Перейти к публикации

Рекомендованные сообщения

У меня вот такое в эрор логах

[client 151.0.0.183] client denied by server configuration: .../data/www/site.ru/engine/cache/system/minify_466d076dc89ad73bd801f74fa1a6617a.php

и еще

referer: http://site.ru/index.php?do=register+%5BPLM=0%5D%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,12330,3813%5D+-%3E+%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,12462,3456%5D+-%3E+%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,0,20030%5D

и еще

www/site.ru/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+forum+not+found+, referer: http://site.ru/index.php%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2BResult:%2Bforum%2Bnot%2Bfound%2B/%2Bcould%2Bnot%2Bfind%2BIP

и еще

www/site.ru/http:, referer: http://site.ru/index.php?do=register+%5BPLM=0%5D%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,12330,3239%5D+-%3E+%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,0,20031%5D

и еще

www/site.ru/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+xedxe5+xedxe0xf8xebxeexf1xfc+xf4xeexf0xecxfb+xe4xebxff+xeexf2xefxf0xe0xe2xeaxe8;, referer: http://site.ru/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;

и еще список пользователей

SergioMont

idioneecows

vzlomsocru

saifalmbala

и их действия

/www/site.ru/saifalmbala, referer: http://site.ru/saifalmbala/index.php

/www/site.ru/user, referer: http://site.ru/user/vzlomsocru/index.php

я не знаю что все это значит, поэтому выкладываю сюда чтобы увидели знающие и высказали свое мнение.

Ссылка на сообщение
Поделиться на других сайтах

ребзя, кого ломанули и кто еще ничего не ковырял у себя на сервере - свяжитесь с Владимиром личкой и предоставьте ему данные для доступа

Ссылка на сообщение
Поделиться на других сайтах

В DLE была обнаружена проблема в парсере шаблонов. Был выпущен соответствующий патч http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html

Ссылка на сообщение
Поделиться на других сайтах

celsoft,

уточните, пож-та, т.е. этот патч решает проблему описанных в данной теме взломов?

Ссылка на сообщение
Поделиться на других сайтах

уточните, пож-та, т.е. этот патч решает проблему описанных в данной теме взломов?

патч решает проблему в парсере шаблонов, которая может привести к взлому. А причин взломов множество. Я не могу дать на этот вопрос однозначный ответ.

Ссылка на сообщение
Поделиться на других сайтах

Интересно, а в предыдущих ваших постах, вы однозначно утверждали что проблема не в ДЛЕ.

Перечитайте

Я никогда ничего не исключаю, я просто реально смотрю на вещи. Еще ни о кого не залили шелл через DLE, а сам DLE править собственные файлы при всем своем желании не может. Если проблема находится в DLE, то исправления всегда выпускаются незамедлительно. А если на сервер попал шелл минуя DLE, то защитит от него DLE не может при всем своем желании. На текущий момент нет никакой объективной информации что проблема лежит именно в DLE и как только такая информация появится, то со стороны DLE будут приняты все необходимые меры.

Отдельное спасибо кстати тому, кто нашел и сообщил ;)

Ссылка на сообщение
Поделиться на других сайтах

Интересно, а в предыдущих ваших постах, вы однозначно утверждали что проблема не в ДЛЕ.

Перечитайте

Перепрочитал!

http://forum.dle-new...ndpost&p=307873

Изменено пользователем eqoist
Ссылка на сообщение
Поделиться на других сайтах

ну как и ожидалось проблема в dle.

К сожалению вынужден констатировать. Проблема в поиске проблемы заключалась в том что попутно на анализируемых сайтах находилось другое уязвимое ПО, это и вводило в заблуждение при проверке этих сайтов.

Ссылка на сообщение
Поделиться на других сайтах

удаляю всю найденную гадость, и радуюсь что все заработало, через два часа все повторяется, и так уже раза три, забил на хрен, пака кто нибудь не найдет здравого решения. (

Ссылка на сообщение
Поделиться на других сайтах

удаляю всю найденную гадость, и радуюсь что все заработало, через два часа все повторяется, и так уже раза три, забил на хрен, пака кто нибудь не найдет здравого решения. (

Вы ставили патч?

Удаляли все из папок с кэшем и .htaccess заливали из дистрибутива? проверьте dbconfig.php , а лучше перезалейте скачаный двиг...

Ссылка на сообщение
Поделиться на других сайтах

komnervov,

да не надо искать ничего,

проще и безопаснее:

1) сменить пароли от админа и к базе

2) перезалить файлы движка (с учетом патчей, лучше взять самый свежий дистрибутив с сервера)

Ссылка на сообщение
Поделиться на других сайтах

Подскажите, пожалуйста, если пользователь wnet на сайте обнаружен, но он как зарегистрировался, больше на сайте не появлялся. Файлы minify_***.php не обнаружены. Антивирус молчит. Стоит ли паниковать? Или пока что повезло и можно спать спокойно?

Ссылка на сообщение
Поделиться на других сайтах

Подскажите, пожалуйста, если пользователь wnet на сайте обнаружен, но он как зарегистрировался, больше на сайте не появлялся. Файлы minify_***.php не обнаружены. Антивирус молчит. Стоит ли паниковать? Или пока что повезло и можно спать спокойно?

Стоить проверить dbconfig.php и поискать шелл на сайте.

Ссылка на сообщение
Поделиться на других сайтах

Кто подскажет, что за файл cgi-bin\php4.cgi? Дата создания 2011 год. Хотя по бэкапам до 22.12.12 его не было.

