You are here

Siguria e PHP-NUKE

nani's picture

Pasi qe e lexova një postim nga Laurenti ne lidhje me sigurin e php-nukes, me shtyri qe te shkruaj ketu dhe te kerkoj ndihmë!

Si duket php-nuke pas një suksesi qe tregoj ka filluar te sulmohet kohëve të fundit !

Nuk me pelqen qe Albert Puigsech Galicia rekomondon shfrytezuesit e PHP-Nuke te migrojn!

Laurent, juve ma heret pate publikuar edhe dy artikuj per Sigurin e PHP-Nukes një Bug i rëndë sigurie në PHP-Nuke [www.alblinux.net] dhe tjetrin Albalinux.org defaced [www.alblinux.net].

Me të vertetë me kan shqetësuar pa masë, pasi edhe unë vet kam po të njejtin software qe e perdori per web-faqen time.

I shkarkova qe te dy file (mainfile.php dhe index.php) mirepo une e kam versionin e ri te php-nuke dhe nuk po më bën me mainfile.php qe e shkarkova.

A mos ke njohuri se ne versionin e ri 6.5 mainfile.php dhe index.php (News) vjen i përmirësuar ?

Poashtu desha t´iu pyes:
- si mund ta shikosh a ka pas tentime sulmesh ne web-faqen tuaj?
- çfarë scripti perdoret per zbulimin e IP ? - ku vendoset ai script?
- si ka mundësi qe edhe une ti kryej keto permirësime provizore?

Do të isha më shumë se i gëzuar poqëse mund te më pergjegjeni në keto pytje.

Ju pershendes.


[ Ky Mesazh është Modifikuar nga: nani në datën 17-05-2003 05:00 ]

Administratori's picture

Përshëndetje nani,

siguria, dhe sidomos siguria e një siti web, është një temë që ka nevojë për faqe të tëra për t´u shpjeguar.
PHP-Nuke është një nga sistemet CMS më të fuqishëm dhe nga ana tjetër më të thjeshtë për t´u përdorur dhe mirëmbajtur. Për fat të keq, shumë pjesë të tij janë shkruar pa i kushtuar rendësinë e duhur aspektit të sigurisë. Për këtë shkak, shumë zhvillues i kanë kërkuar Franciscos të bllokojë zhvillimin e PHP-Nuke dhe t´i kthehet rishkrimit të një pjese të kodit duke i kushtuar një rendësi të veçantë sigurisë. Deri tani F.B. nuk ka marrë akoma një vendim dhe po ecet përpara duke e ´arnuar´ herë pas here, në shumicën e rasteve pas dëmeve të pësuar. Sipas shumicës, kjo menyrë veprimi është e gabuar, prej këtu dhe thirrja e Galicia për të migruar në ndonjë sistem tjetër CMS, që dhe pse mund të mos jetë i lehtë në përdorim si PHP-Nuke, të paktën të jetë menduar dhe krijuar duke i venë gjithmonë rendësi sigurisë. Për fat, alternativat nuk mungojnë, dhe në varësi të përdorimit dhe qëllimit që ka siti juaj, mund të zgjidhni më të përshtatshmin.

P.s. Tani jam shumë i zënë, në darkë do të mundohem t´ju përgjigjem për pjesën tjetër të pyetjes suaj.

nani's picture

Laurent, vetem desha t´iu falenderoj për kohën qe keni ndar dhe më jeni përgjigj në disa nga pytjet e mija. Shpresoj të dëgjoj nga ju prap.

Ju pershendes.

Administratori's picture

OK nani, po vazhdoj me shpjegimet e pyetjeve të tjera.

Quote:
I shkarkova qe te dy file (mainfile.php dhe index.php) mirepo une e kam versionin e ri te php-nuke dhe nuk po më bën me mainfile.php qe e shkarkova.

A mos ke njohuri se ne versionin e ri 6.5 mainfile.php dhe index.php (News) vjen i përmirësuar ?


