ExBB Community » » Уязвимости » Уязвимость на форуме?

Страниц (3): « 1 [2] 3 »
 

16. 1Bot - 25 декабря 2013 — 08:14 - перейти к сообщению
Ранее уже обсуждали, но еще раз попробую напомнить:
Во все каталоги, кроме корневого для форума, рекомендую закачать (или добавить строчки к существующему) .htaccess с содержимым:

CODE:
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">
Deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Этим самым мы отключаем PHP в данном каталоге и заставляем для скриптов закрыть доступ.
Можно конечно попробовать загрузить и перезаписать сам .htaccess. Поэтому необходимо запретить конкретно у .htaccess права на запись.
CODE:
# chmod a-w .htaccess
17. nikk - 25 декабря 2013 — 12:28 - перейти к сообщению
сейчас опять прогнал скриптом свой форум и скрипт нашел:

CODE:
AI-BOLIT-DOUBLECHECK.php already exists.
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:


/uploads/att-20-50819df2d47ae.jpg
؞Q��9�k�kc�j�0���ϖ.2(�g��}p�c���O����E�$��+[�&m���n�Զ��e�u��(۸zg��ПодмигиваниеĚ�|AM!Rdh����C�zSMѧ������XS6� ���n���m! n# ��r9��9�t����4����r2�U�8>�u���

То-есть обычная фотка в формате jpg считается как вредный код?????
Яндекс-то опять присвоил метку о зараженности форума, может быть от фотки такие санкции? Растерялся
18. 1Bot - 25 декабря 2013 — 14:07 - перейти к сообщению
nikk
Пожалуйста, упакуйте этот файл и залейте сюда для анализа.
19. roma1 - 25 декабря 2013 — 14:22 - перейти к сообщению
nikk ещё мысль хотя непрофисеональная но изложу, у Вас на форуме можно гостям писать сообщения введя капчу, возможно ли ботам или злоумышленникам пробить эту защиту и подгрузить в сообщение таким путём вредоносный код? Ведь видно по статистике что 100 ботов не пробивают регистрацию но единицы все же попадают на форум и мы их удаляем. Почему злоумышленники не могут пробить вашу защиту в темах для написания сообщений гостями? это просто мысль дилетанта, может и нет с этим проблем.
20. nikk - 25 декабря 2013 — 14:45 - перейти к сообщению
1Bot пишет:
Пожалуйста, упакуйте этот файл и залейте сюда для анализа.


А я это... того... удалил короче.. Да и чего там может быть, фотка на jpg.. Растерялся
(Добавление)
roma1 пишет:
Почему злоумышленники не могут пробить вашу защиту в темах для написания сообщений гостями?

Мысль здравая, но у меня кажется все форумы от гостей закрыты.. Хм
Проверю-доложу... )
21. 1Bot - 25 декабря 2013 — 15:01 - перейти к сообщению
nikk пишет:
А я это... того... удалил короче.. Да и чего там может быть, фотка на jpg..

Улыбка оперативно!
22. WebMaster - 25 декабря 2013 — 15:09 - перейти к сообщению
Кстати, что мешает переименовать php файл в .jpg и уже выполнить его.
23. nikk - 25 декабря 2013 — 15:14 - перейти к сообщению
WebMaster пишет:
Кстати, что мешает переименовать php файл в .jpg и уже выполнить его.

Что мешает-что мешает? Щас-то уже ничего не мешает, а когда увидел, то со злости удалил мгновенно! Улыбка
24. 1Bot - 25 декабря 2013 — 15:21 - перейти к сообщению
WebMaster пишет:
что мешает переименовать php файл в .jpg и уже выполнить его.

Форум вообще-то прикрепляемые файлы - не картинки сжимает в архив, а вот картинки оставляет. Другое дело как apache интерпретирует файлы с расширениями .jpg .bmp .gif, ведь вполне может быть что на эти расширения вызывается apache-м заданный модуль для обработки.
25. nikk - 25 декабря 2013 — 15:31 - перейти к сообщению
но неужели картинка может быть вредоносным кодом? Я уже три раза отправлял Яндексу форум на проверку, и три раза Яша возвращял с пометкою "заражен".. Растерялся Там уже чистить-то нечего, да трафик упал в три раза.. С 1400 чел до 400-500.. Огорчение
(Добавление)
Одно "радует", форум зато щас не падает, посещаемость-то упала, соответственно и нагрузка на сервер стала меньше. Подмигивание
26. BON - 25 декабря 2013 — 15:39 - перейти к сообщению
nikk пишет:
о неужели картинка может быть вредоносным кодом?

может. яндекс сканит, неужели не говорит где косяк и на что конкретно ругается ?
27. nikk - 25 декабря 2013 — 15:51 - перейти к сообщению
BON пишет:
яндекс сканит, неужели не говорит где косяк и на что конкретно ругается ?


Yandex/MalTds

CODE:
Данный вердикт означает, что на странице присутствует тег <iframe>, атрибут src которого содержит доменное имя источника вредоносного ПО. Также тег <iframe> содержит атрибуты width и height со значениями от 0 до 2, либо код JavaScript. Данный код при исполнении добавляет тег <ifreme> на страницу.
Также тег <iframe> может включать в себя дополнительные атрибуты: frameborder=0, style="VISIBILITY:hidden",style="display:none".
Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.
Примеры вредоносного кода, по которым выносится вердикт Yandex/MalTds:
28. nikk - 25 декабря 2013 — 16:24 - перейти к сообщению
1Bot пишет:
Например
1) на папки форума необходимо задать права доступа на чтение/запись/выполнение для группы
CODE:
# chmod 770
:

У меня на эти папки стоит 755... Это нормально?
29. Zeg - 25 декабря 2013 — 17:14 - перейти к сообщению
Пока никаких фреймов в коде страниц не нахожу, скорее всего Яндекс немного отстает от реальности. Ждем-с.
30. roma1 - 25 декабря 2013 — 17:38 - перейти к сообщению
вот хотел зайти блин.

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0561]     [ ]