Intellect Board — cистема управления сайтомПостроение сайта на основе форума |
Intellect Board — cистема управления сайтом » Техническая поддержка версии 2.22 » Как защититься от взлома? |
<<Назад Вперед>> | Страницы: 1 2 3 4 Модераторы: aerograf, wsx | Печать |
assessor
Долгожитель форума
Всего сообщений: 495 Рейтинг пользователя: 14 Ссылка Дата регистрации на форуме: 13 фев. 2007 |
А у тебя каким образом openproj.ru и на socioclub.org взломали? 4X_Pro написал: Судя по всему, точно так же, как и у остальных. 4X_Pro, а как у остальных? Точного диагноза нельзя поставить? |
Dearheart
Почетный участник
Откуда: Нижний Новгород Всего сообщений: 130 Рейтинг пользователя: 4 Ссылка Дата регистрации на форуме: 27 дек. 2007 |
assessor написал: Dearheart, что у вас прописано сейчас, до исправлений? До исправлений все три стояли в "on" У меня у того же хостера крутится ещё один форум, у него php_flag allow_url_include стоял в "off", а остальные в 'on" и этот форум не сломали. Так что возможно что именно эту дырку использовали. ---
Форум для родителей детей с ВПС: http://forum.dearheart.ru |
assessor
Долгожитель форума
Всего сообщений: 495 Рейтинг пользователя: 14 Ссылка Дата регистрации на форуме: 13 фев. 2007 |
Dearheart написал: До исправлений все три стояли в "on" Понятно. У меня в оффе стоял php_flag allow_url_include, поэтому и не взломали. Надо еще у 4X_Pro спросить, какие у него флаги стояли? |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 2 декабря 2011 13:17 Сообщение отредактировано: 2 декабря 2011 13:36
При той информации, что мы имеем — вряд ли. Во-первых, логи слишком огромны, чтобы найти опасный запрос (особенно с учетом ситуации, когда непонятно, что именно искать), а если взлом делался с помощью POST-запроса, то его параметры в логах вообще не сохраняются. Если бы знать либо точное время взлома, либо в каком файле находится уязвимость (точнее, из первого можно было бы вывести второе, просмотрев в логах несколько предшествующих запросов), тогда бы были шансы ее найти. У меня из этих флагов включен был только allow_url_fopen. Если ломали действительно через это, то надо искать все места, где открываются через fopen файлы, имена которых не являются константой. Кроме того, вспомнил сейчас, что в админке есть такая функция, как установка дополнений, которая позволяет вполне легально загружать и выполнять определенный PHP-код, так как когда-то предполагалось выпускать обновления и дополнения к форуму в виде патчей, которые будут через нее ставиться, но не прижилось. Если получили доступ к админке с правами System, то вполне могли и через эту функцию взломать. В общем, на всякий случай файл admin/addon.php советую удалить. ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Еще сейчас зашел в Яндекс-Webmaster и обнаружил, что вредоносный код на страницах был обнаружен 22 ноября. ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
Dearheart
Почетный участник
Откуда: Нижний Новгород Всего сообщений: 130 Рейтинг пользователя: 4 Ссылка Дата регистрации на форуме: 27 дек. 2007 |
4X_Pro написал: Еще сейчас зашел в Яндекс-Webmaster и обнаружил, что вредоносный код на страницах был обнаружен 22 ноября. Это Яндекс так обнаружил, на саммом деле взлом был 21 ноября примерно в 22 часа. А функция fopen с переменным именем у нас используется например в логах - там в имя файла вставляется дата. ---
Форум для родителей детей с ВПС: http://forum.dearheart.ru |
assessor
Долгожитель форума
Всего сообщений: 495 Рейтинг пользователя: 14 Ссылка Дата регистрации на форуме: 13 фев. 2007 |
Еще одна жертва http://www.uroconsultant.ru/ |
assessor
Долгожитель форума
Всего сообщений: 495 Рейтинг пользователя: 14 Ссылка Дата регистрации на форуме: 13 фев. 2007 |
А есть ли смысл magic_quotes_gpc в On поставить? Какое действие этого флага ? |
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик Откуда: Москва Всего сообщений: 3299 Рейтинг пользователя: 70 Ссылка Дата регистрации на форуме: 29 сен. 2001 |
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 5 декабря 2011 13:02 Сообщение отредактировано: 5 декабря 2011 13:07
Смысл того флага — автоматическое экранирование кавычек в данных, передаваемых на сервер. Поможет или нет — сказать трудно (вроде в MySQL можно его обойти, использовав нестандартные виды кавычек), а вот в названиях тем и сообщениях вместо кавычек будут появляться конструкции вида \". Dearheart, имя должно быть не просто переменным, а как-то зависеть от параметров, принимаемых со стороны пользователя (т.е. данных из $_GET или $_POST). ---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно! |
assessor
Долгожитель форума
Всего сообщений: 495 Рейтинг пользователя: 14 Ссылка Дата регистрации на форуме: 13 фев. 2007 |
Профиль | Сообщить модератору | Игнорировать
NEW! Сообщение отправлено: 5 декабря 2011 18:51 Сообщение отредактировано: 5 декабря 2011 18:51 4X_Pro написал: Нам, простым пользователям, точно это место не найти. имя должно быть не просто переменным, а как-то зависеть от параметров, принимаемых со стороны пользователя (т.е. данных из $_GET или $_POST). Dearheart, вот ты знаешь дату взлома, а есть ли у тебя логи за эту дату. Было бы легче искать. |
<<Назад Вперед>> | Страницы: 1 2 3 4 Модераторы: aerograf, wsx | Печать |
Intellect Board — cистема управления сайтом » Техническая поддержка версии 2.22 » Как защититься от взлома? |
2 посетителя просмотрели эту тему за последние 10 минут |
В том числе: 2 гостя, 0 скрытых пользователей |
Последние | |
Ограничение доступа не отображаются разделы Архив версий Установка стиля на Intellect Board 2.22 Завершилась работа над новой версией 3.00 |
Самые активные 5 тем | |