CMS DataLife Engine - Система управления сайтами

Sign in to follow this  
akuba

Критическая уязвимость (v11.1)

Recommended Posts

17 минут назад, SKYNET74 сказал:

В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав?

Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае.

Share this post


Link to post
Share on other sites
1 час назад, celsoft сказал:

Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае.

Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить...
Вот элементарно как вы говорите поступим, пришла ссылка, открывать опасно в браузере где есть авторизация + не видно что за ней (если вручную не раскодировать base64), мы как добропорядочные админы копируем её в буфер, открываем другой браузер, открываем там, но go.php не пустит нас по ней без реферера сайта, как то так вобщем получается... Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную...

Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил.
Если видим в URL что там http://g00gleapis.com/awdhiohgte , то сразу можно туда не ходить, но мы не видим куда нас посылают.

Есть ещё один вариант, это сделать шаблон для go.php, там уже будет видеть куда нас посылают, и хотим ли мы туда перейти, как впрочем сделано сейчас у всех популярных ресурсов.

На правоту не претендую, просто будет о чём поразмышлять.

  • Upvote 1

Share this post


Link to post
Share on other sites
1 час назад, SKYNET74 сказал:

Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить...

После этого сообщения я понимаю что вести с вами разговор лишено вообще какого либо смысла. Внимательно прочитайте мои сообщения, и то о чем я писал. И как только вы там найдете фразу "никуда не ходить", я буду продолжать разговор с вами.

 

1 час назад, SKYNET74 сказал:

Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную...

Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ. 

 

Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега.

 

1 час назад, SKYNET74 сказал:

Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил.

Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать.

Share this post


Link to post
Share on other sites
5 часов назад, SKYNET74 сказал:

В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав?
И хотите сказать было бы не видна странность при просмотре URL такой ссылки?

абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.

 

ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.

Share this post


Link to post
Share on other sites
4 часа назад, celsoft сказал:

Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ. 

Да вкурсе так то, но если мне память не изменяет, то время от времени находятся способы обойти песочницу браузеров, так что тоже не совсем безопасно. ;)
Лучше уж с другого.

4 часа назад, celsoft сказал:

Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега.

Ну в контексте темы обсуждалась проблема с go.php, так что примеры относительно него.
Я прекрасно понимаю что в системе ещё куча других мест где можно провернуть подобное, если вы там тоже недоследите относительно фильтрации, не просто так же вы новый парсер интегрировали, он лучше разбирает все эти дела и отфильтровывает не корректные данные.
 

4 часа назад, celsoft сказал:

Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать.

Вот есть у вас местный сайтик города например, вам прислали ссылку на интересный материал на другом сайте, если следовать вашим словам, нужно игнорить и не в коем случае не переходить...
Прямо админ под осадой какой то получается...
 

55 минут назад, akuba сказал:

абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.

 

ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.

Если бы видели что там в url JS код огромной длинны, думаю это вам бросилось бы в глаза, не зря же адрес ссылки появляется в левом нижнем углу при наведении курсора на неё...

  • Upvote 1

Share this post


Link to post
Share on other sites

немножко не в тему, но как пример:

мне недавно прислали вполне себе стандартное письмо с запросом на размещение рекламы. ничего подозриительного

типа девочка-рекламный менеджер, вся такая вежливая, цены изучила на сайте, условия, выбрали вместе день размещения
прислала рекламные материалы, запароленный архив на я.диске, чтоб он не проверил содержимое.

а внутри вирус :) на вопрос "какого?" ничего не ответил(а), слилась

так что зловумышленники не дремлют.

 

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Меня тоже сегодня взломали. Вредоносный код был в файле config.php, также обнаружил нового админа на сайте. Пришлось останвить nginx и разбираться во всем.

Хорошо что быстро обнаружил подвох и во всем разобрался, понятное дело кулцхакер за это время мог слить базу. Но чем еще грозит этот взлом? Подозрительных файлов не нашел, пароли сменил везде

Share this post


Link to post
Share on other sites
25 минут назад, morgenshtern сказал:

Меня тоже сегодня взломали. Вредоносный код был в файле config.php, также обнаружил нового админа на сайте. Пришлось останвить nginx и разбираться во всем.

У вас серьезные проблемы с безопасностью вашего сервера. То что описано здесь, эта уязвимость если не установить патч, позволяет получить доступ к админпанели скрипта DLE, но даже администратор не может внедрить вредоносный код в config.php через DLE. Так что вполне возможно что у вас воспользовались вовсе не этой уязвимостью. Ну или в config.php не было зловреда, а лишь попытка его добавить. Если бы вы привели код, в том виде как он там был, я бы уже смог вам сказать точно.

28 минут назад, morgenshtern сказал:

Но чем еще грозит этот взлом?

Что может сделать администратор в админпанели, то и закрывает данный патч. В админпанели, даже будучи администратором нельзя загрузить шелл, или скачать базу данных. Даже если создать бекап БД, то скачать его можно только по FTP, т.к. его имя недоступно и неизвестно. Но это касается только этой уязвимости. Если воспользовались например какой нибудь уязвимостью сервера, и на сервере появился шелл, то уже что угодно могли сделать на сервере.

Share this post


Link to post
Share on other sites

Ну судя по моему случаю, админ все же смог внедрить вредоносный код в config.php из под админки. Я напишу вам в личку

Share this post


Link to post
Share on other sites

А если все таки нажал на ссылку, но патч установлен. Ничего страшного?

Share this post


Link to post
Share on other sites
12 часа назад, Lothr сказал:

А если все таки нажал на ссылку, но патч установлен. Ничего страшного?

Если патч установлен, то опасаться нечего. Вы можете проверить список действий в админпанели в соотвествующем разделе, если там не произведено никаких действий в момент вашего нажатия, которые вы не делали, значит патч успешно сработал.

Share this post


Link to post
Share on other sites

Надежней не лог действий смотреть (могут не сразу воспользоваться), а смотреть кто появился в группе Админов и Редакторов.

Share this post


Link to post
Share on other sites
1 час назад, MSK сказал:

Надежней не лог действий смотреть (могут не сразу воспользоваться), а смотреть кто появился в группе Админов и Редакторов.

В логах появление администратора или какого либо другого пользователя также отобразится.

Share this post


Link to post
Share on other sites

Если я правильно помню, число последних записей в логах ограничено. И поэтому может возникнуть митуация, когда в логах уже нет этой записи.

Share this post


Link to post
Share on other sites
10 минут назад, MSK сказал:

Если я правильно помню, число последних записей в логах ограничено. И поэтому может возникнуть митуация, когда в логах уже нет этой записи.

По умолчанию и минимум списки действий в админ-панели хранятся 30 дней, в настройках безопасности скрипта это число можно увеличить.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this