phpmyadmina) konta użytkowników "root" z pustym hasłem i dowolnym hostem, bo wszystko stoi otworem Ale najpierw utwórzcie sobie jednego użytkownia z hasłem i hostem localhost żebyście mogli do bazy wejść

Dopiero teraz zuwazylem tego posta... ciekawe skad takie przemyslenia

Gdzieś indziej spenalzo napisał, że najlepiej uczyć się na cudzych błędach. Swoje bardziej bolą