Перейти к публикации

Рекомендованные сообщения

17 минут назад, SKYNET74 сказал:

В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав?

Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, celsoft сказал:

Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае.

Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить...
Вот элементарно как вы говорите поступим, пришла ссылка, открывать опасно в браузере где есть авторизация + не видно что за ней (если вручную не раскодировать base64), мы как добропорядочные админы копируем её в буфер, открываем другой браузер, открываем там, но go.php не пустит нас по ней без реферера сайта, как то так вобщем получается... Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную...

Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил.
Если видим в URL что там http://g00gleapis.com/awdhiohgte , то сразу можно туда не ходить, но мы не видим куда нас посылают.

Есть ещё один вариант, это сделать шаблон для go.php, там уже будет видеть куда нас посылают, и хотим ли мы туда перейти, как впрочем сделано сейчас у всех популярных ресурсов.

На правоту не претендую, просто будет о чём поразмышлять.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, SKYNET74 сказал:

Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить...

После этого сообщения я понимаю что вести с вами разговор лишено вообще какого либо смысла. Внимательно прочитайте мои сообщения, и то о чем я писал. И как только вы там найдете фразу "никуда не ходить", я буду продолжать разговор с вами.

 

1 час назад, SKYNET74 сказал:

Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную...

Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ. 

 

Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега.

 

1 час назад, SKYNET74 сказал:

Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил.

Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать.

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, SKYNET74 сказал:

В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав?
И хотите сказать было бы не видна странность при просмотре URL такой ссылки?

абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.

 

ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.

Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, celsoft сказал:

Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ. 

Да вкурсе так то, но если мне память не изменяет, то время от времени находятся способы обойти песочницу браузеров, так что тоже не совсем безопасно. ;)
Лучше уж с другого.

4 часа назад, celsoft сказал:

Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега.

Ну в контексте темы обсуждалась проблема с go.php, так что примеры относительно него.
Я прекрасно понимаю что в системе ещё куча других мест где можно провернуть подобное, если вы там тоже недоследите относительно фильтрации, не просто так же вы новый парсер интегрировали, он лучше разбирает все эти дела и отфильтровывает не корректные данные.
 

4 часа назад, celsoft сказал:

Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать.

Вот есть у вас местный сайтик города например, вам прислали ссылку на интересный материал на другом сайте, если следовать вашим словам, нужно игнорить и не в коем случае не переходить...
Прямо админ под осадой какой то получается...
 

55 минут назад, akuba сказал:

абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.

 

ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.

Если бы видели что там в url JS код огромной длинны, думаю это вам бросилось бы в глаза, не зря же адрес ссылки появляется в левом нижнем углу при наведении курсора на неё...

Ссылка на сообщение
Поделиться на других сайтах

немножко не в тему, но как пример:

мне недавно прислали вполне себе стандартное письмо с запросом на размещение рекламы. ничего подозриительного

типа девочка-рекламный менеджер, вся такая вежливая, цены изучила на сайте, условия, выбрали вместе день размещения
прислала рекламные материалы, запароленный архив на я.диске, чтоб он не проверил содержимое.

а внутри вирус :) на вопрос "какого?" ничего не ответил(а), слилась

так что зловумышленники не дремлют.

 

 

Ссылка на сообщение
Поделиться на других сайтах
  • 1 месяц спустя...

Меня тоже сегодня взломали. Вредоносный код был в файле config.php, также обнаружил нового админа на сайте. Пришлось останвить nginx и разбираться во всем.

Хорошо что быстро обнаружил подвох и во всем разобрался, понятное дело кулцхакер за это время мог слить базу. Но чем еще грозит этот взлом? Подозрительных файлов не нашел, пароли сменил везде

Ссылка на сообщение
Поделиться на других сайтах
25 минут назад, morgenshtern сказал:

Меня тоже сегодня взломали. Вредоносный код был в файле config.php, также обнаружил нового админа на сайте. Пришлось останвить nginx и разбираться во всем.

У вас серьезные проблемы с безопасностью вашего сервера. То что описано здесь, эта уязвимость если не установить патч, позволяет получить доступ к админпанели скрипта DLE, но даже администратор не может внедрить вредоносный код в config.php через DLE. Так что вполне возможно что у вас воспользовались вовсе не этой уязвимостью. Ну или в config.php не было зловреда, а лишь попытка его добавить. Если бы вы привели код, в том виде как он там был, я бы уже смог вам сказать точно.

28 минут назад, morgenshtern сказал:

Но чем еще грозит этот взлом?

Что может сделать администратор в админпанели, то и закрывает данный патч. В админпанели, даже будучи администратором нельзя загрузить шелл, или скачать базу данных. Даже если создать бекап БД, то скачать его можно только по FTP, т.к. его имя недоступно и неизвестно. Но это касается только этой уязвимости. Если воспользовались например какой нибудь уязвимостью сервера, и на сервере появился шелл, то уже что угодно могли сделать на сервере.

Ссылка на сообщение
Поделиться на других сайтах

Ну судя по моему случаю, админ все же смог внедрить вредоносный код в config.php из под админки. Я напишу вам в личку

Ссылка на сообщение
Поделиться на других сайтах
  • 2 месяца спустя...
12 часа назад, Lothr сказал:

А если все таки нажал на ссылку, но патч установлен. Ничего страшного?

Если патч установлен, то опасаться нечего. Вы можете проверить список действий в админпанели в соотвествующем разделе, если там не произведено никаких действий в момент вашего нажатия, которые вы не делали, значит патч успешно сработал.

Ссылка на сообщение
Поделиться на других сайтах

Надежней не лог действий смотреть (могут не сразу воспользоваться), а смотреть кто появился в группе Админов и Редакторов.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, MSK сказал:

Надежней не лог действий смотреть (могут не сразу воспользоваться), а смотреть кто появился в группе Админов и Редакторов.

В логах появление администратора или какого либо другого пользователя также отобразится.

Ссылка на сообщение
Поделиться на других сайтах

Если я правильно помню, число последних записей в логах ограничено. И поэтому может возникнуть митуация, когда в логах уже нет этой записи.

Ссылка на сообщение
Поделиться на других сайтах
10 минут назад, MSK сказал:

Если я правильно помню, число последних записей в логах ограничено. И поэтому может возникнуть митуация, когда в логах уже нет этой записи.

По умолчанию и минимум списки действий в админ-панели хранятся 30 дней, в настройках безопасности скрипта это число можно увеличить.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...