eqoist 1 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 У меня вот такое в эрор логах [client 151.0.0.183] client denied by server configuration: .../data/www/site.ru/engine/cache/system/minify_466d076dc89ad73bd801f74fa1a6617a.php и еще referer: http://site.ru/index.php?do=register+%5BPLM=0%5D%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,12330,3813%5D+-%3E+%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,12462,3456%5D+-%3E+%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,0,20030%5D и еще www/site.ru/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+forum+not+found+, referer: http://site.ru/index.php%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2B%2BResult:%2Bforum%2Bnot%2Bfound%2B/%2Bcould%2Bnot%2Bfind%2BIP и еще www/site.ru/http:, referer: http://site.ru/index.php?do=register+%5BPLM=0%5D%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,12330,3239%5D+-%3E+%5BR%5D+POST+http://site.ru/index.php?do=register+%5B0,0,20031%5D и еще www/site.ru/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+xedxe5+xedxe0xf8xebxeexf1xfc+xf4xeexf0xecxfb+xe4xebxff+xeexf2xefxf0xe0xe2xeaxe8;, referer: http://site.ru/index.php++++++++++++++++++++++++++++++++++++++++++++++++++++++++Result:+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8; и еще список пользователей SergioMont idioneecows vzlomsocru saifalmbala и их действия /www/site.ru/saifalmbala, referer: http://site.ru/saifalmbala/index.php /www/site.ru/user, referer: http://site.ru/user/vzlomsocru/index.php я не знаю что все это значит, поэтому выкладываю сюда чтобы увидели знающие и высказали свое мнение. Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 5 января 2013 Рассказать Опубликовано: 5 января 2013 ребзя, кого ломанули и кто еще ничего не ковырял у себя на сервере - свяжитесь с Владимиром личкой и предоставьте ему данные для доступа Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 065 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 В DLE была обнаружена проблема в парсере шаблонов. Был выпущен соответствующий патч http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 celsoft, уточните, пож-та, т.е. этот патч решает проблему описанных в данной теме взломов? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 065 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 уточните, пож-та, т.е. этот патч решает проблему описанных в данной теме взломов? патч решает проблему в парсере шаблонов, которая может привести к взлому. А причин взломов множество. Я не могу дать на этот вопрос однозначный ответ. Цитата Ссылка на сообщение Поделиться на других сайтах
eqoist 1 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 Интересно, а в предыдущих ваших постах, вы однозначно утверждали что проблема не в ДЛЕ. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
llbarmenll 18 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 Интересно, а в предыдущих ваших постах, вы однозначно утверждали что проблема не в ДЛЕ. Перечитайте Я никогда ничего не исключаю, я просто реально смотрю на вещи. Еще ни о кого не залили шелл через DLE, а сам DLE править собственные файлы при всем своем желании не может. Если проблема находится в DLE, то исправления всегда выпускаются незамедлительно. А если на сервер попал шелл минуя DLE, то защитит от него DLE не может при всем своем желании. На текущий момент нет никакой объективной информации что проблема лежит именно в DLE и как только такая информация появится, то со стороны DLE будут приняты все необходимые меры. Отдельное спасибо кстати тому, кто нашел и сообщил Цитата Ссылка на сообщение Поделиться на других сайтах
eqoist 1 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 (изменено) Интересно, а в предыдущих ваших постах, вы однозначно утверждали что проблема не в ДЛЕ. Перечитайте Перепрочитал! http://forum.dle-new...ndpost&p=307873 Изменено 6 января 2013 пользователем eqoist Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 ну как и ожидалось проблема в dle. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 065 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 ну как и ожидалось проблема в dle. К сожалению вынужден констатировать. Проблема в поиске проблемы заключалась в том что попутно на анализируемых сайтах находилось другое уязвимое ПО, это и вводило в заблуждение при проверке этих сайтов. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
