celsoft 6 072 Опубликовано: 7 марта 2017 Рассказать Опубликовано: 7 марта 2017 17 минут назад, SKYNET74 сказал: В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав? Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае. Цитата Ссылка на сообщение Поделиться на других сайтах
SKYNET74 315 Опубликовано: 7 марта 2017 Рассказать Опубликовано: 7 марта 2017 1 час назад, celsoft сказал: Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае. Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить... Вот элементарно как вы говорите поступим, пришла ссылка, открывать опасно в браузере где есть авторизация + не видно что за ней (если вручную не раскодировать base64), мы как добропорядочные админы копируем её в буфер, открываем другой браузер, открываем там, но go.php не пустит нас по ней без реферера сайта, как то так вобщем получается... Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную... Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил. Если видим в URL что там http://g00gleapis.com/awdhiohgte , то сразу можно туда не ходить, но мы не видим куда нас посылают. Есть ещё один вариант, это сделать шаблон для go.php, там уже будет видеть куда нас посылают, и хотим ли мы туда перейти, как впрочем сделано сейчас у всех популярных ресурсов. На правоту не претендую, просто будет о чём поразмышлять. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 7 марта 2017 Рассказать Опубликовано: 7 марта 2017 1 час назад, SKYNET74 сказал: Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить... После этого сообщения я понимаю что вести с вами разговор лишено вообще какого либо смысла. Внимательно прочитайте мои сообщения, и то о чем я писал. И как только вы там найдете фразу "никуда не ходить", я буду продолжать разговор с вами. 1 час назад, SKYNET74 сказал: Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную... Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ. Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега. 1 час назад, SKYNET74 сказал: Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил. Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать. Цитата Ссылка на сообщение Поделиться на других сайтах
akuba 4 Опубликовано: 7 марта 2017 Рассказать Опубликовано: 7 марта 2017 Автор 5 часов назад, SKYNET74 сказал: В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав? И хотите сказать было бы не видна странность при просмотре URL такой ссылки? абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта. ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло. Цитата Ссылка на сообщение Поделиться на других сайтах
SKYNET74 315 Опубликовано: 7 марта 2017 Рассказать Опубликовано: 7 марта 2017 4 часа назад, celsoft сказал: Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ. Да вкурсе так то, но если мне память не изменяет, то время от времени находятся способы обойти песочницу браузеров, так что тоже не совсем безопасно. Лучше уж с другого. 4 часа назад, celsoft сказал: Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега. Ну в контексте темы обсуждалась проблема с go.php, так что примеры относительно него. Я прекрасно понимаю что в системе ещё куча других мест где можно провернуть подобное, если вы там тоже недоследите относительно фильтрации, не просто так же вы новый парсер интегрировали, он лучше разбирает все эти дела и отфильтровывает не корректные данные. 4 часа назад, celsoft сказал: Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать. Вот есть у вас местный сайтик города например, вам прислали ссылку на интересный материал на другом сайте, если следовать вашим словам, нужно игнорить и не в коем случае не переходить... Прямо админ под осадой какой то получается... 55 минут назад, akuba сказал: абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта. ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло. Если бы видели что там в url JS код огромной длинны, думаю это вам бросилось бы в глаза, не зря же адрес ссылки появляется в левом нижнем углу при наведении курсора на неё... 1 Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 7 марта 2017 Рассказать Опубликовано: 7 марта 2017 немножко не в тему, но как пример: мне недавно прислали вполне себе стандартное письмо с запросом на размещение рекламы. ничего подозриительного типа девочка-рекламный менеджер, вся такая вежливая, цены изучила на сайте, условия, выбрали вместе день размещения прислала рекламные материалы, запароленный архив на я.диске, чтоб он не проверил содержимое. а внутри вирус на вопрос "какого?" ничего не ответил(а), слилась так что зловумышленники не дремлют. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
