- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пробежался глазами и как то не увидел темы про Друпал 7. А между тем это просто катастрофа. Со старых времен осталось три проекта на Друпал, на двух из них обнаружил взлом за 16 число (патч вышел 15-го) плюс скомпрометирован сервер.
В общем не тяните, если есть Друпал, обновиться еще надо было три дня назад причем обязательно.
Если коротко, то sql injection, непривилегированный пользователь может создать учетную запись админа и выполнить любой код на сервере.
Подробнее, с примерами: http://www.securitysift.com/drupal-7-sqli/
Если коротко, то sql injection, непривилегированный пользователь может создать учетную запись админа и выполнить любой код на сервере.
Можно реальный пример? установить на демо хост, и продемонстрируйте.
На drupal 6 уязвимость не распространяется?
Можно реальный пример? установить на демо хост, и продемонстрируйте.
Оптимизайка дал ссылку на эксплойт. Про "админа" я имел в виду админа виртуального хоста. В моем случае еще как то повысили привилегии системы до рута (линукс тоже не без уязвимостей).
Сегодня прошелся по знакомым проектам. Многое вломано. Детектил по наличию аккаунта с правами админа в системе. Везде одинаковые имена, думаю уже тупо идут через поиск и ломают все вподряд.
На drupal 6 уязвимость не распространяется?
нет, там специфично для Drupal 7 ORM
Забудьте про Drupal это не движок, а одни проблемы. И на Safari он толком не работает.
Юзера как звать?
Юзера как звать?
drupaldev, роль megauser
Sano000, подтверждаю, на 4-х сайтах часов 15 назад есть drupaldev.
Черти, придётся прямо сейчас обновлять.
да, есть drupaldev....
Минигайд по патчу(вручную):
В файле includes/database/database.inc
находим строку:
foreach ($data as $i => $value) {
и заменяем её на:
foreach (array_values($data) as $i => $value) {
Если такой строки нет - уточняйте, возможно ваш хостер уже наложил патч (в виду критичности проблемы).
вот еще почитайте, важно: http://www.zionsecurity.com/blog/2014/10/automated-exploiting-and-backdooring-drupal-7-web-servers
я бы советовал пользоваться drush. Сегодня им обновил десяток сайтов за пол часа.
Вообще за проектами нужно следить, а я забил на эти сайты - как итог взлом сервера с проектами поважнее :(