Форум Сайтостроение Безопасность

Вирус на сайте cms dle

1... 456789101112 ...61
bukachuk
На сайте с 07.09.2008
Offline
97
bukachuk
#71
seosniks:
register_globals 0

magic_quotes_gpc надо глянуть. Щас изучу пациентов.

Если надо логи готов предоставить спецу для изучения.

Показывайте:)

---------- Добавлено 14.01.2013 в 22:54 ----------

VHS-1980:
а логи по дате модификации файлов еще никто не смотрел?=)

А что толку то, все нормальные хацкеры уже давно тачем все меняют и тип топ

Программирование PHP,Mysql (/ru/forum/934470)
S
На сайте с 10.09.2011
Offline
75
serforall
#72
seosniks:


Я уверен что взлом там где есть регистрация. То есть там где юзеры могут регаться.

Тоже такого мнения!

Товарищи что скажите насчет этого http://forum.antichat.ru/showpost.php?p=3344536&postcount=248 ?

......
seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#73
bukachuk:
Показывайте:)

---------- Добавлено 14.01.2013 в 22:54 ----------



Отправил вам логи.

S
На сайте с 23.08.2011
Offline
80
stingman
#74

Регистрация открыта на всех сайтах, а сломали только 1

serforall:

Товарищи что скажите насчет этого http://forum.antichat.ru/showpost.php?p=3344536&postcount=248 ?

Вроде как закрыли эту дырку http://dle-news.ru/bags/v97/1538-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html

[Удален]
#75

Разгадал, как сайт ломанули, не банил хакера специально, логировал его POST запросы когда он в следующий раз в гости зашел)

1. Php код встраивается в гифку и заливается в качестве аватарки.

2. В личных сообщения (а може где еще прокатит) вставляется код (не скажу есесно какой 🙅) и сообщение отправляется. Для работоспособности должны быть разрешены теги картинок.

3. При прочтении сообщения запустится шелл.

Патч http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html исправляет данную уязвимость.

bukachuk
На сайте с 07.09.2008
Offline
97
bukachuk
#76
seosniks:
Отправил вам логи.

В этом куске лога особо подозрительного не увидел. Только не ясна судьба /uploads/fotos/foto_256.gif ?? А сайты в open_basedir лежат или нет?

seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#77
bukachuk:
В этом куске лога особо подозрительного не увидел. Только не ясна судьба /uploads/fotos/foto_256.gif ?? А сайты в open_basedir лежат или нет?

В смысле?

В скриптах пути используются так ./ ../ / Все работает.

А так надо в конфиге смотреть.

bukachuk
На сайте с 07.09.2008
Offline
97
bukachuk
#78
seosniks:
В смысле?


В скриптах пути используются так ./ ../ / Все работает.

А так надо в конфиге смотреть.

phpinfo(); open_basedir параметр

Очень часто делают как. Ломают один сайт на сервере, а гадят на другом - чтобы сбить вас с толку, это надо исключить

S
На сайте с 10.09.2011
Offline
75
serforall
#79
GizmoKoenig:
Разгадал, как сайт ломанули, не банил хакера специально, логировал его POST запросы когда он в следующий раз в гости зашел)

Можно подробнее узнать как именно логировали его запросы?

Скрипт был такого вида: 


header('Content-type: image/gif');

require('GifMerge.class.php');

$i = array("frame01.gif","frame02.gif","frame03.gif", ...);

$d = array(10, 10, 10, ...);

$x = array(0, 0, 0, ...);

$y = array(0, 0, 0, ...);

$anim = new GifMerge($i, 255, 255, 255, 0, $d, $x, $y, 'C_FILE');

echo $anim->getAnimation();
?
[Удален]
#80
serforall:
Можно подробнее узнать как именно логировали его запросы?

Скрипт был такого вида: 

header('Content-type: image/gif');
require('GifMerge.class.php');
$i = array("frame01.gif","frame02.gif","frame03.gif", ...);
$d = array(10, 10, 10, ...);
$x = array(0, 0, 0, ...);
$y = array(0, 0, 0, ...);
$anim = new GifMerge($i, 255, 255, 255, 0, $d, $x, $y, 'C_FILE');
echo $anim->getAnimation();
?

Вычислил его профиль по IP, потом в init.php после include_once ENGINE_DIR . '/modules/sitelogin.php';

if(!empty($member_id['name']) && ($member_id['name'] == 'username') && !empty($_POST)) {
    mail('admin@xxxxxxxx', 'Hacking Attemp!', print_r($_SERVER, true) . "\r\n" . print_r($_REQUEST, true));
}
1... 456789101112 ...61

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий