Tā kā esmu jau aizmirsi, kas man tikai nestāv atveru FTP klientu, lai paskatītos direktoriju saturu.

Identificēju trīs izstrādes lapas, kuras jau ir nodotas un tātad tās var dzēst ārā. Tā kā miglaini atceros, kuras tās bija, tad ar lielu interesi ievadu pirmo:

http://dll.lv/test

Un mani sagaida brīnums

Neliels pārsteigums…

Pārējās lapās izmaiņas nav konstatētas un tās tiek izdzēstas

Gribu saprasta kas un kā.

Skatos failu struktūra vietā, bet ir parādījies jauns fails index.html (faila izveidošanas datums 17.03.2010- tāda vairāk kā mēnesi atpakaļ ), lai tas netraucētu gaisu pārsaucu par index.html1.

Skatāmies, kas notiek ar pašu joomla: Izskatās, ka arī datubāzi izdzēsis- atveru phpmyadmin un tiešām:

Paskatos joomla config failu:

Tas atbild uz jautājumu, kāpēc nav izdzēst viss pārējais- katrai testa sistēmai veidoju vienu  datubāzi un vienu lietotāju, kuram pieeja ir tikai konkrētai datubāzei. Izskatās, ka tas mani ir arī paglābis un brīnumdaris nenonesa pilnīgi visu.

Nav miera un gribu paskatīties dziļāk:

• Joomla logs izdzēsts ar visu datubāzi
• Skatos Apache access log-  ieraksti ir pieejami tikai par pēdējo mēnesi, un līdz 17. maijam vairs nesniedzas. Izmainu konfigurāciju, lai turpmāk visus vecos log failus saarhivē un saglabā (iespējams noderēs, bet ceru ka nē ).
• Skatos error_log- arī nekā.

Hosters piedāvā webalizer un awstat:

• No webalizer kādu sakarīgu info izdabūt neizdodas.
• Awstat-

1. no sākuma intresē, kā viņš ir mani uzgājis- pārbaudu meklētājos izmantotos keywords un keyphrases, par februāri un martu, bet nekā aizdomīga neatradu. Sagaidīju atrast kaut ko līdzīgu “joomla include “”", vai ko tamlīdzīgu.
2. Skatos, ko mēs varam sazīmēt saistībā ar IP adresēm- iegūstu IP adrešu sarakstu par martu un februāri, tomēr šis saraksts neuzrāda apmeklējuma dienu, līdz ar to nav īpaši noderīgs, ja vien netaisos pārbaudīt katru IP atsevišķi- ko es noteikti nedarīšu, jo tas ir pārāk laikietilpīgi (bet ja būtu noticis kas nozīmīgs, iespējams, arī būtu sācis pārbaudi).
3. Skatos apmeklētās lapas par februāri un martu- ir apmeklēta tikai http://dll.lv/test/, bet http://dll.lv/test/administrator nav apmeklēta. Dīvaini- jo biju izvirzījis hipotēzi, ka uzlaušana notika, jo administratora parole testa videi bija triviāla, bet ja administrēšanas lapa netika apmeklēta šis pieņēmums neapstiprinās.
4. Meklētās lapas, kuras netika atrastas vai atgrieza kļūdas paziņojumu- nekas interesants saistībā ar testa vidi, bet skatoties atklājās, ka kāds ir meklējis arī ievainojamības pašā blogā. Uz to norāda, piemēram šādi ieraksti:

///administrator/components/com_virtuemart/export.php
/wp-content%20%C2%BB%3Ca%20href=
/guestbook/public/paypal.fr/webscrcmd=_login-run/cgi-bin/login/Confirm.php
/_vti_bin/owssvr.dll
//path/authentication/phpbb3/phpbb3.functions.php
utt.

