مشکل امنیتی نیوک (باگ SQL)

در این بخش میتوانید مشکلات و سوالات مربوط به نیوک 8.3 را مطرح کنید.
vahidmaster
کاربر فعال
کاربر فعال
پست: 429
تاریخ عضویت: دوشنبه ۸ آذر ۱۳۸۹, ۱۲:۰۰ ق.ظ
محل اقامت: تهران
تشکر کرده: 104 دفعه
تشکر شده: 135 دفعه
تماس:

مشکل امنیتی نیوک (باگ SQL)

پست توسط vahidmaster »

با سلام .
امروز به بخش ویرایش مدیران مراجعه کردم و متوجه شدم یوزری با تمامی سطوح دسترسی ایجاد شده با نام fortest . خوشبختانه فایل ادمین رو تغییر نام داده بودم همچنین محتوای فایل ادمین را بطور تمام حذف کردم . (هر موقع نیاز داشتم فایل ادمین اصلی رو آپ میکردم تا به پنل دسترسی داشته باشم)
این کار بنده باعث شد تا هکر موفق نشه به پنل مدیریت دسترسی پیدا کنه و شل خود را آپلود کند .
دلیل هک باگ SQL است که اخیرا به وجود اماده و طی بررسی‌های من خیلی از سایت‌های نیوکی به این روش هک شدن .
از مدیران خواهشمندم هرچه سریعتر به پچ این باگ اقدام کنند . خودم در حال بررسی هستم تا باگ مربوطه را پیدا و پچ نماییم .
ورژن نیوک من 8.3.7

باید نقل قولی داشته باشم از آقا محمود نامور که برای نیوک زحمت زیادی کشیدن .
announces/topic-t71291-255.html#p417520
iman64 نوشته شده:بله متأسفانه از طریق به دست آوردن رمز مدیریت این قسمتها براشون فعال شده. این مربوط به اصلاحیه نیست باید رمزها رو عوض کنین و یه چیز ساده هم نزارین.
سیستم چک کننده رو اگر دوستان بلد باشن ازش استفاده کنن خیلی راحت میتونن هر فایل شلی رو پیدا کنن. منتها یکم حوصله میخواد. من وردپرس و جوملا رو هم باهاش پاکسازی کردم.

آقا نامور رمز عبور من بسیار طولانی ، سخت و پیچیده هست در حدی که داخل فایل تکس قرار دادم . هروقت لازم بشه کپی میکنم .
لطفا بررسی کنید 100٪ از طریق باگ SQL این مشکل به وجود آمده . اگر هکر دسترسی به پنل ادمین نداشته باشه ، میتونه داخل پست‌ها تغییرات ایجاد کنه .

***********************************************
آخرین بررسی‌های انجام شده .
مشکل عضویت نیوک
طریقه هک ارسال هدر جعلی در هنگام ثبت نام و ارسال آن به تیبل ادمین .
تیم امنیتی گرین اسکین در حال بررسی هستند تا بتونیم این مشکل رو برطرف کنیم . فعلا عضویت نیوک رو غیر فعال کردم .
دوستان تا ارائه پچ ماژول Your Account رو غیر فعال کنید .
از فایل ادمین خود بک‌اپ تهیه کنید . کدهای فایل ادمین را حذف نمایید . هر وقت نیاز به دسترسی داشتین فایل ادمین رو آپلود کنید .
موفق باشید .


قالب سبز به روزترین مرجع قالب و ابزار وبمسترها
به روزترین مرجع طراحی سایت
طراحی حرفه ای قالب نیوک 8.3 - 8.4
www.GreenSkin.ir

نمایه کاربر
amir
مدیر کل سایت
مدیر کل سایت
پست: 6244
تاریخ عضویت: شنبه ۲۱ بهمن ۱۳۸۵, ۱۲:۰۰ ق.ظ
محل اقامت: Server room
تشکر کرده: 343 دفعه
تشکر شده: 4052 دفعه
تماس:

Re: مشکل امنیتی نیوک (باگ SQL)