komnervov 0 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 удаляю всю найденную гадость, и радуюсь что все заработало, через два часа все повторяется, и так уже раза три, забил на хрен, пака кто нибудь не найдет здравого решения. ( Цитата Ссылка на сообщение Поделиться на других сайтах
silva 8 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 удаляю всю найденную гадость, и радуюсь что все заработало, через два часа все повторяется, и так уже раза три, забил на хрен, пака кто нибудь не найдет здравого решения. ( Вы ставили патч? Удаляли все из папок с кэшем и .htaccess заливали из дистрибутива? проверьте dbconfig.php , а лучше перезалейте скачаный двиг... Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 komnervov, да не надо искать ничего, проще и безопаснее: 1) сменить пароли от админа и к базе 2) перезалить файлы движка (с учетом патчей, лучше взять самый свежий дистрибутив с сервера) Цитата Ссылка на сообщение Поделиться на других сайтах
innaprist 0 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 Подскажите, пожалуйста, если пользователь wnet на сайте обнаружен, но он как зарегистрировался, больше на сайте не появлялся. Файлы minify_***.php не обнаружены. Антивирус молчит. Стоит ли паниковать? Или пока что повезло и можно спать спокойно? Цитата Ссылка на сообщение Поделиться на других сайтах
zMey 2 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 Подскажите, пожалуйста, если пользователь wnet на сайте обнаружен, но он как зарегистрировался, больше на сайте не появлялся. Файлы minify_***.php не обнаружены. Антивирус молчит. Стоит ли паниковать? Или пока что повезло и можно спать спокойно? Стоить проверить dbconfig.php и поискать шелл на сайте. Цитата Ссылка на сообщение Поделиться на других сайтах
innaprist 0 Опубликовано: 6 января 2013 Рассказать Опубликовано: 6 января 2013 Кто подскажет, что за файл cgi-binphp4.cgi? Дата создания 2011 год. Хотя по бэкапам до 22.12.12 его не было. Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 621 Опубликовано: 7 января 2013 Рассказать Опубликовано: 7 января 2013 Кто подскажет, что за файл cgi-bin\php4.cgi? Дата создания 2011 год. Хотя по бэкапам до 22.12.12 его не было. Это значит что установлен PHP как CGI, это папка и файл от хостера. Прочитайте системные требования: http://dle-news.ru/request.html И на будущее: На данном форуме существуют достаточно жесткие правила, поэтому прежде чем создавать свою тему убедитесь вы внимательно их прочитали и поняли. 1. Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован. Цитата Ссылка на сообщение Поделиться на других сайтах
zMey 2 Опубликовано: 10 января 2013 Рассказать Опубликовано: 10 января 2013 Также не используйте PHP как CGI, FastCGI, SuPHP и т.д. Так эти режимы позволяют игнорировать ваши права установленные на файлы, именно поэтому потом у вас через шеллы удаляют файлы .htaccess а потом маскируют шеллы. Устанавливайте PHP как модуль Апача. Для Апача также лучше поставить модуль ITK Пожалуйста, приведите пруфлинк, ибо я слышу такой абсурд впервые, поскольку правами на файлы заведует ОС, а не модуль apache интерпретирующий PHP скрипты! какие функции php можно отключить, для безопастности? Не думаю что это может быть каким то гарантом безопасности. Очередное фееричное высказывание... А ничо, что функции "popen,exec,system,passthru,proc_open,shell_exec" отключают большую часть способов залить и запустить шелл, а главное большую часть фугкционала вебшелла, что является нехилым гарантом того, что скрипткиддисы не смогут проэксплойтить большую часть дырок. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
