論壇 › 公告與教學 › 垃圾帖觀察中

小娃 發表於 19-2-19 23:33

防灌水的"強制上傳頭像"設定已關閉，請再試一下。謝謝。

tinyding-test 發表於 19-2-19 23:36

tinyding 發表於 19-2-18 07:24
為何 "新手上路" 會員等級不能發表文章? ...

是因為還不到早上九點嗎? ...


Test! 測試! 我是新手. ^_^ {:4_209:}

tinyding 發表於 19-2-19 23:41

tinyding-test 發表於 19-2-19 23:36
Test! 測試! 我是新手. ^_^

可以了! "tinyding-test" 新手上路會員等級可以成功的發帖了. ^_^

cukie 發表於 19-2-20 08:45

喔耶 可以回復了{:4_209:}

tinyding 發表於 19-2-20 09:54

今早, 廣告發佈者又來了 ... 07:59 開始 ... {:4_129:}

tinyding 發表於 19-2-20 10:18

為了暫時阻擋廣告發佈者不斷地發廣告, 所以, 我又先越權了 ... {:4_129:}

http://www.coco-in.net/forum.php?mod=redirect&goto=findpost&ptid=46480&pid=856927

manmanlai 發表於 19-2-21 12:29

測試, 看看能不能發文

eric0613 發表於 19-2-23 10:52

不能發表帖子, 連回覆也不行

tinyding 發表於 19-2-23 21:33

晚間, 廣告發佈者又來了 ... 20:35 開始 ...


為了暫時阻擋廣告發佈者不斷地發廣告, 所以, 我又越權了 ...

http://www.coco-in.net/forum.php?mod=redirect&goto=findpost&ptid=46480&pid=857041

tinyding 發表於 19-2-23 21:39

eric0613 發表於 19-2-23 10:52
不能發表帖子, 連回覆也不行

你的這一帖就是回覆帖呀. 還是你在哪一區, 不能發帖的呢? ... {:4_144:}

tinyding 發表於 19-2-23 21:49

站長, 是因為站台有漏洞尚未補? 還是會員的密碼被人使用暴力式猜碼給試了出來, 以致有多年以前的會員都有在發佈這廣告呢? ... {:4_154:}

tinyding 發表於 19-2-26 04:56

這幾天我使用 OpenVAS、zenmap、sparta、armitage 等工具程式, 想看看站台是否有什麼漏洞? 以致於有那麼多的廣告帖 ...

然後, 我發現我自身所租的站台, 比論壇有更多的警訊 ... {:4_191:}




底下是上圖的原始檔.


底下是另一程式對論壇的檢測結果.

tinyding 發表於 19-2-27 15:54

【漏洞分析】Discuz X3.3补丁安全分析

我不確論壇被貼了那麼多廣告帖, 跟上述網頁所說的漏洞有沒有什麼關聯? ...

但在上述網頁中, 有底下的敘述 ... :
0x02 漏洞攻击面影响


1. 影响面

Discuz基本上是基于Cookie而非Session，所以一旦authkey被获取，将导致Cookie的加密失效，进而可以解密Cookie的auth字段获取用户的密码。系统中其他逻辑也大量使用了authkey和authcode算法，该漏洞可导致一系列安全问题：伪造ulastactivity可控制session持久时间；邮箱校验的hash参数被破解，导致任意邮箱注册等。

另外一旦拥有一个管理员账号，则可利用后台任意代码执行漏洞，在后台Getshell进而控制服务器。

经过360CERT与360 0KEE Team研判后确认，漏洞风险等级高，影响范围广。

2. 影响版本

通过代码分析，确定涉及如下版本：

Discuz_X3.3_SC_GBK

Discuz_X3.3_SC_UTF8

Discuz_X3.3_TC_BIG5

Discuz_X3.3_TC_UTF8

Discuz_X3.2_SC_GBK

Discuz_X3.2_SC_UTF8

Discuz_X3.2_TC_BIG5

Discuz_X3.2_TC_UTF8

Discuz_X2.5_SC_GBK

Discuz_X2.5_SC_UTF8

Discuz_X2.5_TC_BIG5

Discuz_X2.5_TC_UTF8

3. 修复版本

Discuz_X3.4_SC_GBK

Discuz_X3.4_SC_UTF8

Discuz_X3.4_TC_BIG5

Discuz_X3.4_TC_UTF8
而論壇的版本是 Discuz! X3.2 版, 也列在敘述中 ...


另, 在 "[发布] Comsenz 核心产品 Discuz! X3.4 正式版" 網頁中, 有提及 "Discuz! X3.2、X3.3 已停止更新 ..." ...


又, 在 "[发布] 关于 X3.3 的补充说明" 網頁中提及"X3.2 的站长在未完全确认自己已购买的应用是否兼容版 PHP7 前，我们不鼓励您升级到 X3.3 并将您的服务器 PHP 环境升级到 PHP7，除非您继续在 PHP5 下使用，在 PHP5 下面 X3.3 就是 X3.2。"

所以, 站長 若考慮將論壇升級至 Discuz! X3.4 版前, 也要考慮一下 PHP 的版本是否也可以一併升級至 PHP7 ...

tinyding 發表於 19-2-28 14:50

PHP 5版年底終止安全更新開始倒數計時，6成網站恐曝風險iThome
上述網頁於 2018-10-15發表.

tinyding 發表於 19-3-7 10:32

為了暫時阻擋廣告發佈者不斷地發廣告, 所以, 我又再度先越權了 ... {:4_129:}
http://www.coco-in.net/forum.php?mod=redirect&goto=findpost&ptid=46480&pid=857452

查看完整版本: 垃圾帖觀察中