Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Техническая поддержка версии 2.22 »   Как защититься от взлома?
RSS

Как защититься от взлома?

В продолжении темы про вирус на форуме

Текущий рейтинг темы: Нет
Выводить сообщения

<<Назад  Вперед>>Страницы: 1 2 3 4
Модераторы: aerograf, wsx
Печать
 
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
А у тебя каким образом openproj.ru и на socioclub.org взломали?

4X_Pro написал:
[q]
Судя по всему, точно так же, как и у остальных.
[/q]

4X_Pro, а как у остальных? Точного диагноза нельзя поставить?

Dearheart
Почетный участник


Откуда: Нижний Новгород
Всего сообщений: 130
Рейтинг пользователя: 4


Ссылка


Дата регистрации на форуме:
27 дек. 2007

assessor написал:
[q]
Dearheart, что у вас прописано сейчас, до исправлений?
php_flag register_globals ?????
php_flag allow_url_include ?????
php_flag allow_url_fopen ????
[/q]


До исправлений все три стояли в "on"
У меня у того же хостера крутится ещё один форум, у него php_flag allow_url_include стоял в "off", а остальные в 'on" и этот форум не сломали. Так что возможно что именно эту дырку использовали.

---
Форум для родителей детей с ВПС: http://forum.dearheart.ru
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007

Dearheart написал:
[q]
До исправлений все три стояли в "on"
[/q]

Понятно. У меня в оффе стоял php_flag allow_url_include, поэтому и не взломали.

Надо еще у 4X_Pro спросить, какие у него флаги стояли?


4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
При той информации, что мы имеем — вряд ли. Во-первых, логи слишком огромны, чтобы найти опасный запрос (особенно с учетом ситуации, когда непонятно, что именно искать), а если взлом делался с помощью POST-запроса, то его параметры в логах вообще не сохраняются. Если бы знать либо точное время взлома, либо в каком файле находится уязвимость (точнее, из первого можно было бы вывести второе, просмотрев в логах несколько предшествующих запросов), тогда бы были шансы ее найти.

У меня из этих флагов включен был только allow_url_fopen. Если ломали действительно через это, то надо искать все места, где открываются через fopen файлы, имена которых не являются константой.
Кроме того, вспомнил сейчас, что в админке есть такая функция, как установка дополнений, которая позволяет вполне легально загружать и выполнять определенный PHP-код, так как когда-то предполагалось выпускать обновления и дополнения к форуму в виде патчей, которые будут через нее ставиться, но не прижилось. Если получили доступ к админке с правами System, то вполне могли и через эту функцию взломать.
В общем, на всякий случай файл admin/addon.php советую удалить.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Еще сейчас зашел в Яндекс-Webmaster и обнаружил, что вредоносный код на страницах был обнаружен 22 ноября.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Dearheart
Почетный участник


Откуда: Нижний Новгород
Всего сообщений: 130
Рейтинг пользователя: 4


Ссылка


Дата регистрации на форуме:
27 дек. 2007

4X_Pro написал:
[q]
Еще сейчас зашел в Яндекс-Webmaster и обнаружил, что вредоносный код на страницах был обнаружен 22 ноября.
[/q]

Это Яндекс так обнаружил, на саммом деле взлом был 21 ноября примерно в 22 часа.

А функция fopen с переменным именем у нас используется например в логах - там в имя файла вставляется дата.

---
Форум для родителей детей с ВПС: http://forum.dearheart.ru
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
Еще одна жертва http://www.uroconsultant.ru/
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007
А есть ли смысл magic_quotes_gpc в On поставить?
Какое действие этого флага ?
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
Смысл того флага — автоматическое экранирование кавычек в данных, передаваемых на сервер. Поможет или нет — сказать трудно (вроде в MySQL можно его обойти, использовав нестандартные виды кавычек), а вот в названиях тем и сообщениях вместо кавычек будут появляться конструкции вида \".

Dearheart, имя должно быть не просто переменным, а как-то зависеть от параметров, принимаемых со стороны пользователя (т.е. данных из $_GET или $_POST).

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
assessor
Долгожитель форума


Всего сообщений: 495
Рейтинг пользователя: 14


Ссылка


Дата регистрации на форуме:
13 фев. 2007

4X_Pro написал:
[q]
имя должно быть не просто переменным, а как-то зависеть от параметров, принимаемых со стороны пользователя (т.е. данных из $_GET или $_POST).
[/q]
Нам, простым пользователям, точно это место не найти.


Dearheart, вот ты знаешь дату взлома, а есть ли у тебя логи за эту дату. Было бы легче искать.
<<Назад  Вперед>>Страницы: 1 2 3 4
Модераторы: aerograf, wsx
Печать
Intellect Board — cистема управления сайтом »   Техническая поддержка версии 2.22 »   Как защититься от взлома?
RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.0946. Количество выполненных запросов: 17, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!