goga5 1 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Здравствуйте, сайт worldrun.ru, версия dle 9.2 Вчера залили на сервер файл /uploads/users.php.g1f потом удалили, после чего залили еще файлы /uploads/fotos/.htaccess и /uploads/fotos/foto_737.gpeg и после чего удалил их уже я. В файле .htaccess был прописан: < Files "foto_737.gpeg"> AddType application/x-httpd-php .gpeg < /Files > а сам файл foto_737.gpeg - Shell Могли бы таким путем добраться до базы сайта и гулять по серверу ? почему такое происходит и через какую форму они заливают файлы ? получается что движок дырявый ? Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Что не увидел у Вас строки: <meta name="generator" content="DataLife Engine (http://dle-news.ru)" /> Нулл? Кстати админка открыта... Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Залить файл /uploads/fotos/.htaccess через скрипт невозможно. Равно как и файл /uploads/users.php.g1f по одной простой причине, скрипт в любом случае и всегда при загрузке в эту папку добавлять префиксы к имени и это не настраивается это жестко прописано в самом скрипте. Поэтому видимо в папке uploads/fotos/ файлы создавались уже при помощи щелла /uploads/users.php.g1f а вот этот файл мог попасть как угодно, начиная от сторонних модулей и заканчивая уязвимостями на сервере, например phpMyAdmin, был недавно подвержен уязвимостям позволяющим заливать шеллы, тут нужно смотреть уже дальше по логам сервера.С учетом того что у вас панель ISP и доступ к phpMyAdmin в открытом виде и вы не обновляли phpMyAdmin до актуальной версии, то видимо в этом у вас и проблема. Незамедлительно меняйте пути к phpMyAdmin, и обновляйте ее до актуальной версии. плюс обязательная смена абсолютно всех паролей ко всем панелям и БД, для FTP и прочие, вообщем все.Также рекомендуется прочитать и сделать то что написано в теме http://dle-news.ru/tips/1164-zaschita-papok-skripta-ot-zapuska-storonnih-skriptov.html это позволит оградить вас от подобных уязвимостей в стороннем ПО и сделает эти папки недоступными для запуска шеллов. Цитата Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Автор Ясно, сейчас всё сделаем. Спасибо! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Да и так на серве был шелл, нужно все перепровить на возможные изменения в файлах скрипта, в частности в папке engine/data/ могли что либо дописать. Цитата Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Автор в папках /uploads/ и /templates/ файл .htaccess присутствует, их содержимое удалить и прописать "php_flag engine off" или добавить существующей записи ? Цитата Ссылка на сообщение Поделиться на других сайтах
veb74 10 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 (изменено) Также рекомендуется прочитать и сделать то что написано в теме http://dle-news.ru/t...h-skriptov.html это позволит оградить вас от подобных уязвимостей в стороннем ПО и сделает эти папки недоступными для запуска шеллов. Ты сам-то пробовал?? Я залил эти файло .htacess и через три дня у меня исчезли картинки и доступ к шаблонам Сайт стал голым текстовым Вариант 2 я не проверял, не хочу больше экспериментировать, делать мне больше нечего, как опыты проводить. В 9.0 закрыл дырки? 2goga5 - засвети содержимое файла .htaccess в этих папках Изменено 21 марта 2011 пользователем veb74 Цитата Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 (изменено) Автор По поводу изменения в остальных файлах скрипта ZEOS молчит, может быть я их обогнал и они ничего не успели сделать, или же они просто не смогли сделать 2goga5 - засвети содержимое файла .htaccess в этих папках А что там светить то ? загляни в файлах в версии "DataLife Engine v.9.2 Final Release" Изменено 21 марта 2011 пользователем goga5 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Я залил эти файло .htacess и через три дня у меня исчезли картинки и доступ к шаблонам Ну ну. А что если бы через 10 дней исчезли бы картинки тоже причиной это бы было? Или через месяц? Спустя три дня не нужно было настройки сервера менять и нечего бы не исчезло. А если и править их то делать с умом.Вариант 2 я не проверял, не хочу больше экспериментировать, делать мне больше нечего, как опыты проводить Вам вообще ничего не писалось в этой теме, поэтому непонятно вообще ваше сообщение, вас вообще никто не просил ничего делать или ставить. Не хотите не ставьте в чем проблема? Кто вас заставляет.Ты сам-то пробовал?? Не "ты", а "вы". Не с соседом разговариваете и я вам тыкать при обращении ко мне не позволял. Цитата Ссылка на сообщение Поделиться на других сайтах