Это значит что установлен PHP как CGI, это папка и файл от хостера.

Прочитайте системные требования: http://dle-news.ru/request.html

И на будущее:

На данном форуме существуют достаточно жесткие правила, поэтому прежде чем создавать свою тему убедитесь вы внимательно их прочитали и поняли.

1. Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован.

Ссылка на сообщение
Поделиться на других сайтах

Также не используйте PHP как CGI, FastCGI, SuPHP и т.д. Так эти режимы позволяют игнорировать ваши права установленные на файлы, именно поэтому потом у вас через шеллы удаляют файлы .htaccess а потом маскируют шеллы. Устанавливайте PHP как модуль Апача. Для Апача также лучше поставить модуль ITK

Пожалуйста, приведите пруфлинк, ибо я слышу такой абсурд впервые, поскольку правами на файлы заведует ОС, а не модуль apache интерпретирующий PHP скрипты!

какие функции php можно отключить, для безопастности?

Не думаю что это может быть каким то гарантом безопасности.

Очередное фееричное высказывание... А ничо, что функции "popen,exec,system,passthru,proc_open,shell_exec" отключают большую часть способов залить и запустить шелл, а главное большую часть фугкционала вебшелла, что является нехилым гарантом того, что скрипткиддисы не смогут проэксплойтить большую часть дырок.

Ссылка на сообщение
Поделиться на других сайтах

Со стороны DLE проблем нет. Почему? Объяснять долго и нужно обладать хорошими знаниями в области PHP. Ни в регистрации, ни в загрузке файлов, DLE не содержит уязвимостей и не содержит проблем.

Это настолько спорное заявление, что с Вашей стороны было глупым это писать! Объясню почему: В DLE уязвимость в обработке бб-кодов в ПМ. Кроме того, сторонние люди уже оипубликовали тут дырку в проверке шаблонов.

Таким образом мы понимаем, что Ваши слова об абсолютной безгрешности DLE не имеют под собой ровно никаких оснований и при появлении подобных тем с множеством одинаковых обращений Вам прежде всего необходимо писать что поиск дырки активно ведётся, а не то что вы дартаньяны...

Изменено пользователем zMey
Ссылка на сообщение
Поделиться на других сайтах

Пожалуйста, приведите пруфлинк, ибо я слышу такой абсурд впервые, поскольку правами на файлы заведует ОС, а не модуль apache интерпретирующий PHP скрипты!

Изучайте системное администрование. Конечно правами заведует OС и эта же OC запускает PHP интерпретатор и с какими правами она его запустит те и будут. В режиме CGI, FastCGI права у PHP интерпретатора, а значит у любого скрипта, будут от имени владельца аккаунта, потому как он будет запущен напрямую сервером. А если PHP как модуль Апача, то он будет запущен апачем и права у него будут такие же как и Апача Чувствуете разницу? Или для вас права владельца аккаунта и права Апача это одно и то же? Если вы не понимаете разницу, то я ничем вам не могу помочь, потому как вы не обладаете даже базовыми знаниями в системном администровании, а без этого в двух словах не объяснить. Для того чтобы обеспечить безопасность FastCGI нужно его настроить на специализированного chroot пользователя и дать ему крайне ограниченные права, чего абсолютное большинство никогда не делает а включает по умолчанию нажатием галочки в панели управления хостингом, например в панели ISP, а по умолчанию это владелец аккаунта с максимальным количеством прав. Хотели пруф линк, пожалуйста изучайте http://www.seaoffire.net/fcgi-faq.html там достаточно подробно написано, как можно настроить на безопасное использование FastCGI и именно настроить, а не включить галочкой в панели управления.

Очередное фееричное высказывание... А ничо, что функции "popen,exec,system,passthru,proc_open,shell_exec" отключают большую часть способов залить и запустить шелл, а главное большую часть фугкционала вебшелла, что является нехилым гарантом того, что скрипткиддисы не смогут проэксплойтить большую часть дырок.

Написать шелл любой функциональности я лично смогу и без этих функций, если вы не можете, то это не значит что это невозможно.

Это настолько спорное заявление, что с Вашей стороны было глупым это писать! Объясню почему: В DLE уязвимость в обработке бб-кодов в ПМ. Кроме того, сторонние люди уже оипубликовали тут дырку в проверке шаблонов.

Уязвимости в ББ кодах нет, была уязвимость в парсере шаблонов, вещи принципиально разные.

Таким образом мы понимаем, что Ваши слова об абсолютной безгрешности DLE не имеют под собой ровно никаких оснований и при появлении подобных тем с множеством одинаковых обращений Вам прежде всего необходимо писать что поиск дырки активно ведётся, а не то что вы дартаньяны...

Об этом я нигде и никогда не писал, вы лишь выдираете отдельные слова из контента. Если вы внимательно прочитаете эту тему то увидите что писал я про то что в модуле регистрации в DLE уязвимостей и проблем гарантированно нет, и это факт, проблем в регистрации в DLE нет, и писал я эту фразу когда обсуждалась регистрация. А вы лишь выдернули фразу из контента обсуждения и не более.

Ссылка на сообщение
Поделиться на других сайтах

Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ.

Ребята, а подскажите пожалуйста, наличие вот таких файлов в engine/cache/system

ac8200c700af.jpg

это нормально? Или где то замаскированный вирус?

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...