akuba
-
Публикации
6 -
Зарегистрирован
-
Посещение
-
Дней в лидерах
1
Сообщения, опубликованные пользователем akuba
-
-
Немного вклинюсь в Вашу беседу - речь шла не о комментариях - зловред был прислан в Личные сообщения.
"будучи администраторами, люди бездумно идут по ссылкам" - администраторы тоже люди (даже матерые программеры и прочие животные), со свойственными людям недостатками типа переутомление, какие-либо жизненные неурядицы, привыкание к множеству однотипных и монотонных операций и тп. Так что не стоит поливать грязью бездумных администраторов. Уверен на 120%, что любой из Вас хоть раз в жизни попадался на довольно тупые разводы типа этого - все люди одинаковы и абсолютно непогрешимых не бывает.
Поэтому, не стоит валить косяки с недостаточной фильтрацией полностью на тупых администраторов - вина, как бы сказать, коллективная.
- 1
-
19 минут назад, MSK сказал:
Ну на самом деле подобный "финт" возможен на любой CMS, в которой есть внутренний редирект для ссылок.
Лечится это достаточно просто (ну пока новый не придумают) - проверка ссылки при генерации редиректа.Спасибо за инфу - о подобных вещах надо узнавать как можно скорее. Предупрежден - значит вооружен.
Я бы добавил еще, что подобным способом можно не только Админа создать, но и любые действия выполнить доступные авторизованному пользователю... Т.ч. это касается не только Админов.
Пока нет заплатки - лучше отключить в настройках групп
Автоматическая замена ссылок в тег [leech] Разрешить использование кликабельных ссылок
в он ее не тегом [leech] сделал - это вручную было закодировано и всунуто, так что отключение лича не поможет
нужно скипать любой програмный код в /engine/go.php
на счет любых действий от имени авторизованных пользователей - согласен, но это не так критично, как под админом
кстати, уже немного позже обнаружил, что хацкер включил в движке заливку файлов, так что это, по-видимому, был еще далеко не конец.. видимо просто немного не успел
-
да смысла в ссылке нет - то, что было закодировано в ней (js код) я раскодировал и выложил на обозрение. Выкладывать тот же код в base64 я не вижу смысла
7 минут назад, MSK сказал:Забыл самое очевидное - ссылка должна быть в истории браузера.
Ну и текст грамотно составлен. Убедительно, для перехода по ссылке.
Правильное использование социальной инженерии.. такие письма счастья многие админы получают пачками и действуют на автомате - открыл, удалил. Так, что все было рассчитано верно - ни кто обычно не проверяет ссылку, тем более оно закодировано base64, вроде как ведет на твой же сайт и тп. и вуаля
17 минут назад, webair сказал:О таком надо писать в обратную связь и в личные сообщения celsoft. Сейчас понабегут и пойдут ломать сайты )
ну самому я не писал, а в саппорт скинул одновременно с этой темой. Чем раньше закроют - тем меньше будет жертв.
честно говоря - это мой последний проект на DLE.. все время его ломали, то так, то эдак.. в топку
-
28 минут назад, MSK сказал:
Да, оригинальный способ заставить админа создать админа
Посмотрите бекапы sql, возможно есть копия с перепиской.
сам текст послания не оригинален и ни чего нового не несет, поэтому и выкладывать не стал, но кому интересно вот копия из мыла, пришедшего по ПМ:
ЦитатаУважаемая администрация веб сайта,
Материалы, принадлежащие нашему клиенту, размещены на Вашем сайте. Клиент разрешения на их публикацию на указанном веб ресурсе не давал. Существуют основания для запрета клиентом к распространению в сети данных файлов, а также основания, в случае отказа удаления, признания соответствующих действий компрометирующими. Просим удалить материалы в течение 3-х рабочих дней со дня получения данного письма. Данное письмо просим считать официальным электронным уведомлением*, которое является зарегистрированным в соответствующей электронной базе t&p, заверено электронной подписью и может быть использовано t&p в качестве аргумента в случае возникновения дополнительных разбирательств.
Ссылка на материал
_________
*зафиксирован t&p как официальное средство уведомления состоянием на 3 марта 2017 года
С уважением, Екатерина Стрельцова
Ведущий специалист t&p
tokarevpartners.ru
Regards, Kate Stleltzovaна тексте "Ссылка на материал" и висел зловред
-
Сегодня меня взломали благодаря уязвимости в движке + человеческий фактор.
Метод атаки:
1. Через систему личных сообщений пользователю из группы Администраторы присылают письмо (обычно жалоба и тп) в тексте которого есть некая ссылка. Ссылка закодирована якобы антиличем и ссылается на штатный скрипт - /engine/go.php?url=%1D... (к сожалению оригинальный url не сохранился - пока я разбирался с последствиями злоумышленник потер историю сообщений).
2. При переходе по ссылке штатный скрипт /engine/go.php раскодирует следующий javascript код (код на ходу правился для анализа, но вроде я его полностью восстановил в исходный вид):
<code style='display: none;' id='LJKwqoiDHqewE'></code> <script> ..... </script>
3. Злоумышленник соответственно создает себе юзера petromadsss с привилегиями Администратора и отправляет себе сигнал о новой жертве. Кстати, ждать он себя не заставил - практически сразу же залогинился в админку и начал править настройки сайта (выявлено по логу последних действий в админпанели).
Как дальше собирался воспользоваться хацкер взломанной системой не известно (я заблокировал все сети с которых он входил - вероятно через TOP или подобное, т.к. сетей было около 5, все иностранные хостинги).
deny 185.93.181.0/25; # M247-LTD-Madrid / ES
deny 217.64.127.0/24; # M247-LTD-Vienna
deny 37.221.160.0/20; # RO-VOXILITY
deny 91.229.76.0/22; # DeltaHost / UAТакже, данный взлом может привести к взлому самого сервера и потере контроля над ним.
PS: ни какие файлы движка более не изменялись (проверено вручную через find из консоли и средствами контроля самого движка), данные БД вероятно тоже. Все вышеперечисленные материалы были получены по горячим следам и описаны сразу же, так что извиняюсь за возможные мелкие неточности.
PS2: по данным Google ящика petromadsss@gmail.com не существует.
- 3
Критическая уязвимость (v11.1)
в Прием багов
Опубликовано:
абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.
ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.