Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Техническая поддержка версии 2.22 »   Как защититься от взлома?
RSS

Как защититься от взлома?

В продолжении темы про вирус на форуме

Текущий рейтинг темы: Нет
Выводить сообщения

<<Назад  Вперед>>Страницы: 1 2 3 4
Модераторы: aerograf, wsx
Печать
 
Dearheart
Почетный участник


Откуда: Нижний Новгород
Всего сообщений: 130
Рейтинг пользователя: 4


Ссылка


Дата регистрации на форуме:
27 дек. 2007

4X_Pro написал:
[q]
Вопрос ко всем, кто пострадал от взлома: у вас открытие http-адресов через fopen было разрешено или нет?
[/q]

А как это проверить?

---
Форум для родителей детей с ВПС: http://forum.dearheart.ru
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
На одном из форумов http://forum.searchengines.ru/...80580.html прочитал:
[q]
allow_url_include - это лучше выключить, а то в дырявой CMS умудрятся прогрузить php-шел \":)\"

allow_url_fopen=off хостеры ставят чтобы юзеры меньше палили входящего трафика или не занимались проксированием. В общем это действительно либо недалекость, либо паранойя.

А вот allow_url_include это уже серьезно. особенно в купе с register_globals=on

Пример - есть некотороя переменная в которой указывается с каким типом БД мы работаем.
И согласно ее значению подгружается определенный модуль, т.е. файл с куском кода.

имеем возможность изначально назначить эту переменную в запросе и получить инклюд файла.

Если кроме того разрешено инклюдить файлы по http - с любого внешнего сервера инклюдится все что угодно, выполняется, и через секунду у вас на сайте хакерский шелл, утилиты для рассылки спама и много иных вкусностей.
[/q]
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Все верно, я как раз allow_url_include и allow_url_fopen имел в виду. Проверить их можно с помощью функции phpinfo (нужно положить на хостинг файл, содержащий и выполнить его. register_globals тоже должны быть выключены. (Intboard при нормальной работе ничего из перечисленного не испольузет.)

[q]
А какой конфиг? Где?
[/q]

Основной конфиг Intboardа... Есть подозрение, что при включенном register_globals если обойти фильтрацию с помощью addslashes, можно туда что-то вбросить при определенных обстоятельствах.

[q]
Админку движка или чего?
[/q]

Да, именно движка. Там же есть возможность, зная пароль Systemа (который могли получить/поменять через SQL-уязвимость), редактировать конфиг тот же (и вписать в него код, который модифицирует index.php) или стилевые файлы.

Вот три направления взлома, которые представляются мне наиболее вероятными.

[q]
А у тебя каким образом openproj.ru и на socioclub.org взломали?
[/q]

Судя по всему, точно так же, как и у остальных. В первый момент предполагал, что взломали FTP (так как перестал подходить пароль), но потом выяснилось, что FTP не ломали, а у меня просто произошла путаница: не к тому серверу подключался.
---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007

4X_Pro написал:
[q]
register_globals тоже должны быть выключены. (Intboard при нормальной работе ничего из перечисленного не испольузет.)
[/q]

Прописал в .htaccess на всякий пожарный
php_flag register_globals off
php_flag allow_url_include off

Опция allow_url_fopen имеет статус PHP_INI_SYSTEM, поэтому в .htaccess изменить её не получится.
Написал хостеру - он отключил её в рамках моего аккаунта.
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
4X_Pro, благодарю за подробные ответы.
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
Dearheart, какие у вас стоят флаги или стояли в момент взлома?

У меня были:
php_flag register_globals off
php_flag allow_url_include off
php_flag allow_url_fopen on
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007

Florell написал:
[q]
Больше не понимаю, почему дата и время файла не изменились.
[/q]

Есть разные даты. Дата последнего изменения inode - ctime, последней модификации содержимого файла - mtime и последнего доступа - atime. Зависит от того на какую дату смотрели при обнаружении взлома. Также можно с помощью команды touch изменить, например, mtime на нужную дату, т.е. подстроить так, как-будто файл не модифицировался.

Florell написал:
[q]
Как это все возникло не понимаю.
[/q]

Ситуация очень похожа на то, когда с компьютера с которого осуществлялся административный доступ к сайту троянской программой похищается пароли от FTP, после чего производится автоматическое заражение файлов сайта. Преимущественно файлов с началом имени index.* main.* .

Оффтопик: Комментарий моего хостера


У меня доступ по FTP ограничен несколькими ip-адресами. Если даже пароль и хакнут, доступ будет затруднен..
Dearheart
Почетный участник


Откуда: Нижний Новгород
Всего сообщений: 130
Рейтинг пользователя: 4


Ссылка


Дата регистрации на форуме:
27 дек. 2007
assessor, что конкретно ты прописал в htaccess? Я попробовал тоже туде добавить
php_flag register_globals off
php_flag allow_url_include off

Так у меня сразу misconfiguration error 500 вылетела.

---
Форум для родителей детей с ВПС: http://forum.dearheart.ru
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007

Dearheart написал:
[q]
Так у меня сразу misconfiguration error 500 вылетела.
[/q]

У меня тоже один раз вылетала на 500. Но потом всё нормально.

Dearheart, что у вас прописано сейчас, до исправлений?
php_flag register_globals ?????
php_flag allow_url_include ?????
php_flag allow_url_fopen ????
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Dearheart, нужно так писать php_flag register_globals "off" или вместо php_flag использовать php_value. Файл .htaccess нужно грузить в ASCII (text) mode.
И еще это не будет рабоать, если PHP выполняется как CGI, а не как модуль Apache.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
<<Назад  Вперед>>Страницы: 1 2 3 4
Модераторы: aerograf, wsx
Печать
Intellect Board — cистема управления сайтом »   Техническая поддержка версии 2.22 »   Как защититься от взлома?
RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.0697. Количество выполненных запросов: 17, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!