UWAGA NA SYSTEMY WYMIANY!

[tomick]

@ympans: Po 3 dniach? przecież podobno nie ma luk w systemie? To, co robi Anioł to jakaś kpina. Nawet nie przeprosił za swoje słowa, które napisał tutaj wcześniej...

Poza tym nigdy nie bylo możliwości zainfekowania plików użytkowników. np. index.php

znowu te same bajki mad.gif

Nie no dobrze napisał - nie było jeżeli index.php nie ładował LinkORNa

[MMP]

eval(implode('', file('https://www.linkorn.pl/o_inst2.php?spar='. $_GET['spar']. '&spar2='. $_GET['spar2']. '&login='. $_POST['login']. '&password='. md5($_POST['password']))));

W instalatorze LINKORN.pl

Fuszerkowata ta naprawa....

[CrashXT]

Później się dziwicie, że linkorn tyle bierze dla siebie... jak teraz Adminów denerwujecie to muszą coś wypić na poprawę nastroju, a to kosztuje...

dir elitos powinien już nie miec bana więc kilka pytań:

1. Czy oficjalnie system LinkORN przyzna, że mógł w każdej chwili wrzucić dowolny kod php na strony w systemie?

2. Dlaczego nie przeprosicie oficjalnie szooka za słowa '[ nierzetelny partner ] i [ osoba domniemana o popełnienie przestępstwa lub wykroczenia ]?

3. Czy jeżeli wypadnie Ci portfel i ktoś Ci go zwórci po kilku dniach z dużą ilością pieniędzy to nie podziękujesz ponieważ wyjdziesz z założenia, że osoba, która oddała portfel nie zrobiła tego dla słowa 'dziękuje' tylko z przekonań o uczciwości? Ponieważ tak można wywnioskować z odpowiedzi jakiej udzieliłeś na pytanie czy podziękujecie szookowi.

[ympans]

@MMP słuszna uwaga jutro zostanie to z pewnością poprawione dla świętego spokoju...

[Paweł Kobis]

MMP - instalator musi miec te dane w przeciwnym razie nie bedzie w stanie zainstalowac poprawnie systemu na stronie usera - Plik install.php jest usowany z serwera po instalacji wiedz problem nie istnieje. Dodatkowo przypominam ze ten plik nie jest includowany do strony usera. Tak wiedz nie widze tutaj problemu zebym musial zmieniac funkcje. Zaraz zmienie odwolanie po domenie na IP zeby nikt juz nie plakal

CrashXT -

Ad1 - Nigdy nie zaprzeczalismy takim informacja i bylo to mowione wielokrotnie na forum ze mamy mozliwosci np aktualizacji, weryfikowana czy pliki nie zostaly zmodyfikowane i wlasnie dzieki temu mozna bylo wylapywac latwo oszustow - teraz tez mozna ale napewno duzo trudniej bedzie to znalesc

Ad2 - Nie moge przeprosic szooka za moje sformulowania gdyz je podtzrymuje w 100% jako ze przekrecal fakty i jawnie oszukiwal swoimi stwierdzeniami. Sam przyznal ze podobno mog hakowac strony wiedz mogl to zrobic i krasc dane - nie pamietam okreslenia zlodziej kierowanego do niego ale ze pisalem w nerwach wiedz moze i cos takiego chlaplem

Ad3 - Informacje szooka byly nam od dawna znane i podkreslam jeszcze raz to nie byl bug systemu ale jest to bug i problem zle skonfigurowanych malych serwerow www. Kazdy profesionalny hosting np nazwa.pl, home.pl ovh.pl, nie pozwalaly na zastosowanie rozwiazan jakie podal szook i problem byl i jest malo znaczacy w mojej ocenie sytulacji.

Moje podsumowanie

System jest zabezpieczony, jesli kto kolwiek komu kolwiek wgral plik php podszywajac sie pod nasz system po dokonaniu aktualizacji (wiekszosc stron zostala automatycznie zaktualizowana - pozostale osoby otzrzymaly maila z informacja i prosba o reczne aktualizacje) staja sie bezwartosciowymi kodami ktore nie moga zostac wykonane po stronie usera.