5. Skatos ārējos refferers un starp tiem aizdomīga ir tikai http://www.sa-hacker.com/vb/showthread.php.

Izskatās, ka esmu kaut ko uzķēris un droši veru lapu vaļā, bet ir aplauziens- viss ir arābu valodā un lai arī kaut ko redzētu ir nepieciešams reģistrēties. Reģistrācijai palīdz google tulkotājs, jo no tiem ķeburiem neko saprast nevar (ja kādam ir intrese par turieni paložņāt- user: zumzum, pass:zumzumzum, email:zumzum@spam.la). Izmeklējos par forumu, bet tomēr neko sakarīgu neatradu.

Kāds tad ir sausais atlikums?

Pēc analīzes secinu, ka ir izdzēsta datubāze, izveidots viens jauns fails, bet pārējā failu struktūra nav mainīta vai dzēsta.

Diemžēl nesanāca atklāt kādā veidā šis brīnums tika pastrādāts un līdz ar to neko prātīgu ieteikt neizdodas (iespējams bija novecojusi un bug -aina joomla vai tās komponente (tas gan mazticams, jo webalizer neuzrādīja apmeklētas kādas lapas, piemēram: dll.lv/test/component/crack.php?upload…) versija).

No šiem meistariem neesam pasargāti, bet, lai mazinātu to ietekmi:

• taisām backup
• katrai sistēmai izdalām savu DB un atsevišķu lietotāju, kuram nav piekļuve citām datubāzēm.
• saglabājam auditācijas pierakstus ilgāk..
• vienmēr uzstādam pēdējos drošības ielāpus
• ja ir iespēja uzstādīt papildus perimetra aizsardzību, piemēram, revers proxy
• ja gadījies kāds incidents, tad to iespēju robežās izmeklējam un izdarām secinājumus, nevis ignorējam un ceram, ka tas neatkārtosies.

PS.
Tagad laikam ir īstais brīdis pateikt ko es domāju par šiem brīnumdariem- neko labu.

Manās acīs tie ir visādi mūdži, kuri nodarbojas tikai ar savu ģenitāliju staipīšanu.
Cita lieta ir drošības speciālisti, kuri atklāj, konsultē un palīdz novērst (par naudu- protams) drošības ievainojamības vai ari hackeri, kuri iegūto informāciju izmanto ekonomisku labumu gūšanai, piemēram, izpirkuma maksas pieprasīšanai vai citas informācijas iegūšanai, ar kuru pēc tam operējot var uztaisīt skanošo- piemēram, kā ukraiņu hakers.

Bet vienkārši atrast lapu ar konkrētu ievainojamību, to izdzēst, nemaz neiedziļinoties kam tā pieder un kam tā kalpo?? Tas, manuprāt, ir zem jebkāda goda, kaut palasot pievienotās rindiņas index failam- šim cilvēkam no Palestīnas tāda nemaz nav bijis kopš dzimšanas:

I aM: A FrEe PaLeStIn!aN’s HaCK3eR

I DoN’t ApPeAr InTelLeGaNcE, BuT I AiM To DeStRoY InTeLlEgAnT

DoN’t ChAlLeNg A PeRsOn WhO HaS N0N To LoSe

PlAyInG WiTh Ch!LdReN DoSeN’t EnTeRtA!N Me

AdM!n DoN’t CrY….. CrY!Ng Is N0T A MaN’s ShArM

Pirmais, kas ienāca prāta bija uzrakstīt plugin priekš wordpress, kas ļautu ievietot komentārus ar draugiem.lv pasi.

Tā apņēmības un entuziasma pilns jau ķēros pie darba, kad ienāca prātā iemest google vai kāds meistars jau nav pacenties un vai netaisos izgudrot divriteni otrreiz..

Par nožēlu priekš manis pirmais rezultāts ievadot draugiem.lv pase wordpress izlec Ģirta Upīša rakstītais plugins.

Žēl..

Apskatot pēdējās relīzes (pagaidām divas 1.0 un 1.1) datumu- 2010.04.13 izdaru secinājumu, ka nokavēju tikai nedaudz.

Kāpēc šī ideja neienāca 1 mēnesi atpakaļ?

