سايت هايي كه هنوز patch نشدن!!!

arya_0101 · Jul 4, 2004

انگيزه ارسال اين مطلب فقط توجه مديران سايت ها به امنيت phpnuke براي جلوگيري از نفوذ افراد فرصت طلب ميباشد‌:
تعداد محدودي از 10 ها سايتي كه از phpnuke استفاده ميكنند و هنوز patch نشده اند (منظور از patch نسخه 2.5 و باگ هاي معروف 26 june ميباشد):
براي اينكه امتحان كنيد سايتي patch شده از يكي از كدهاي زير استفاده كنيد

کد:

modules.php?name=Statistics&op=convert_month  
يا
modules/Web_Links/voteinclude.php

ehsanets :

کد:

Call to undefined function: convert_month() in /home/ehsanets/public_html/modules/Statistics/index.php

zanjansite :

کد:

Call to undefined function: convert_month() in /home/zanjan/public_html/modules/Statistics/index.php

iranportals

کد:

No such file or directory in /home/irandoct/public_html/modules/Web_Links/voteinclude.php

rashtmarket :

کد:

Call to undefined function: convert_month() in /home/rashtmar/public_html/modules/Statistics/index.php

inforave

کد:

Call to undefined function: convert_month() in /home/inforave/public_html/modules/Statistics/index.php

در صورتي كه سايتي واقعا بروز باشه هنگامي كه شما درخواست زير رو ميكنيد :

کد:

[url]www.target.com/modules/Web_Links/voteinclude.php[/url]

پيغام زير مياد :

کد:

You can't access this file directly...

درست كه در phpnuke همه باگ هايي كه ميان نميتونه خيلي خطرناك باشه اما بعضي وقت ها پيغام هاي خطا حاوي اطلاعات مفيدي هستند استفاده از phpnuke يك ريسك محسوب ميشه هر چند كه امكانات زيادي داره ولي پر باگ ترين CMS دنياست شما مدير محترم در صورتي كه به امنيت سايت خودتون اهميت ميدين سعي كنيد هميشه از اخرين اخبار حفره هاي phpnuke با خبر بشيد براي اين كار ميتونيد از سايت www.securityfocus.com بهره ببريد و براي patch كردن phpnuke شما بهترين سايت www.nukeresources.com هست
اگه ميخواستم نقاط ضعف بعضي از سايت هاي بالا رو اينجا بنويسم شايد خود مديرانش هم باور نميكردن كه چقدر phpnuke نا امني دارن سعي ميكنم به صورت پيغام شخصي باگ هاي خطرناك سايتشون رو براشون بنويسم

sarallah · Jul 4, 2004

عزيز ممنون ولي ورژن نوك سايت من هنوز 6.5 هستش و سايت اصلي در دست ساخته

ehsan-ets · Jul 5, 2004

دوست عزيز خيلي ممنون از تذكرت
ولي اگر مي شه يه سري سوال رو جواب بده:
اول از همه من اون كدايي كه اول گفتي رو اجرا كردمُ اولي كه همون جمله اي رر كه گفتي داد ولي دومي ارور ديتابيس داد.
در ضمن اين چه فايده اي داره(چي جوري مي شه ازش استفاده كرد؟؟) (البته اگر تونستي برام پي ام بزن چون حداقل سايتم مي خوام سرپا باشه

)
با تشکر

arya_0101 · Jul 5, 2004

سلام دوستان
اقا احسان مشكل سايتتون رو بصورت پيغام شخصي براتون فرستادم :wink:

اگه به ادرسي كه دادم برين ميبنيد كه يك پيغام خطاي ساده چقدر ميتونه خطرناك باشه

انصافا خيلي بچه ها شرمنده كردن منو خوشحال كه افتخار اشنايي با چند تا مدير خيلي منطقي و خلاصه با مرام رو داشتم سعي ميكنم مشكلات امنيتي سايتاشون بهشون pm بدم
ديگه دوران هك شدن سايت هاي نيوك بايد تموم بشه اينكار شدنيه به شرطي كه تمام اصول امنيتي رعايت بشه تاكيد ميكنم بفكر patch كردن سايتتون باشيد

amirhossein1367 · Jul 5, 2004

سلام
آقاي arya_0101 عزيز مي توني به من هم كمك كني amirhossein_kh2006 آدي منه www.donyayema.com
هم سايتم كه شما اسمشو برديد

amirhossein1367 · Jul 5, 2004

اگه مي شه به من هم يه پيغام شخصي بفرست و راهنماييم كن

a3m00n · Jul 5, 2004

با درود
دوست گرامی arya_0101 سپاس که این مسئله را مطرح کردید سوال من این است که من پچ فارسی را دریافت کردم اما مشکل این است اگر قرار باشد که کلیه فایلها را تعویض کنم تغییراتی که قبلا در فایلهای مختلف دادم همه بهم میخورد و من مجدد باید که آنها را ویرایش کنم آیا راه دیگری دارد بجای جایگزین کردن فایلهای قدیمی با فایلهای جدید :cry:

