Site em PHP-Nuke hackeado

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Esta mensagem vem de um utilizador postado no phpnuke.org.br
Independente do problema em si precisamos ficar alertas porque este problema não afeta só os arquivos do SGC.

Você já pensou o comprometimento do banco de dados?
Ningém merece isto, é fundamental que ao instalar o seu SGC preferido você veja em que host está colocando, se todas as medidas de segurança foram tomadas.

Quem tiver mais alguma sugestão para ajudar este utilizador pode responder. É óbvio que se estivesse usando o XOOPS seria melhor, mas.

http://phpnuke.org.br/modules.php?name=Forums&file=viewtopic&p=394#394

Mikhail Miguel  Membro De: Angra dos Reis, RJ, Brasil  Postagens: 2466

Esta mensagem vem de um utilizador postado no phpnuke.org.br

Gilberto, tomei a liberdade de renomear o título deste tópico para esclarecer que o fato aonteceu com o phpnuke, e não com o XOOPS, ok? - levei o maior susto quando li, Hehe.

Independente do problema em si precisamos ficar alertas porque este problema não afeta só os arquivos desse SGC.

Gilberto, é relativamente fácil apagar aquivos ds outros num servidor compartilhado, geralmente basta não configurarem deforma correta as permissões dos arquivos e diretórios... existem vários scripts em PHP que permite uma "navegação" nos arquivos dos "vizinhos".

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

tudo bem, sem problemas.

A ideia inicial era alarmar o pessoal mesmo, porque isto vive acontecendo e tem pouca gente que tem a coragem de falar. Mas está bem este novo título.

Agora sobre a segurança dos arquivos de configurações mesmo que bem configurados é que fica dificil e hosts virtuais você controlar o local onde ficam.

Em nosso caso na intranet eles nem ficam no raiz do servidor Web e sim abaixo dele. Mesmo que consigam comprometer o raiz do servidor Web não chegariam aos arquivos de configuração a não sei que tivessem acesso root.

Bem mais aí já é outra história e isto não tem nada com o phpnuke, XOOPS e sim com segurança.

Apenas um alerta para o pessoal. Atenção nunca é pouca para quem usa script´s automatizados de terceiros. Se você tiver poder sobre o seu servidor, fique atento com as atualizações de seguança.

Evite deixar os arquivos de configuração no raiz de seu Web site. No mais, fique tranquilo, não existe 100% de segurança na grande rede mesmo.

Mikhail Miguel  Membro De: Angra dos Reis, RJ, Brasil  Postagens: 2466

tudo bem, sem problemas.

Ah, escrevi uma mensagem há alguns dias sobre a ideia de renomear o título (e apenas o título) de vários posts no fórum, para facilitar a vida dos novos visitantes.. de repente o que ele precisa saber está num post, mas o título não tem nada a ver com o conteúdo.

Outra coisa que deve ser um problema sem solução, é aquilo que você disse sobre mover apenas algumas mensagens de um tópico para outro. por exemplo, esta já saiu do tema "segurança" e pulou para "sincronia de de subject e body dos tópicos".

A ideia inicial era alarmar o pessoal mesmo, porque isto vive acontecendo e tem pouca gente que tem a coragem de falar.

Por falar nisso, como anda a segurança no xoops? sempre procuro falhas nele em portais de segurança, mas o máximo que encontrei foi um problema MUITO pequeno que possibilitava descobrir o caminho físico do servidor (ohhh, grande problema, Hehe).

Quanto a problemas em módulos, encontrei um relativo ao módulo de tutorias, que permitia o envio de arquivos em php, esse sim, problema sério, mas que estava presente em um módulo, e não no núcleo (por sinal, como chamo "core" em português? "arquivos originais/principais/essenciais"?)

Mas está bem este novo título.

Vou renomear de novo, porque ficou "hacheado" em vez d "hackeado"... Gilberto, por gentileza, como isse ao redeye (será que acertei escrever desta vez?), podem alterar qualquer coisa que eu digitar, por gentileza... principalmente se houver alguma informação incorreta, mas também se for possível complementar um texto com novas informações, seria legal.

Isso vale PINCIPALMENTE para seção de artigos,... a ideia é se inspirar nos wikis, de qualquer um pode editar, incluir, remover coisas do texto.

Agora sobre a segurança dos arquivos de configurações mesmo que bem configurados é que fica dificil e hosts virtuais você controlar o local onde ficam.

Hum... me deu uma ideia, um "hack" para colocar o "mainfile.php" debaixo da raiz.

Evite deixar os arquivos de configuração no raiz de seu Web site. No mais, fique tranquilo, não existe 100% de segurança na grande rede mesmo.

é, o lance é sempre fazer cópias de segurança dos arquivos e do db...

Mikhail Miguel    Postagens: 0

Nesta história toda o que mais me chamou a atenção foi a poluição visual do portal de suporte =P.

Agora sobre o hacking, acho que o cara foi discuidado porque o nuke também não é nenhum queijo suiço. Usei ele por 4 meses e não tive este tipo de problemas, exceto o server crash quando o portal cresceu demais, masa culpa foi do phpBB.

Mikhail Miguel  Membro De: Angra dos Reis, RJ, Brasil  Postagens: 2466

Johcker escreveu:
Nesta história toda o que mais me chamou a atenção foi a poluição visual do portal de suporte =P...

Qual site?

Agora sobre o hacking, acho que o cara foi discuidado porque o nuke também não é nenhum queijo suiço.

Hoje não é, mas "antigamente", Hehe... além disso, tem aquele velho problema da seurança dos módulos... mas isso vem desde a ápoca ds bbs's, quando fulano se apoximava do sysop para depois poder indicar uma plugin (como se chamava mesmo? door?) com uma door.

Usei ele por 4 meses e não tive este tipo de problemas, exceto o server crash quando o portal cresceu demais, masa culpa foi do phpBB.

Qual foi o limite?

Acho legal continuar a usar o newbb por enquanto, principalmente por ser integrado bem ao XOOPS, compartilhando até o sistema de imagens... quando/se crescer e de problema, aí rola trocar...

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 41 visitantes neste momento... (23 na seção Fóruns)

Associados: 0
Anônimos: 41

outros...

Banner XOOPS Cube