morgenshtern 5 Опубликовано: 19 апреля 2017 Рассказать Опубликовано: 19 апреля 2017 Меня тоже сегодня взломали. Вредоносный код был в файле config.php, также обнаружил нового админа на сайте. Пришлось останвить nginx и разбираться во всем. Хорошо что быстро обнаружил подвох и во всем разобрался, понятное дело кулцхакер за это время мог слить базу. Но чем еще грозит этот взлом? Подозрительных файлов не нашел, пароли сменил везде Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 19 апреля 2017 Рассказать Опубликовано: 19 апреля 2017 25 минут назад, morgenshtern сказал: Меня тоже сегодня взломали. Вредоносный код был в файле config.php, также обнаружил нового админа на сайте. Пришлось останвить nginx и разбираться во всем. У вас серьезные проблемы с безопасностью вашего сервера. То что описано здесь, эта уязвимость если не установить патч, позволяет получить доступ к админпанели скрипта DLE, но даже администратор не может внедрить вредоносный код в config.php через DLE. Так что вполне возможно что у вас воспользовались вовсе не этой уязвимостью. Ну или в config.php не было зловреда, а лишь попытка его добавить. Если бы вы привели код, в том виде как он там был, я бы уже смог вам сказать точно. 28 минут назад, morgenshtern сказал: Но чем еще грозит этот взлом? Что может сделать администратор в админпанели, то и закрывает данный патч. В админпанели, даже будучи администратором нельзя загрузить шелл, или скачать базу данных. Даже если создать бекап БД, то скачать его можно только по FTP, т.к. его имя недоступно и неизвестно. Но это касается только этой уязвимости. Если воспользовались например какой нибудь уязвимостью сервера, и на сервере появился шелл, то уже что угодно могли сделать на сервере. Цитата Ссылка на сообщение Поделиться на других сайтах
morgenshtern 5 Опубликовано: 19 апреля 2017 Рассказать Опубликовано: 19 апреля 2017 Ну судя по моему случаю, админ все же смог внедрить вредоносный код в config.php из под админки. Я напишу вам в личку Цитата Ссылка на сообщение Поделиться на других сайтах
Lothr 0 Опубликовано: 20 июня 2017 Рассказать Опубликовано: 20 июня 2017 А если все таки нажал на ссылку, но патч установлен. Ничего страшного? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 21 июня 2017 Рассказать Опубликовано: 21 июня 2017 12 часа назад, Lothr сказал: А если все таки нажал на ссылку, но патч установлен. Ничего страшного? Если патч установлен, то опасаться нечего. Вы можете проверить список действий в админпанели в соотвествующем разделе, если там не произведено никаких действий в момент вашего нажатия, которые вы не делали, значит патч успешно сработал. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 22 июня 2017 Рассказать Опубликовано: 22 июня 2017 Надежней не лог действий смотреть (могут не сразу воспользоваться), а смотреть кто появился в группе Админов и Редакторов. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 22 июня 2017 Рассказать Опубликовано: 22 июня 2017 1 час назад, MSK сказал: Надежней не лог действий смотреть (могут не сразу воспользоваться), а смотреть кто появился в группе Админов и Редакторов. В логах появление администратора или какого либо другого пользователя также отобразится. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 23 июня 2017 Рассказать Опубликовано: 23 июня 2017 Если я правильно помню, число последних записей в логах ограничено. И поэтому может возникнуть митуация, когда в логах уже нет этой записи. Цитата Ссылка на сообщение Поделиться на других сайтах
Captain 623 Опубликовано: 23 июня 2017 Рассказать Опубликовано: 23 июня 2017 10 минут назад, MSK сказал: Если я правильно помню, число последних записей в логах ограничено. И поэтому может возникнуть митуация, когда в логах уже нет этой записи. По умолчанию и минимум списки действий в админ-панели хранятся 30 дней, в настройках безопасности скрипта это число можно увеличить. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.