Nekas domāsim tālāk kā izpausties brīvos brīžos.

Kā vienīgais risinājums man ienāca prātā javascript.

Iespējams kādam tas liksies gaužām vienkārši, tomēr man, kas ir “uz jūs” ar javascript izveidot šīs pāris rindiņas bija diezgan ķepīgi un laikietilpīgi.

Nu tad, lūk, pati funkcija un paskaidrojumi:

Protams, aizvietošana nenotiks, ja pārlūkā būs atslēgts javascript .

Šo funkciju, nedaudz pamainot, var pielāgot daudz biežāk sastopamai situācijai, kad nepieciešams vienkārši aizstāt vienu rindu ar otru.

Iestatījumi->Diskusijas ierakstot papildus frāzes vai IP adreses, kas liecinās par spamu. Dažas adreses, kuras nomocīja mani:

194.8.75.149

194.8.75.163

87.118.118.133

194.8.74.220

92.112.

92.113.

Bet pavisam nejauši uzdūros vecam pods.lv rakstam, kurā vienkārši ieteikts ar javascript palīdzību pamainīt komentu saņemšanas lapas adresi. Piemērs rakstīts wordpress, bet to tik pat vienkārši var pielāgot jebkurai citai lapai.

Kas tādā veidā tiks izdarīts?

Ja nebūs ieslēgts javascript atbalsts, tad ievadot komentāru tas tiks padots citai lapai, piemēram, /spaamms/ nevis comments.php. Tas sniedz rezultātu, jo daudzām spamotāju sistēmām nav ieslēgts javascript.

Lai izskatītos korektāk var arī izveidot šādu lapu ( dll.lv/spaammss), kurā populārzinātniski paskaidrotu, kas noticis.

Papildus tam pirms komentēšanas formas tiks izvadīs paziņojumu, ka jābūt ieslēgtam javascript, lai komentētu.

Lai to izdarītu atrodam wordpress templeita comments.php failu, kas atrodas “web root/wp-content/themes/temas_nosaukums/comments.php”

Atrodam šādu rindiņu:

un aizstājam to ar:

Papildus tam, lai daži spamotāji pa taisno neievietotu komentārus, nomainīju komentāru apstrādājamā faila nosaukumu tai pašā failā:

uz:

un, protams, tad arī pats komentāru apstrādājošais fails jāpārsauc- atrodas web root/wp-comments-posts.php uz wp-comments-post_n123.php

Es tagad tiešām ceru, ka ar to pietiks…

function griezam($Content,$str_pirms,$str_pec){

$garums_pirms=strlen($str_pirms);
$pec = strstr($Content, $str_pirms);
//nogriežam visu lidz sakumama
//nomemam visu lidz firmai
$pec= substr(“$pec”, $garums_pirms);
//nogriežam
$pec1=strstr($pec, $str_pec);

//saskaitam cik ir atlikusaja rinda un pirms nogriezt beigas
$sk_pec=strlen($pec);
$sk_pirms=strlen($pec1);

$sk=$sk_pec-$sk_pirms;

$rezultats=substr(“$pec”, 0,$sk);

echo “$rezultats”;
}

//ierakstam lapu no kuras gribam izgriezt kaut ko

$Content = file_get_contents(“http://dll.lv”);

//ierakstam stringu kas ir pirms vēlamā elementa. Piemers ir vienkārš, tai pat laikā tā vietā var būt piemēram <div style=”color:#00FF00″>,  galvenais, lai tas būtu pirmais unikālais un beidzas pirms vēlamā

$str_pirms=’<title>’;

//ierakstam stringu, kas ir pec velamā elementa

$str_pec = ‘</title>’;

//izsaucam funkciju

griezam($Content,$str_pirms,$str_pec);