Dodatkow wszedzie tam gdzie nie udalo nam sie dokonac zdalnej aktualizacji informuje ze te serwery i ich stopien zabezpieczenia byl na tyle wysoki ze blokowal wszystko co jesczze bardziej zmiejszalo ryzyko potencialnej mozliwosci ataku.

Czy system zostal poprawnie zaaktualizowany na waszych stronach mozna latwo sprawdzic poprzez czas i date modyfikacji pliku na serweze sprawdzic lub poprostu porownac zawartosc pliku z https://www.linkorn.pl/scripts/sys.txt jesli sa rozne poprostu podmienic zawartosc

[Bartek S.]

Według mnie znowuż bajki. Nie widzę abyś udzielił rzetelnej odpowiedzi na niektóre zarzuty, przeinaczasz fakty zachwalając swój system...

Ad1 - Nigdy nie zaprzeczalismy takim informacja i bylo to mowione wielokrotnie na forum ze mamy mozliwosci np aktualizacji, weryfikowana czy pliki nie zostaly zmodyfikowane i wlasnie dzieki temu mozna bylo wylapywac latwo oszustow - teraz tez mozna ale napewno duzo trudniej bedzie to znalesc

Nikt nie prosił o rozwijanie tematu. Prosta odpowiedź. Mogliście podmieniać w php? Tak? Nie? Odpowiedź jest jasna i brzmi: Tak!

Nikt o wyjaśnienia nie prosi czy to robiliście, czy planowaliście, czy nie. Wy mogliście? To i inni mogli. szook zauważył lukę? To i inni mogli... Jest to jedyna luka? Na pewno nie. Znalazły by sie osoby które potrafiły by to wykorzystać inaczej niż szook...

Szook przedstawił sytuację, dopiero teraz się tym zajęliście, powinniście mu dziękować na kolanach a Ty brniesz w zaparte. Szkoda mi po prostu takich ludzi i ludzi którzy Ci zaufali...

[CrashXT]

>teraz tez mozna ale napewno duzo trudniej bedzie to znalesc

Miło wiedzieć, że dalej możecie zrobić wszystko co chcecie ze stronami w systemie

[Bełdzio]

Przejdzie nawet tam gdzie admin akceptuje.

Wiecie dlaczego ?

Bo nie spotkałem sie jeszcze z odmową dodania domeny do panelu nawet w wypadku kiedy dokonuje tego admin.

a jednak w progreso żeby podpiąć domene musisz najpierw przekirować ją na ich dns

[ocsid]

Po pierwsze: panika jest faktycznie na miare Faktu, albo innego brukowca.

Po drugie: kto daje poważny serwis jako źródło linkowania w ramach systemu wymiany?

Przeważnie dajemy zaplecze, możliwe do odtworzenia w ciągu godziny - więc proszę o wstrzymanie się

z opiniami nt. zgubnych skutków ataku na takie strony - przecież w 9/10 są to śmieci!

Po trzecie: aniol faktycznie wije sie jak piskorz i wcale go nie bronie - chodzi mi o obiektywne

fakty - jak dla mnie takie bugi nie są żadnym zagrożeniem, szczególnie teraz, kiedy G indeksuje 20k podstron

w tydzień

[Paweł Kobis]

Nie bylo nigdy mozliwosci modyfikowania plikow php userow stron na ktorej byl zainstalowany system - nie ma od tego dostepstwa przy standardowej konfiguracji serwera.

[michal]

Nie bylo nigdy mozliwosci modyfikowania plikow php userow stron na ktorej byl zainstalowany system - nie ma od tego dostepstwa przy standardowej konfiguracji serwera.

Ależ oczywiście, że jest. Przestudiuj dokładniej manual php, bo tego już się czytać nie da!

