svksergey 0 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 А вот в сети нашел еще информацию, что dumper уязвимый. Ссылки: https://sypex.net/forum/viewtopic.php?f=3&t=1100 http://drupalhosting.ru/newsletters/%D1%83%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BA%D1%80%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B9-%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8-%D0%B2-%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B5%D0%BC-%D0%BF%D0%BE У меня как раз стоял такой скрипт на сайте. Про phpMyAdmin спасибо, обновлюсь. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 А вот в сети нашел еще информацию, что dumper уязвимый. В дампер DLE можно попасть только будучи администратором на сайте. Иначе к в него зайти невозможно, плюс у него нет функций в которых была найдена уязвимость для дампера. Проблема может быть только если вы используете дампер отдельно от DLE как независимый скрипт на своем сервере. Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 Подтверждаю, коснулась таже проблема, что и у ТС. 23 числа появился файл ./engine/cache/system/minify_0bac09ee6e84b2bba5c612a87e5a2f6b.php Цитата Ссылка на сообщение Поделиться на других сайтах
dampel 0 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 Смотрите аксесс логи сайта. К примеру на 15:11 если залили в это время. Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 (изменено) Автор А вот в сети нашел еще информацию, что dumper уязвимый. Ссылки: https://sypex.net/fo....php?f=3&t=1100 http://drupalhosting...BC-%D0%BF%D0%BE У меня как раз стоял такой скрипт на сайте. Про phpMyAdmin спасибо, обновлюсь. Про дампер интересно, у меня стоит sypex как раз. Почитал темы, в нем дырок полно, удалю, сдается мне оттуда ноги вырости могли. Господа, у кого еще Sypex стоит из взломанных? Единственное что заметил, это что в config.php добавили какой то адрес партнерки Сейчас глянул в свой конфиг файл, там была строчка вписана, которая должна быть автоматически качать обновление браузера если ты заходишь из Android-устройство, короче фейковый блокер/вирус или шпион для Андроид. Я с планшета по своему сайт прыгал последние 2 дня, ничего не качалось, возможно не все успел взломщик доделать, так как я в течение часа после пропажи файлов все исправил, а вот на одно сайте конкурентском такую фигню видел, захожу а там качается что-то, а на сайт не пускает. Изменено 29 декабря 2012 пользователем Volfgang Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 29 декабря 2012 Рассказать Опубликовано: 29 декабря 2012 А вот в сети нашел еще информацию, что dumper уязвимый. Ссылки: https://sypex.net/fo....php?f=3&t=1100 http://drupalhosting...BC-%D0%BF%D0%BE У меня как раз стоял такой скрипт на сайте. Про phpMyAdmin спасибо, обновлюсь. Про дампер интересно, у меня стоит sypex как раз. Почитал темы, в нем дырок полно, удалю, сдается мне оттуда ноги вырости могли. Господа, у кого еще Sypex стоит из взломанных? У меня теже проблемы, но и без sypex. Так что не думаю что из-за него. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 Про дампер интересно, у меня стоит sypex как раз. у меня такого нет, собственно вообще ничего нет, а в mysql доступ только через cpanel короче, что я еще сделал:обновил софт на сервере: php,apache,mysqlустановил антивирус Zeos несколько дней - полет нормальный Цитата Ссылка на сообщение Поделиться на других сайтах
alexmurphy 45 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер? Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 http://www.pr-cy.ru/qa/question/12315 пошла прямо волна взломов DLE. Хотя и не глобальная как я понимаю. Возможно сему виной сторонние модули или определенные настройки DLE или php. Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер? А с чего у вы предположили, что может быть из-за этого? Есть мнение где там может быть дырка? Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 (изменено) Автор Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер? Только картинки. http://www.pr-cy.ru/qa/question/12315 пошла прямо волна взломов DLE. Хотя и не глобальная как я понимаю. Возможно сему виной сторонние модули или определенные настройки DLE или php. Сторонниe модули вряд ли. У меня нету таковых по сути, лишь пара легких хаков, которые добавляют вывод пару простеньких функций, элементарный функционал и слишком спецефический, вряд ли у кого-то есть еще. Скорее всего дырка или у хостеров, например в PHPmyADMIN, как нам указывает уважаемый Celsoft, а может действительно есть в DLE дырка, так как взлом происходит именно на DLE движке, пытался поискать подобные взломы на сайтах с другими движками, у них тихо на форумах. Если проблема в DLE, я думаю патч скоро появится. Хуже, если проблема где-то в ПО сервера, и не факт, что уже есть патч закрывающий это. Изменено 30 декабря 2012 пользователем Volfgang Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 Также взломали сайт аналогичным способом уже 2-й раз. Версия дле самая новая, патч стоит. сторонних модулей нет. Странно, что celsoft исключает дырку именно в DLE, а говорит про дыри в серверном ПО и т.д.. Вообщем странно это все, что делать - хз. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 Странно, что celsoft исключает дырку именно в DLE, а говорит про дыри в серверном ПО и т.д.. Я никогда ничего не исключаю, я просто реально смотрю на вещи. Еще ни о кого не залили шелл через DLE, а сам DLE править собственные файлы при всем своем желании не может. Если проблема находится в DLE, то исправления всегда выпускаются незамедлительно. А если на сервер попал шелл минуя DLE, то защитит от него DLE не может при всем своем желании. На текущий момент нет никакой объективной информации что проблема лежит именно в DLE и как только такая информация появится, то со стороны DLE будут приняты все необходимые меры. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 (изменено) Странно, что celsoft исключает дырку именно в DLE, а говорит про дыри в серверном ПО и т.д.. Я никогда ничего не исключаю, я просто реально смотрю на вещи. Еще ни о кого не залили шелл через DLE, а сам DLE править собственные файлы при всем своем желании не может. Если проблема находится в DLE, то исправления всегда выпускаются незамедлительно. А если на сервер попал шелл минуя DLE, то защитит от него DLE не может при всем своем желании. На текущий момент нет никакой объективной информации что проблема лежит именно в DLE и как только такая информация появится, то со стороны DLE будут приняты все необходимые меры. ок, спасибо большое) ато обычно как всегда поддержка сервера спихает все на движки) Удалил phpmyadmin, думаю еще ставить ITK А может подскажет кто-то, какие функции php можно отключить, для безопастности? На сервере только сайты на DLE Изменено 30 декабря 2012 пользователем silva Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 какие функции php можно отключить, для безопастности? Не думаю что это может быть каким то гарантом безопасности. Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 30 декабря 2012 Рассказать Опубликовано: 30 декабря 2012 какие функции php можно отключить, для безопастности? Не думаю что это может быть каким то гарантом безопасности. а еще я заметил, что в зараженом файле владелец и группа был какой-то вроде имя папки "engine/cache" или что то в этом роде связанное, а не скажем "user_rr" как у меня выставлено для этого пользователя которому принадлежит сайт. может это поможет определить ненмого уязвимое место, через которое залили шел... Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 31 декабря 2012 Рассказать Опубликовано: 31 декабря 2012 Не думаю что это может быть каким то гарантом безопасности. ну ,по крайней мере благодаря отключению некоторых функции, шелл перестает функционировать у меня отключены эти exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname[/CODE] и в такой конфигурации шелл перестал работатькак временный вариант, сойдет 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 31 декабря 2012 Рассказать Опубликовано: 31 декабря 2012 ну ,по крайней мере благодаря отключению некоторых функции, шелл перестает функционировать Шелл это PHP скрипт, все зависит как написать его, модифицировать файлы, читать данные доступа, и прочее, можно и без этих функций. Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 31 декабря 2012 Рассказать Опубликовано: 31 декабря 2012 (изменено) Не думаю что это может быть каким то гарантом безопасности. ну ,по крайней мере благодаря отключению некоторых функции, шелл перестает функционировать у меня отключены эти exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname и в такой конфигурации шелл перестал работать как временный вариант, сойдет Зачем мелочится? disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,shell_exec,system,passthru,popen,proc_open,proc_close,proc_get_status,proc_nice,proc_terminate,leak,listen,chgrp,apache_note,apache_setenv,closelog,debugger_off,debugger_on,define_sys,php_uname, getmyuid, getmypid,diskfreespace,dl,posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix, _getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname,posix_uname[/code] Изменено 31 декабря 2012 пользователем llbarmenll Цитата Ссылка на сообщение Поделиться на других сайтах
eqoist 1 Опубликовано: 31 декабря 2012 Рассказать Опубликовано: 31 декабря 2012 Такая же проблема, повторилось уже второй раз. Пошарил все файлы, вроде ничего не изменяли, хотя может не там смотрю. все файлы последний раз менялись 3.3.2012(сам что то делал) Попросил хостера проверить все, сказали никаких проблем и никаких проникновений в лог файлах не отмечено. Сменил везде пароли, перепроверил права на папки, поубавлял везде где только можно. Цитата Ссылка на сообщение Поделиться на других сайтах
alexmurphy 45 Опубликовано: 31 декабря 2012 Рассказать Опубликовано: 31 декабря 2012 Вопрос тем, у кого обнаружен шел. У вас случайные пользователи могут загружать файлы на сервер? А с чего у вы предположили, что может быть из-за этого? Есть мнение где там может быть дырка? Хочу проследить закономерность. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 alexmurphy, давайте тогда определимся что такое случайный пользователь и какие именно файлы может загружать у меня, например, можно загружать только картинки и только зарегистрированным пользователям Цитата Ссылка на сообщение Поделиться на других сайтах
zMey 2 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Внесу свои 5 копеек в тему. В логах было обнаружено следующее: 95.79.105.23 - - [23/Dec/2012:23:03:10 +0100] "GET /index.php?do=register HTTP/1.0" 200 6703 95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "POST /index.php?do=register HTTP/1.0" 200 6768 95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "GET /engine/modules/antibot.php HTTP/1.0" 200 3167 95.79.105.23 - - [23/Dec/2012:23:03:25 +0100] "POST /engine/ajax/registration.php HTTP/1.0" 200 179 95.79.105.23 - - [23/Dec/2012:23:03:39 +0100] "POST /index.php?do=register HTTP/1.0" 200 6153 95.79.105.23 - - [23/Dec/2012:23:03:41 +0100] "POST /index.php?do=register HTTP/1.0" 200 5452 95.79.105.23 - - [23/Dec/2012:23:31:28 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158 95.79.105.23 - - [23/Dec/2012:23:31:29 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 64708 95.79.105.23 - - [23/Dec/2012:23:31:30 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154 95.79.105.23 - - [23/Dec/2012:23:31:31 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 19170 95.79.105.23 - - [23/Dec/2012:23:31:32 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334 95.79.105.23 - - [23/Dec/2012:23:31:40 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158 95.79.105.23 - - [23/Dec/2012:23:31:43 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334 95.79.105.23 - - [23/Dec/2012:23:32:02 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 17540 95.79.105.23 - - [23/Dec/2012:23:32:04 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 20572 95.79.105.23 - - [23/Dec/2012:23:32:06 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14269 95.79.105.23 - - [23/Dec/2012:23:32:08 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334 95.79.105.23 - - [23/Dec/2012:23:33:19 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 13158 95.79.105.23 - - [23/Dec/2012:23:33:22 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154 95.79.105.23 - - [23/Dec/2012:23:33:24 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14261 95.79.105.23 - - [23/Dec/2012:23:33:26 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14810 95.79.105.23 - - [23/Dec/2012:23:33:27 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14945 95.79.105.23 - - [23/Dec/2012:23:33:39 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 15466 На следующий день, данная информация из логов пропала. По данному ip на всех сайтах был зарегистрирован пользователь под ником wnet с имейлом super.wnet@ya.ru Поиск измененных файлов по дате не дал результатов, тк у шелла стояла дата 2011 года. Шелл заливался повторно, после запрета регистрации на сайте, взломов обнаружено не было. Название шелла WSO 2.5. Этот же шелл, был найден еще на нескольких серверах знакомых, с сайтами на дле. В файл dbconfig.php был добавлен код, который загружал пользователям сайта вирусы. Надеюсь данная информация окажется полезной. Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Автор Внесу свои 5 копеек в тему. В логах было обнаружено следующее: 95.79.105.23 - - [23/Dec/2012:23:03:10 +0100] "GET /index.php?do=register HTTP/1.0" 200 6703 95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "POST /index.php?do=register HTTP/1.0" 200 6768 95.79.105.23 - - [23/Dec/2012:23:03:18 +0100] "GET /engine/modules/antibot.php HTTP/1.0" 200 3167 95.79.105.23 - - [23/Dec/2012:23:03:25 +0100] "POST /engine/ajax/registration.php HTTP/1.0" 200 179 95.79.105.23 - - [23/Dec/2012:23:03:39 +0100] "POST /index.php?do=register HTTP/1.0" 200 6153 95.79.105.23 - - [23/Dec/2012:23:03:41 +0100] "POST /index.php?do=register HTTP/1.0" 200 5452 95.79.105.23 - - [23/Dec/2012:23:31:28 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158 95.79.105.23 - - [23/Dec/2012:23:31:29 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 64708 95.79.105.23 - - [23/Dec/2012:23:31:30 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154 95.79.105.23 - - [23/Dec/2012:23:31:31 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 19170 95.79.105.23 - - [23/Dec/2012:23:31:32 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334 95.79.105.23 - - [23/Dec/2012:23:31:40 +0100] "GET /engine/cache/system/minify.php HTTP/1.0" 200 13158 95.79.105.23 - - [23/Dec/2012:23:31:43 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334 95.79.105.23 - - [23/Dec/2012:23:32:02 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 17540 95.79.105.23 - - [23/Dec/2012:23:32:04 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 20572 95.79.105.23 - - [23/Dec/2012:23:32:06 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14269 95.79.105.23 - - [23/Dec/2012:23:32:08 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 34334 95.79.105.23 - - [23/Dec/2012:23:33:19 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 13158 95.79.105.23 - - [23/Dec/2012:23:33:22 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 21154 95.79.105.23 - - [23/Dec/2012:23:33:24 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14261 95.79.105.23 - - [23/Dec/2012:23:33:26 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14810 95.79.105.23 - - [23/Dec/2012:23:33:27 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 14945 95.79.105.23 - - [23/Dec/2012:23:33:39 +0100] "POST /engine/cache/system/minify.php HTTP/1.0" 200 15466 На следующий день, данная информация из логов пропала. По данному ip на всех сайтах был зарегистрирован пользователь под ником wnet с имейлом super.wnet@ya.ru Поиск измененных файлов по дате не дал результатов, тк у шелла стояла дата 2011 года. Шелл заливался повторно, после запрета регистрации на сайте, взломов обнаружено не было. Название шелла WSO 2.5. Этот же шелл, был найден еще на нескольких серверах знакомых, с сайтами на дле. В файл dbconfig.php был добавлен код, который загружал пользователям сайта вирусы. Надеюсь данная информация окажется полезной. Как-то такая очередность действий смахивает на дырку в DLE при регистрации Я конечно не спец, но чисто логически. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 у меня также юзер есть wnet с мылом superwnet@ya.ru 22 числа регистрация. Загрузка файлов для зарегистрированных пользлвателей было включена, теперь отключил все, что касается добавления новостей... Цитата Ссылка на сообщение Поделиться на других сайтах
Volfgang 4 Опубликовано: 1 января 2013 Рассказать Опубликовано: 1 января 2013 Автор у меня также юзер есть wnet с мылом superwnet@ya.ru 22 числа регистрация. Загрузка файлов для зарегистрированных пользлвателей было включена, теперь отключил все, что касается добавления новостей... У меня тоже такой юзер есть. Регистрация за пол часа до взлома. Заливка разрешена только картинок. Видать знает как обойти. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.