veb74 10 Опубликовано: 21 марта 2011 Рассказать Опубликовано: 21 марта 2011 Ну ну. А что если бы через 10 дней исчезли бы картинки тоже причиной это бы было? Или через месяц? Спустя три дня не нужно было настройки сервера менять и нечего бы не исчезло. А если и править их то делать с умом. Сразу все работало; Я попытался запустить php он у меня скачался. Серверные настройки не менял. Как только я удалил эти файлы всё сразу же стало на свои места. Не "ты", а "вы". Хорошо Цитата Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 22 марта 2011 Рассказать Опубликовано: 22 марта 2011 (изменено) Автор Кстати админка открыта... Можно узнать как и что значить админка открыта ? С учетом того что у вас панель ISP и доступ к phpMyAdmin в открытом виде и вы не обновляли phpMyAdmin до актуальной версии, то видимо в этом у вас и проблема. Незамедлительно меняйте пути к phpMyAdmin, и обновляйте ее до актуальной версии. Версия phpMyAdmin 3.3.9.2, вроде бы она не старая и это не причина того, объясните пожалуйста, что значить панель ISP и доступ к phpMyAdmin в открытом виде ? Вы имеете ввиду, что доступ ссыллок к ним стандартная ? Также рекомендуется прочитать и сделать то что написано в теме http://dle-news.ru/t...h-skriptov.html это позволит оградить вас от подобных уязвимостей в стороннем ПО и сделает эти папки недоступными для запуска шеллов. В версии дле 9.2 у Вас это фишка встроенная но и ее легко обходят, я привел пример выше как они это делают файлом .htaccess. Прописать в файле /uploads/.htaccess строчку php_flag engine off тоже не помогает, так как они тогда прописали бы в файле /uploads/fotos/.htaccess строчку php_flag engine on Я как думаю проблема в двиге, если нет то давайте пересмотрим всё, тоесть логи сервера и.т.п, какие логи нужно смотреть чтобы выяснить что происходило и как заливался шелл вчера в 00:30 у меня на сервере ? Изменено 22 марта 2011 пользователем goga5 Цитата Ссылка на сообщение Поделиться на других сайтах
DeeMon 73 Опубликовано: 22 марта 2011 Рассказать Опубликовано: 22 марта 2011 Можно узнать как и что значить админка открыта ? Смените имя файла admin.php на что не будь своё, ну конфиге не забудьте прописать. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 22 марта 2011 Рассказать Опубликовано: 22 марта 2011 В версии дле 9.2 у Вас это фишка встроенная но и ее легко обходят, я привел пример выше как они это делают файлом .htaccess. Вы забываете то что DLE не умеет и не может впринципе создать в этой папке этот файл, значит его создали не через DLE и этот источник проблемы вам нужно искать.объясните пожалуйста, что значить панель ISP и доступ к phpMyAdmin в открытом виде ? Вы имеете ввиду, что доступ ссыллок к ним стандартная ? Это значит что я знаю к ним путь, могу перебирать к ним пароли, обращаться к файлам настроек и никто мне этого не запрещает и не блокирует.Я как думаю проблема в двиге, если нет то давайте пересмотрим всё, тоесть логи сервера и.т.п, какие логи нужно смотреть чтобы выяснить что происходило и как заливался шелл вчера в 00:30 у меня на сервере ? Ну так это и посмотрите, кто обращался к шеллу и куда были еще обращения в этот период времени на за сутки назад и сутки вперед. Я же ваших логов не вижу. Логи у сервера со стороны web одни, .access.log а имя зависит от домена. Цитата Ссылка на сообщение Поделиться на других сайтах
goga5 1 Опубликовано: 23 марта 2011 Рассказать Опубликовано: 23 марта 2011 (изменено) Автор Это значит что я знаю к ним путь, могу перебирать к ним пароли, обращаться к файлам настроек и никто мне этого не запрещает и не блокирует. Спасибо, по поводу этого будем разбираться. Вот что еще нашел, посмотрите и сообщите пожалуйста, ради безопасности стоит ли делать на сайт такую фишку или от него будет 0 реакции ? Предотвращение заливки shell-а найти в engine/inc/files.php $allowed_files = explode( ',', strtolower( $config['files_type'] ) ); заменить на: $allowed_files = explode( ',', str_replace(array("php","phtml", "htaccess"), md5(time() - rand(30,60)), strtolower( $config['files_type'] ))); Изменено 23 марта 2011 пользователем goga5 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 23 марта 2011 Рассказать Опубликовано: 23 марта 2011 Вот что еще нашел, посмотрите и сообщите пожалуйста, ради безопасности стоит ли делать на сайт такую фишку или от него будет 0 реакции ? это бессмысленное исправлнение, т.к. запрет на PHP расширения файлов, жестко итак прописан в скрипте, даже если его разрешить в настройках скрипта Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.