Możliwość masz, ale teraz tylko wola użytkowników systemu Twojego jak i każdego innego czy chcą danemu systemowi zaufać.

Na szczęście już załataliście dużą dziurę i o tyle jest lepiej.

[Paweł Kobis]

michal - zauwaz prosze ze zaznaczylem ze niema mozliwosci edytowania pliko przy standardowej konfiguracji serwera

Prawad jest taka jezeli masz pliki z prawami 666 a juz nie daj panie boze 777 to kazdy ma do nich dostep i moze je edytowac bez twojej wiedzy. W takich sytulacjach to juz "gupota" lub male doswiadczenie userow gra role.

Normalna konfiguracja serwera zabrania grzebania po katalogach i dodatkowo funkcje umozliwiajace przejecie kontroli sa poblokowane. Przykladami zstosowania luk i dziur w skryptach jest skrypt s99.php t55.php ktore wystarczy wgrac na dowolny serwer www ktory nie ma wylonczonych komen exim i caly serwer moj Wtedy nic i nikt nie pomoze. To samo dotyczy "buga szooka" debre serwery i ceniace sie firmy dbaja o bezpieczenstwo php oraz o bezpieczenstwo DNS! Jezeli ktos zdecyduje sie na hosting w firmie x za 30 zl rok i dotego jest slabo zorjentowany w zazadzaniu strona moze byc klocek faktycznie.

Moja klutnia jest tylko oto ze zostala pominieta masa faktow, masa informacji i sytulacji jakie musza zostac spelnione aby sie wlamac komu kolwiek na strone. Twierdzenie ze linkorn jest Backdoor'em jest wielce mylace i wrecz jest klamstwem gdyz wskazany problem nie jest problemem samego systemu i jego zalozen ale bledem serwerow - i tylko oto chodzi

Faktycznie moglem wczesniej wdrozyc aktualizacje systemu aby miec swiety spokuj i tu jest moj blad ale nie zgodze sie ze linkorn bul/jest Backdoor'em

Szook specialnie pociagnal ten temat w taki sposb a nie inny a ludzie poszli za nim jak ............. nie myslac - niechce tutaj nikogo urazic !! a na dowod prowokacji zacytuje wypowiedz szooka z rozmowy zemna na GG i jego odpowiedz czemu nieda kazdemu systemowi czasu na korekty aby poprawic to co moze byc a nie musi przyczyna problemow jego odpowiedz :

Szook (4-05-2007 14:38)

spechalnie ujawniam tego :)zeby zrobic dym

Niechce przytaczac tutaj innych faktow z zycia szooka ale prawda jest taka odpowiednio przekrecone fakty, malo doswiadczeni ludzie i mamy oto taka kaczke i afere ktora w ciagu kilku godzin na spokoinie przestala istniec.

Bardzo duzo faktow bylo i jest pomijanych w tym temacie.

Idealny atak wygladal w ten sposob

User ma wykupione konto na dziadoskim serwerze a admin nie wie co to zabezpieczenia

User ma zainstalowany dowolny system wymiany linkow np (likuj , linkorn , linkor , linkme - tez jest podatny w tej sytulacji !, dowolne statystyki stron, dowolne elementy pobierane zdalnie np ikonka PR)

Nastepnie atakujacy tworzy sobie domene dowolnego systemu na swoim koncie

Na podstawie analizy kodow danego systemu pobiera zmienne na podstawie ktorych nastepuje odwolanie

System po stronie usera odwoluje sie do spreparowanej domeny po localhoscie

Atakujacy zdobywa informacje takie jak :

nazwa pliku, adres strony

Nastepnie podstawia spreparowany skrypt ktory moze dokonac nastepujacych rzeczy:

wykonywac w nieskonczonosc petle ktora moze uniemozliwic dzialanie strony z zainstalowanym systeme

w przypadku linkme sparalizowac zupelnie dzialanie systemu po stronie usera gdyz nigdy z nim sie strone nie polonczy

mozliwosc przepelnienie bufora strony i pobrania calych plikow php

wgranie dowolnego kodu i jego wykonanie

podmiana zawartosci plikow z prawami 666 lub dogranie plikow do katalogow 777

Taki serwer ktory umozliwia takie zachowanie mozna duzo latwoiej hakowac bez wyzkosytywania systemow wlasnie przy pomocy skryptow c i s99.php (dla nie wtajemiczinych jest to shell napisany dla php).

