Сообщений в теме: 367

[OXOTHUK]

Ну попробуй, залей шелл

http://sb-amb.ru/csbans

 

давай ты сначала исправишь уязвимости своего сервера - на котором данный сайт иначе не честно получится, твой сервер сам открывает двери для шелла (80% уязвимостей связаны с версией сервера - нужно обновить - которые дают минимум 8 вариантов атаки от тупого ddos до банального переполнения буфера)

 

1 - Уязвимость связанна с ошибкой внутри функции "ap_get_mime_headers_core()" при обработке заголовков.

2 -Уязвимость связанна с некорректным выводом данных в STDERR в mod_cgi. При посылке более чем 4096 байтов в STDERR Web-сервер  зависнет.

 

3 - Переполнение буфера в модулях mod_alias и mod_rewrite

4 - Возможет просмотр скриптов на web-сервере , атакующий может получить доступ к CGI скриптам, сохраненным в доступных для WebDAV и CGI директориях. Послав POST запрос к скрипту

5 -  самое банальное скрывайте полные пути скриптов на сайте http://sb-amb.ru/new/

 

исправь, после я с удовольствием протестирую муязвимости скрипта и дам рекомендательные советы, что то типа добавить индексный файл в папке assets , чтобы не дать просмотра папок и файлов http://sb-amb.ru/csbans/assets

 

где зная полный путь скриптов на сервере  можно многое начудить

и т.п.

Сообщение отредактировал OXOTHUK: 03 Ноябрь 2013 - 11:31

[Santiago]

90% хостингов используют ISPmanager. Раскрыть пути - не проблема.

Что ты сможешь сделать или узнать, попав в папку assets?

Про физические уязвимости машины или настройки веб сервера тут вообще речь не идет, я расцениваю это просто как отмаз

Ты просто возьми и начуди ИМЕННО через CSBans

Ты про эти уязвимости в каком году кстати узнал? Попробуй хоть одну использовать

[OXOTHUK]

ощущая негатив с твоей стороны. Правильно говорят не делай добра не получишь зла. Удачи тебе в стряпаньи скриптов, подожду пока по сети растрастранится.... как говориться не хочешь через голову понять будем через другое место вдалбливать.... неважно в каком году я узнал описанные уязвимости - факт в том что они присутствуют на твоем сервере, тут же и встречный вопрос как давно обновляли ПО сервера? тему можно закрывать.... продолжение будет  потом

[Santiago]

Я никакого негатива не проявляю. Я понимаю, что ты хочешь донести. Но кроме пустых слов я пока ничего не увидел. Ни одного залитого шелла, ни какой либо нагрузки на машину.

[OXOTHUK]

господи что за люди... и пальцем ткни ddos сделай чтобы в случае чаго на меня еще и дело можно было завести.....дам пример из рубрики сделай сам,    http://sb-amb.ru/csb...site/login.html

 

чередуй нажатие f5 и enter  быстро и увидишь 503, а ты мне говоришь древних уязвимостях, простой пример забивки буфера , о чем я писал выше, о каких нагрузках может идти речь если с 1 ip сервер не справляется с забивкой буфера посредством http flood? А если по 20 запросов в секунду  хотя бы с 50 ?

[Santiago]

Ну ты человек....

Просто слов нет...

Нгинекс выдает 503 чтобы апач не рухнул.. Ты просто смешен. Раньше я был более лучшего мнения о тебе....

Столько слов, я в шоке. Ты что вообще доказать то хочешь, что ты умнее всех? Или просто частенько почитываешь хабр в разделе Безопасность?

Я вообще не понимаю смысла ни в одном твоем сообщении.

Ты только говоришь, и говоришь далекооо не по теме.

Ты просто возьми и подтверди свои слова. Отвечаю, никаких мер с моей стороны предпринято не будет.

Иначе для меня ты простор будешь пустословом

Ты ещё подольше F5 подержи, тебя Fail2Ban забанит и ты будешь радостно прыгая в конвульсиях мнимой эйфории думать, что свалился мой веб сервер

[Santiago]

Архив обновлен. Исправлены все ошибки и недочеты.

[Spieler]

Архив обновлен. Исправлены все ошибки и недочеты.

Да, только вот на myarena он все равно не устанавливается, может админы решат этот вопрос? или onotole придется каждому вручную устанавливать его

[Santiago]

Да, только вот на myarena он все равно не устанавливается, может админы решат этот вопрос? или onotole придется каждому вручную устанавливать его

Я лично проверял установку на арене

[deronte]

То есть на серверах CS:S это не работает?

Просто дизайн на много приятнее чем SB.

[Santiago]

 

То есть на серверах CS:S это не работает?

Просто дизайн на много приятнее чем SB.

 

Ты прав

[Santiago]

Архив обновлен.
Исправлены ошибки добавления админов, назначения админов, ошибка удаления/разбана бана.
Изменено добавление бана.
Переписана выборка информации с серверов (теперь всё отображается правильно практически на всех хостингах, даже с самыми максимальными ограничениями)

[Spieler]

Архив обновлен.
Исправлены ошибки добавления админов, назначения админов, ошибка удаления/разбана бана.
Изменено добавление бана.
Переписана выборка информации с серверов (теперь всё отображается правильно практически на всех хостингах, даже с самыми максимальными ограничениями)

onotole в скайпе до вас не достучаться как обновить? просто с заменой всех файлов или нужно снести csbans и установить заново?

[Zep]

Архив обновлен.
Исправлены ошибки добавления админов, назначения админов, ошибка удаления/разбана бана.
Изменено добавление бана.
Переписана выборка информации с серверов (теперь всё отображается правильно практически на всех хостингах, даже с самыми максимальными ограничениями)

Платную тоже обновили?

[Santiago]

onotole в скайпе до вас не достучаться как обновить? просто с заменой всех файлов или нужно снести csbans и установить заново?

Заменяй все файлы кроме db.config.inc.php

Платную тоже обновили?

Да

[OXOTHUK]

Ну ты человек....

Просто слов нет...

Нгинекс выдает 503 чтобы апач не рухнул.. Ты просто смешен. Раньше я был более лучшего мнения о тебе...

думал не надо разжевывать... то что nginx у тебя на 80 порту - это ясно... я говорил про сервер, а не про кеширующий прокси, т.е. про 81  порт как раз там где у тебя апач восседает

[Spieler]

Заменяй все файлы кроме db.config.inc.php
Да

Александр а можно в бесплатной версии убрать кнопку купить разбан? а то ведь тыкать начнут)

[Santiago]

Александр а можно в бесплатной версии убрать кнопку купить разбан? а то ведь тыкать начнут)

Уже убрал из архива =)

[Spieler]

Уже убрал из архива =)

опять обновлять?

 

UPD: обновил теперь вместо банлиста чистая страница)))

Сообщение отредактировал Spieler: 16 Ноябрь 2013 - 11:37

[Santiago]

опять обновлять?

 

UPD: обновил теперь вместо банлиста чистая страница)))

Нельзя начинать работать не позавтракав =)) Исправил