با سپاس

پیروز و سرفراز باشید

sarallah · Jul 6, 2004

a3m00n جان اين اين باگها فقط مسير قرار گيري سايت رو در سرور مشخص ميكنه و چيزه خيلي مهمي نيست
و حالا كه شما ميخواي patch ها رو اعمال كني بدون اينكه نظم سايتت بهم بخوره ميتوني اونها رو بصورت دستي اعمال كني
براي اين كار شما به لينك زير بريد
http://www.nukefixes.com/modules.php?name=Forums
و بعد هم به قسمت Nuke Patched Changelog
در اين قسمت هميشه آخرين تغييرات امنيتي نوك رو ميگن كه شما ميتونيد بطور دستي اونها رو اعمال كنيد

براي مثال به لينك زير بريد و تغييرات گفته شده رو انجام بديد :
http://www.nukefixes.com/ftopic-628-0.html

a3m00n · Jul 6, 2004

با درود
مثل همیشه خیلی آقائی سارالله عزیز من فکر میکنم که منظور شما اگر اشتباه نکنم همان تاپیکی که چندی پیش معرفی کردید است اگر درست است که من آن لینکها را رفتم و به تغییراتی که گفته شده بود عمل کردم اما با این حال مجدد سر میزم با سپاس

پیروز و سرفراز باشید

amirhossein1367 · Jul 6, 2004

دوستان عزيز آقاي arya_0101 يه پيغام داره كه به اطلاعتون مي رسونم
همه دوستان مي تونن از پچ امنيتي سايت مشهد تيم كه براي phpnuke7.3 گذاشتن استفاده كنن و اين پچ مشكلي نداره و به همه مي خوره در ضمن گفتن mainfile رو آخر بار دانلود كنيد و همين طور فايل class_sql_inject در شاخه includes باز كنيد و ميل خود را وارد كنيد در اين صورت هر كس قصد هك كردن سايت شما را داشته باشد مشخصات او به ميل شما ارسال مي شود.
متشكرم

a3m00n · Jul 6, 2004

با درود
امير حسين عزيز من اون فايل را از همانجا دريافت کردم و همانطور که در پست بالا گفتم اگر بخواهید آن پچ را اجرا کنید تمام تغییراتی که در فایلها دادید از بین میرود و باید مجدد فایلهائی که تغییرات دادید ویراش کنید که برای من که کلی از فایلها را برای کارهای مختلف ویرایش کردم بسیار سخت است و از راهی که سارالله عزیز گفتن بسیار راحت تر میباشد استفاده از این پچ برای کسانی که تغییری ندادن و تنها لازم است که فایلهای جدید را با قدیمیها جایگزین کنند خوب و راحت است :cry:

پیروز و سرفراز باشید

arya_0101 · Jul 6, 2004

امير حسين جان ممنون درست شد الان ميتونم مطلب بنويسم
دوست عزيز a3m00n شما و بقيه دستان كه امكان نصب patch نداريد اينجارو بخونيد فايل هايي كه بايد ويرايش بشه نوشته :
http://mashhadteam.com/modules.php?...193&sid=ef7cdcb7f34dd63a423214d99e717c10#4193

بقيه هم ميتونن از patch 2.5 فارسي مشهدتيم استفاده كنن من امروز تست كردم هيچ مشكلي نداشت براي اطلاعات بيشتر اينجارو بخونيد :
http://www.mashhadteam.com/modules....190&sid=c997053ebf86be6146049a7a6ae8457a#4190
فقط براي سيستم امنيتش بايد فايل hackattempt.php ويرايش بشه و ايميل خودتون بدين

a3m00n · Jul 7, 2004

با درود
آريا عزيز سپاس از توضیحات و پیغامتان من این کدها را تعویض کردم اما هنوز اون ارور را دارم بهر حال دستت درد نکنه و سپاس فراوان

پیروز و سرفراز باشید