Files korrigjues që kam venë në dispozicion tek seksioni Downloads i AlbLinux funksionojnë

vetëm

me versionin 6.0 të PHP-Nuke. Përsa i takon versionit 6.5 (që unë kam vendosur të mos përdor) di që janë lëshuar deri tani N°. 3 Fix (korrigjues), që korrigjojnë difektet më të rëndë të versionit të ri 6.5, si dhe disa difekte dytësore (pa rëndësi). Në lidhje me exploit e fundit, nuk ekziston akoma një fix, por për fat të mirë, ky exploit ka sukses vetëm mbi sistemet që përdorin MySQL 4.x (që është versioni i ri i sever-it MySQL dhe është akoma pak i përhapur), kurse mbi MySQL 3.x nuk ka sukses dhe dëmet që mund të shkaktojë janë gati vetëm teorik.
Fix-et për versionin 6.5 të PHP-Nuke mund t´i shkarkosh nga

ky sit

, dhe gjithashtu mund të shkarkosh dhe një file të quajtur analyzer.php që kryen një kontroll automatik të instalimit të PHP-Nuke në kërkim të pikave të dobta dhe gabimeve në të drejtat e files.

Quote:

- si mund ta shikosh a ka pas tentime sulmesh ne web-faqen tuaj?
- çfarë scripti perdoret per zbulimin e IP ? - ku vendoset ai script?
- si ka mundësi qe edhe une ti kryej keto permirësime provizore?

Për këtë qëllim hyjnë në punë disa files të krijuar nga server-i web Apache, të quajtur logs. Për këtë qëllim Apache përdor një modul të posaçëm të quajtur

mod_log_config

, që kujdeset të krijojë dy files:

1-

error_log --> gabimet

Në brendësië tij gjenden të gjithë gabimet e ndeshura gjatë punës së përditshme të Apache. Në PC time ndodhet në /var/log/apache/error.log

2-

access_log --> logs e hyrjes

Këtu mund të gjejmë të gjitha kërkesat HTTP që klientët i dërgojnë severit. Pra është një file tepër i rendësishëm (/var/log/apache/access.log). M.q.s. një konfigurim i zakonshëm i apache është i formës:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{From}i\"" user
do të thotë që mund të gjejmë në access_log gati të gjitha të dhënat që na interesojnë, duke filluar nga host (%h) e kështu me rradhë.
Pra kur dikush lidhet në faqen tonë, ne duke kontrolluar file access.log jemi në gjendje të dimë se më kë kemi të bëjmë (në fakt nuk është 100% e vërtetë, por i afrohet të vërtetës).

Files e mësipërm mund të kenë përmasa të mëdha (varet nga numri i vizitave që ka faqja), prandaj ekzistojnë disa programe që merren me manazhimin e tyre (mund të përmend p.sh., WEBALIZER: <a href="http://www.webalizer.org" target="_blank" target="_new">http://www.webalizer.org</a>; ANALOG: <a href="http://www.analog.cx/" target="_blank" target="_new">http://www.analog.cx/</a>; AWSTATS: <a href="http://awstats.sourceforge.net/" target="_blank" target="_new">http://awstats.sourceforge.net/</a>, etj...), ose mund të krijojmë vetë disa script të thjeshtë që synojnë të nxjerrin jashtë vetëm të dhënat që na interesojnë.

Nga sa më sipër, mund t´i përgjigjesh dhe pyetjes se si mund të kuptojmë kur dikush mundohet të sulmojë. Pra, kaq për sot, pasi u zgjata shumë :-)

[ Ky Mesazh është Modifikuar nga: Administratori në datën 18-05-2003 00:23 ]

Administratori's picture

Harrova t´ju them vetëm që "GET /default.ida?XXXXXXXXXXXXX...." nuk është gjë tjetër veç firmës së një varianti të mirënjohurit "Code Red", që sikurse dihet është projektuar për të sulmuar sistemet operativë Windows, pra makinës sime Linux nuk i bën gjë tjetër veç rritjes së madhësisë së file .log :-) Por nga ana tjetër, shoh që ritmi është 1 skanim çdo 10 sekonda, pra numri i pc-ve të infektuar të fut frikën. Gati të njëjtë shpejtësi dhe përhapje ka dhe Nimda, një skanim në çdo 30 sek.

nani's picture

Paskam harruar te identifikohem para se te postoj ! :-)