Tēmas un plugini- tēmas veido wordpress izskatu un to komponenšu izvietojumu, ko iespējams mainīt atkrībā no izvēlētās raksta sadaļas(piemēram izmantojot funkciju in_category($category_id)) vai konkrētās lapas, kā arī plugini ļoti papildina wordpress funkcionalitāti, tomēr saglabājas  ierobežojumi:

• Veidojot rakstus- tie tiek attēloti pēc publicēšanas datuma- vienmēr jaunākais raksts būs pirmais un atradīsies augšpusē. Tas var traucēt, ja gribat kādu rakstu paturēt lapas augšpusē un nevēlaties izvietot pirmajā lapā statisku ierakstu vai mainīt jaunajiem ierakstiem izveidošanas datumu.
• Veidojot lapas- tās nevar piesaistīt rakstu kategorijām un to saturu nevar attēlot starp rakstiem. Ja gribās lapas ierakstu, kas arī attēlosies zem kādas no sadaļas, tad nāksies izveidot arī rakstu ar identisku saturu

Tādēļ, lai izveidotu sev nepieciešamo funkcionalitāti var izveidot savu pluginu vai arī papildināt kādu sadaļu ar sev vajadzīgo izpildes kodu(php).

Lai to varētu izdaŗīt ir nepieciešams spaudnis: Exec-PHP

Tā uzstādīšana ir samērā vienkārša, tomēr prasa ievērot dažus noteikumus-

1. Iestatījumi->rakstīšana ir jāatslēdz- WordPress iespēja automātiski izlabo nekorekti ievietotos XHTML kodu

2. Raksts jāraksta neizmantojot WYSIWYG editoru, lai to atslēgtu jāiet Lietotāji->kuram_lietotajam_atslegt un jāieslēdz opcija- Disable the visual editor when writing

3.Atslēgt kaitinošo brīdinājumu rakstot rakstus var Lietotāji->kuram_lietotajam_atslegt un pašā apakšā ir opcija, kura jāieslēdz.

Tagad rakstot jebkuru rakstu un gribot tam piešķirt papildus funkcionalitāti nepieciešamajā vietā var rakstīt <?php echo “Esam zirgā!”; ?>

Nepieciešamo mainīgo apmaiņa notiek ierastajā veidā:

http://dll.lv/tests/?page=2

un saņemt mainīgos var:

if(isset($_GET['page']))
{
$pageNum = $_GET['page'];
}

http://www.pinyin.info/tools/converter/chars2uninumbers.html

Formā ieraktām konvertējamo tekstu un spiežam konvertēt

<?
$URL="http://localhost/…";
header ("Location: $URL");

?>

Taču gadījumos, kad jāaizsūta uz citurieni izpildāmā koda vidus daļā(pie noteiktiem notikumiem), nekas neatliek kā izsaukt javascript:

echo “<script language=\”javascript\”>”;
echo “window.location = \”http://localhost/…”;
echo “</script>”;

Tas gan nenostrādās, ja pārlūkā būs atslēgts javascript

Online logo izveidot var šādā adresē:

http://www.web20badges.com/

Kā arī to var izdarīt ar dažnedažādiem rīkiem, kas atļauj saglabāt ico formātā.

Visvieglākais veids to ir izdarīt izmantojot Windows Paint, saglabājot izvēlēties nosaukumu favicon.ico

un Save as type paliek: 24-bit Bitmap (*.bmp;*.dib)

Jāatceras, ka logo izmēram priekš web jābūt 16*16 pixels

To visu jāiekopē lapas root direktorijā un index lapai starp <head></head> tagiem jāiekopē:

<link rel=”shortcut icon” href=”/favicon.ico” type=”image/x-icon” />

Izstīram pārlūka iekešoto lapas atmiņu un priecājamies par rezultātu..

Varot arī pievienot gif failu, tikai tad jāpievieno index lapai šāds kods:

<link rel=”icon” href=”favicon.gif” type=”image/x-icon”> 
<link rel=”shortcut icon” href=”favicon.gif” type=”image/x-icon”>

//Atgriezt adresi pēc tam var:

$url=curPageURL();