Podstawowe pytanie ktora strona firmowa stoi na takich serwerach ?

Zapewniem i gwarantuje wszystkim usera system nigdy nie pobieral i nie pobiera danych ktore nie sa niezbedne do poprawnego dzialania systeu linkorn ani te dostepu do tych danych niema nikt poza mna i 1 adminem technicznycm (adminow jest juz 5).

Kazdy system dziala dzienki usera i tylko dzieki nim i tu jestem pewny ze zaden admin nie odwazy sie wykozystac danych i samych stron w sposob niezgodny z przeznaczeniem bo predzej czy pozniej ktos to wykryje a to oznacza koniec systemu. My potzrebowalismy mniej niz 24h na analize zagrozen i przedstawienie sesownego rozwiazania problemu i naprawienie go.

Tak wiedz podkreslam LinkORN jest obecnie wolny od wszystkich mozliwych zagrozen wskazanych w tym watku.

Odnosnie LinkMe bez zlosliwosci powiem bug szooka na ciebie tez dizla i umozliwia wywalenie dowolnej strony na niezbyt dobrze skonfigurowanych serwerach pomimo autoryzacji jaka stosujesz. Moja rada tak jak i ja to zrobilem zmien sposb odwolywania zamiast uzywac nazw domen ustaw IP mniejsze szanse skutecznego ataku

[michal]

Prawad jest taka jezeli masz pliki z prawami 666 a juz nie daj panie boze 777 to kazdy ma do nich dostep i moze je edytowac bez twojej wiedzy.

Tym razem odsyłam do komendy manuala "man chmod". Raczej 400 jest jedyne w pełni bezpieczne, w sumie 600 może być.

Normalna konfiguracja serwera zabrania grzebania po katalogach

Jeżeli suexec i phpsuexec są normalną konfiguracją to jasne. Niestety wiele hostingów tego nie ma.

Twierdzenie ze linkorn jest Backdoor'em jest wielce mylace i wrecz jest klamstwem gdyz wskazany problem nie jest problemem samego systemu i jego zalozen ale bledem serwerow - i tylko oto chodzi

Rozumując w taki sposób można dojść do wniosku, że powinniśmy w tej chwili zrobić wielką akcję społeczną mającą na celu zmienienie działania serwerów z których korzystają setki milionów osób.

Jeżeli bierzesz się za programowanie to wiesz jakie są możliwości serwerów i piszesz kod tak aby był bezpieczny, a nie zwalasz winę na złe oprogramowanie serwerowe.

Z tego co Ty napisałeś w tym wątku wynika, że Twój kod jest super dobry i teraz admini serwerów powinni się do tego dostosować. Tak to niestety nie działa.

Odnosnie LinkMe

Ostatnie ostrzeżenie! Już pisałem, że masz od tego PW! A jak nie, to blok

Z tego co szook napisał i tym razem daje mu kredyt zaufania, przyjdzie kolej na linkme i inne systemy również. Wstrzymaj się do tego czasu.

[Paweł Kobis]

Michal nie atakowalem Linkme tylko podpowiadalem ze tez maja problem i mowie konketnie jak rozwiazac wspomniany problem. Czyli mam rozumiec z tego ze oficialnie nie wolno mi pisac na temat LinkMe bez zlosliwosci i podpowiadac jak maja sobie poradzic z czyms ? - Bo jesli tak to prosze o bycie obektywnym i przegladajac ta rozmowe bo w tym watku linkme jezdzi po mnie jak bo burej suce i h... z tego nikt slowa nie powie ( Ty tez milczysz) a jak ja kulturalnie i spokoinie wskazuje blad to afera !!

https://support.linkorn.pl/index.php?showto...0entry860 - tu jest ankieta naszych userow i wyniki sa dosc ciekawe nie sadzisz ? Nasu uzytkownicy maja odmiene zdanie na pewne tematy bo maja rozum i potrafia myslec poco i dla kogo tworzy sie system i rozwiazania techniczne

Michal chciales powiedziec w stylu szooka robmy nagonke na zle serwery bo to nie moj styl.