zMey 2 Опубликовано: 10 января 2013 Рассказать Опубликовано: 10 января 2013 (изменено) Со стороны DLE проблем нет. Почему? Объяснять долго и нужно обладать хорошими знаниями в области PHP. Ни в регистрации, ни в загрузке файлов, DLE не содержит уязвимостей и не содержит проблем. Это настолько спорное заявление, что с Вашей стороны было глупым это писать! Объясню почему: В DLE уязвимость в обработке бб-кодов в ПМ. Кроме того, сторонние люди уже оипубликовали тут дырку в проверке шаблонов. Таким образом мы понимаем, что Ваши слова об абсолютной безгрешности DLE не имеют под собой ровно никаких оснований и при появлении подобных тем с множеством одинаковых обращений Вам прежде всего необходимо писать что поиск дырки активно ведётся, а не то что вы дартаньяны... Изменено 10 января 2013 пользователем zMey 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 065 Опубликовано: 10 января 2013 Рассказать Опубликовано: 10 января 2013 Пожалуйста, приведите пруфлинк, ибо я слышу такой абсурд впервые, поскольку правами на файлы заведует ОС, а не модуль apache интерпретирующий PHP скрипты! Изучайте системное администрование. Конечно правами заведует OС и эта же OC запускает PHP интерпретатор и с какими правами она его запустит те и будут. В режиме CGI, FastCGI права у PHP интерпретатора, а значит у любого скрипта, будут от имени владельца аккаунта, потому как он будет запущен напрямую сервером. А если PHP как модуль Апача, то он будет запущен апачем и права у него будут такие же как и Апача Чувствуете разницу? Или для вас права владельца аккаунта и права Апача это одно и то же? Если вы не понимаете разницу, то я ничем вам не могу помочь, потому как вы не обладаете даже базовыми знаниями в системном администровании, а без этого в двух словах не объяснить. Для того чтобы обеспечить безопасность FastCGI нужно его настроить на специализированного chroot пользователя и дать ему крайне ограниченные права, чего абсолютное большинство никогда не делает а включает по умолчанию нажатием галочки в панели управления хостингом, например в панели ISP, а по умолчанию это владелец аккаунта с максимальным количеством прав. Хотели пруф линк, пожалуйста изучайте http://www.seaoffire.net/fcgi-faq.html там достаточно подробно написано, как можно настроить на безопасное использование FastCGI и именно настроить, а не включить галочкой в панели управления. Очередное фееричное высказывание... А ничо, что функции "popen,exec,system,passthru,proc_open,shell_exec" отключают большую часть способов залить и запустить шелл, а главное большую часть фугкционала вебшелла, что является нехилым гарантом того, что скрипткиддисы не смогут проэксплойтить большую часть дырок. Написать шелл любой функциональности я лично смогу и без этих функций, если вы не можете, то это не значит что это невозможно. Это настолько спорное заявление, что с Вашей стороны было глупым это писать! Объясню почему: В DLE уязвимость в обработке бб-кодов в ПМ. Кроме того, сторонние люди уже оипубликовали тут дырку в проверке шаблонов. Уязвимости в ББ кодах нет, была уязвимость в парсере шаблонов, вещи принципиально разные. Таким образом мы понимаем, что Ваши слова об абсолютной безгрешности DLE не имеют под собой ровно никаких оснований и при появлении подобных тем с множеством одинаковых обращений Вам прежде всего необходимо писать что поиск дырки активно ведётся, а не то что вы дартаньяны... Об этом я нигде и никогда не писал, вы лишь выдираете отдельные слова из контента. Если вы внимательно прочитаете эту тему то увидите что писал я про то что в модуле регистрации в DLE уязвимостей и проблем гарантированно нет, и это факт, проблем в регистрации в DLE нет, и писал я эту фразу когда обсуждалась регистрация. А вы лишь выдернули фразу из контента обсуждения и не более. 3 Цитата Ссылка на сообщение Поделиться на других сайтах
izbushkin 3 Опубликовано: 17 января 2013 Рассказать Опубликовано: 17 января 2013 Файлы minify_***.php в кеше создаёт включённая настройка Gzip сжатия в ДЛЕ. Ребята, а подскажите пожалуйста, наличие вот таких файлов в engine/cache/system это нормально? Или где то замаскированный вирус? Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 621 Опубликовано: 17 января 2013 Рассказать Опубликовано: 17 января 2013 это нормально? Или где то замаскированный вирус? Всё нормально. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.