Flatnux CMS

Open Source Content Management System

Login



 stay connected
Password recovery
Register

Search

Search:
Make a donation to the project:

Newsletter

To get our newsletter please enter your email and click on ”subscribe”. If you want to cancel the newsletter please enter your email and click on ”remove”

Forum->Flatnux->hacking site with flatnuke3
  
Welcome Unknown Register Help383 Users

User Message


Mr_Jack

0 Level 0 10

levellevellevellevellevellevellevellevellevellevel
profile mail home
Tuesday 29 January 2008 - 13:50

hacking site with flatnuke3:
salve a tutti è da parecchio che nn mi connetto a questo forum e vorrei chiedere delle delucidazioni per quello che riguarda la sicurezza del proprio sito powered flatnuke3/flatnux

Ieri 28-01-2008 dopo aver ricevuto parecchie chiamate da amici la quale mi riferivano che il mio sito powered flatnuke3 era stato hackerato da un tipo che per segnalare i bug del cms sè presa la briga di eseguire l'attacco e non solo si è limitato a bypassare la protezione del CMS, ma si è anche divertito a insultarmi alla grande,sè fatto il backup del sito(quindi se lè anche scaricato)...

io a codesto utente l'ho diciamo rovinato in parte(ora sta a lui decidere cosa fare se vuol essere rimosso la denuncia) e lui non contento continua con le sue minacce che a me nn fanno nessuna paura(ho la legge dalla mia parte,in quanto il suo gesto io lo ho catalogato come violazione della privacy e come ben sappiamo è punibile legalmente).

Ha usato uno script prelevato dal sito evilc0der.com ,naturalmente non mi son stato con le mani in mano e ho cercato info relative a questo utente che tral'altro usa FLATNUKE del vellei per il suo sito,sono risalito anche a info piu dettagliate sul suo conto...ma questo a voi nn interessa...ora passiamo alla domanda:

Con il Flatnux cè qualche miglioria in settore sicurezza o è sempre vulnerabile come la versione di MAGGIO 2007?!?!?! (è la relaese che avevo sul sito in cui mi hanno fatto l'attacco).

PS. per alex se vuoi ti invio i file aggiunti dal cracker nel mio sito in modo che te possa trovare una soluzione per far fine a questi abusi da parte di quell'utenza che basta che sa fare un SQL injection per autodefinirsi CRACKER/HACKER...


Per me la PRIVACY ha la priorità su tutto e se questa viene a mancare preferirei usare altro(tipo joomla,phpnuke8.1,maximus,ect anche se questi sono ultra difficili da cfg....io odio mysql...me piaceva il flatdb,ma se nn ci sono certezze sulla sicurezza preferirei iniziare da 0 e studiarmi quello che ODIO) per fare i miei siti.

Attendo risposte prima di uppare il nuovo sito(quello attaccato l'ho deletato dopo che ho rincoglionito per recuperare le pass di ALTERVISTA)



speleoalex

0 Level 10 10

levellevellevellevellevellevellevellevellevellevel
profile mail
Tuesday 29 January 2008 - 16:05

Re: hacking site with flatnuke3:
Sei riuscito a capire quale vulnerabilità ha sfruttato?
Quelle scoperte dovute al filemanager sono state risolte con le ultime versioni (novembre 2007 in poi).
Esistono poi alcune vulnerabilità che derivano solamente da alcune sezioni o blocchi installati post installazione.
In quel caso è sufficiente eliminarli.
Tieni comunque conto che la sicurezza assoluta è praticamente impossibile con qualsiasi cms.



Alessandro





Mr_Jack

0 Level 0 10

levellevellevellevellevellevellevellevellevellevel
profile mail home
Friday 01 February 2008 - 02:18

Re: hacking site with flatnuke3:
alex ti so arrivate le mail?!?!(sono 3 identiche solo che le prime 2 mi sono tornate indietro per l'allegato,google nn le accetta...alla terza c'è un link).

Purtroppo sono al corrente che nessun CMS è sicuro,infatti continuero a usare fn3(flatnux).

Da quel che ho capito ha usato uno script per scovare le pass(nn ne capisco molto di codice,ma il mio intuito dice che la strada è quella di una specie bruteforce o almeno è quel che sembra)...al momento ancora nada ma sto studiando il problema,appena scopro qualcosa ti scrivo subitissimo

<a href="http://www.l33tsig.net/" title="L33TSig.net - Free Dynamic Signatures, Avatars and Userbars" target="_blank"><img src="http://www.l33tsig.net/sig/1/JDWorld.png" alt="My L33TSig" /></a>



speleoalex

0 Level 10 10

levellevellevellevellevellevellevellevellevellevel
profile mail
Friday 01 February 2008 - 15:19

Re: hacking site with flatnuke3:
:( purtroppo non mi è arrivato ancora nulla ...
Ho anche controllato nello spam di gmail.



Alex




Mr_Jack

0 Level 0 10

levellevellevellevellevellevellevellevellevellevel
profile mail home
Monday 04 February 2008 - 02:46

Re: hacking site with flatnuke3:
questo è l'allegato che nn riesce ad allegarsi a nessuna mail..... kaspersky mi indica che all'interno cèe roba pericolosa e a mio rischio e pericolo me sto studiando gli script(forse è per il contenuto dell'archivio che ovunque spedisco nn arriva...quello che nn capisco è perke nn invia lo stesso se inserisco un link...bho).....

http://jdworldtk.altervista.org/File_aggiunti_dal_cracker.rar

<a href="http://www.l33tsig.net/" title="L33TSig.net - Free Dynamic Signatures, Avatars and Userbars" target="_blank"><img src="http://www.l33tsig.net/sig/1/JDWorld.png" alt="My L33TSig" /></a>

 [1]

Last news