Fakty zle skonfigurowany serwer = Atak na strone usra bez znaczenia czy ma jakis system zainstalowany czy tez nie - KONIEC

Nie podoba mi sie natomist fakt ze wina za te bledy jest zwalana na jaki kolwiek system wymiany linkow i mowie o tym otwarcie i oficialnie - i bronie swojego systemu co jest naturalna koleja rzeczy.

Nie mowie ze moj kod jest napisany idealnie czy IPB ma napisany idelanie kod lub inny soft ale wiem jedno staram sie jak moge i kazdy z naszych adminow i programisci aby zapewnic maximum bezpieczenstwa i skutecznosci. Wkladamy w to cale nasze serce i kazda wolna chwile robiac to przede wszystkim dla was dla Userow tego systemu. I bardzo boli mnie fakt ze pojaily sie zazuty ze ja lub kto kolwiek z moich wspolpracownikow wykozystuje system nie zgodnei z jego przeznaczeniem. System zyje dzienki usera i dolozymy wszystkich staran aby nadal dzialal i sluzyl im tak dlugo jak tego kazdy z nich i kazdy uczestniich systemu bedzie zyczyl w nim byc.

[michal]

Bo jesli tak to prosze o bycie obektywnym i przegladajac ta rozmowe bo w tym watku linkme jezdzi po mnie jak bo burej suce i h... z tego nikt slowa nie powie ( Ty tez milczysz)

Przeczytaj jeszcze raz dokładnie a zobaczysz, że napisałem do LinkMe również o PW w sprawach krytyki Linkorna i o innych wątkach w sprawach zachwalania swojego systemu.

A w ostatnim moim poście napisałem ponownie do Ciebie, bo tłustym drukiem napisałeś tylko o tym systemie a nie o innych, a czytać Waszych wycieczek już mi ani wielu innym użytkownikom już się nie chce.

To się tyczy i Ciebie i LinkMe!

EOT!

https://support.linkorn.pl/index.php?showto...0entry860

Przykro mi, nie będę się rejestrował, żeby zobaczyć ankietę.

Fakty zle skonfigurowany serwer = Atak na strone usra bez znaczenia czy ma jakis system zainstalowany czy tez nie - KONIEC

Jasne, ale pisząc kod, starasz się go zabezpieczyć tak aby nawet na źle skonfigurowanym serwerze (a takich jest masa) nikt nie dostał się do serwera poprzez Twój skrypt - KONIEC

bronie swojego systemu co jest naturalna koleja rzeczy.

Duh! Chyba normalne, nie?

wiem jedno staram sie jak moge i kazdy z naszych adminow i programisci aby zapewnic maximum bezpieczenstwa i skutecznosci. Wkladamy w to cale nasze serce i kazda wolna chwile robiac to przede wszystkim dla was dla Userow tego systemu.

I takie podejście zazwyczaj mają wszyscy twórcy aplikacji webowych.

Z tym, że jeśli ktoś ich powiadomi o bugach to jest bug report i rozwiązanie, bez zbędnych kłótni o wyższości swojej aplikacji nad innymi. Zgadza się?

W sumie to wątek chyba nie miał by tyle stron, gdybyś po prostu przyjął to do wiadomości, napisał, że pracujesz nad poprawką, potem ją udostępnił, podał info na swojej stronie, powiadomił userów. Tak to działa zazwyczaj, bo faktem są Twoje słowa:

Nie mowie ze moj kod jest napisany idealnie czy IPB ma napisany idelanie kod lub inny soft