پست توسط amir »

سلام
مطمئن بشید که فایل های 8.3.7 عینا جایگزین شده باشه (محض اطمینان فایل ها رو reupload کنید مخصوص محتویات شاخه ماژول رو ،
ماژول ارسال خبر یا همون submite_news رو غیر فعال کنید.
اگر سرور اختصاصی یا نیمه اختصاصی دارین ترجیحا mod_security رو کانفیگ کنید و اگر رو سرور اشتراکی هستید از مسئولین سرور بخواین این افزونه رو فعال منن و رول Sql injection فعال باشه.
از ارسال پست های تبلیغاتی در انجمن های نیوک فارسی خودداری فرمایید.
vahidmaster
کاربر فعال
کاربر فعال
پست: 429
تاریخ عضویت: دوشنبه ۸ آذر ۱۳۸۹, ۱۲:۰۰ ق.ظ
محل اقامت: تهران
تشکر کرده: 104 دفعه
تشکر شده: 135 دفعه
تماس:

Re: مشکل امنیتی نیوک (باگ SQL)

پست توسط vahidmaster »

amir نوشته شده:سلام
مطمئن بشید که فایل های 8.3.7 عینا جایگزین شده باشه (محض اطمینان فایل ها رو reupload کنید مخصوص محتویات شاخه ماژول رو ،
ماژول ارسال خبر یا همون submite_news رو غیر فعال کنید.
اگر سرور اختصاصی یا نیمه اختصاصی دارین ترجیحا mod_security رو کانفیگ کنید و اگر رو سرور اشتراکی هستید از مسئولین سرور بخواین این افزونه رو فعال منن و رول Sql injection فعال باشه.

با سلام اطمینان کامل دارم اما چشم حتما جایگزین میکنم . فعلا پنل ادمین رو غیر فعال کردم . ماژول کاربران رو غیر فعال کردم . طرف یوزر ساخته و دسترسی ادمین داده . بخش کاربران اگر میشه بررسی کنید . منم بخش کانفیگ رو به مدیران سرور گزارش میدم .
با تشکر
قالب سبز به روزترین مرجع قالب و ابزار وبمسترها
به روزترین مرجع طراحی سایت
طراحی حرفه ای قالب نیوک 8.3 - 8.4
www.GreenSkin.ir

vahidmaster
کاربر فعال
کاربر فعال
پست: 429
تاریخ عضویت: دوشنبه ۸ آذر ۱۳۸۹, ۱۲:۰۰ ق.ظ
محل اقامت: تهران
تشکر کرده: 104 دفعه
تشکر شده: 135 دفعه
تماس:

Re: مشکل امنیتی نیوک (باگ SQL)

پست توسط vahidmaster »

سلام بررسی شد .
فایل رو جایگزین کردم حجمشون فرق داشت . احتمالا جایگزین نشده بوده . فقط ماژول submite_news رو هم بررسی کنید . اگر مشکلی داشت تیم خودم برطرف کرد قرار میدم .
قالب سبز به روزترین مرجع قالب و ابزار وبمسترها
به روزترین مرجع طراحی سایت
طراحی حرفه ای قالب نیوک 8.3 - 8.4
www.GreenSkin.ir

نمایه کاربر
amir
مدیر کل سایت
مدیر کل سایت
پست: 6244
تاریخ عضویت: شنبه ۲۱ بهمن ۱۳۸۵, ۱۲:۰۰ ق.ظ
محل اقامت: Server room
تشکر کرده: 343 دفعه
تشکر شده: 4052 دفعه
تماس:

Re: مشکل امنیتی نیوک (باگ SQL)

پست توسط amir »

سلام
اون فایل اصلاح شد در زمان ارئه اصلاحیه و مشکلش برطرف شده

تاپیک قفل میشه
از ارسال پست های تبلیغاتی در انجمن های نیوک فارسی خودداری فرمایید.
قفل شده قفل شده

بازگشت به “[8.3] پشتیبانی - phpNuke Support Forum”