Уязвимость

Взлом сайта. Публикация спамных комментариев минуя одобрение

Аватар пользователя ScorpionGhost

Здравствуйте, подскажите, пожалуйста, кто сталкивался с подобным?
С одного и того же IP, размещаются спамные комментарии от незарегистрированных пользователей, автоматически “проходят одобрение” и сразу становятся видимыми как пользователям, так и поисковым системам. Комментарии от других анонимов с других IP – ждут проверки и одобрения.
Где искать? Никаких левых пользователей с административными правами не выявлено. Ядро и модули обновлены.

Указывает на Санкт-Петербург:
46.161.9.31
46.161.9.32

0 Спасибо

Обновлениe

Аватар пользователя evgeny_sam

Вышли обновления, устранено 10 уязвимостей в Drupal 6, 7 и 8. Ошибки позволяют получить доступ выполнить произвольный код.
Прекращена поддержка версии Drupal 6.

0 Спасибо

Критическая уязвимость (CVE-2015-0235) у серверов под Linux

Аватар пользователя ttenz

Новая уязвимость GHOST ((CVE-2015-0235) в библиотеке glibc (GNU C Library))
Уязвимость в распространенных дистрибутивах Linux может позволить злоумышленнику получить удаленный контроль над системой. Под ударом оказались пользователи Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04.
http://habrahabr.ru/company/pt/blog/249097/

проверяем, есть ли она.

от рута:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

если vulnarable, то

Debian, Ubuntu:

sudo apt-get clean
sudo apt-get update
sudo apt-get upgrade
sudo reboot

остальные:

1 Спасибо

Внимание! Критическая уязвимость во всех версиях drupal ниже Drupal 7.32 (Highly critical) (update 9)

Аватар пользователя sibero

Критическая уязвимость во всех версиях drupal 7-ой ветки, которой был присвоен уровень "Highly critical". Уязвимость позволяет выполнить произвольный sql запрос на сайте (сменить пароль для админа, включить php фильтр и добавить произвольный php код в одну из нод). Необходимо срочно обновляться до Drupal 7.32, если возможности сейчас срочно обновиться нет, то как минимум нужно использовать патч https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch устраняющий проблему.

Минигайд по патчу(вручную):
В файле includes/database/database.inc
находим строку:
foreach ($data as $i => $value) {
и заменяем её на:
foreach (array_values($data) as $i => $value) {

0 Спасибо

[Решено] Сообщения об уязвимостях в движках и их модулях

Аватар пользователя Antoniy

Есть такой сайт intelligentexploit.com
Кроме прочих движков и даже Винды с Макоосью, сообщает и об уязвимостях в Drupal и модулях.
Можно по email подписаться на эти сообщения, приходят каждый день.
Лента уязвимостей Drupal intelligentexploit.com/search-results.html?search=drupal
Вот сегодня, например, затрубил про Drupal Display Suite 7.x Cross Site Scripting intelligentexploit.com/view-details.html?id=16662
Как вам? Практично?

0 Спасибо

Нужен аудит безопасности сайта

Аватар пользователя LessonsLearned

Уважаемые коллеги,

есть проект www.lessonslearned.ru. Дошли руки и до обеспечения безопасности. Добровольцы разбирающиеся в обеспечении безопасности сайта, просьба помочь. Нужен аудит безопасности с выдачей рекомендаций. Спасибо!

С уважением,
Алексей

0 Спасибо

Новый инструмент web-аудита выявил, что большинство сайтов не уделяют внимание безопасности

Аватар пользователя VVS

Компания Qualys, специализирующаяся на безопасности, выпустила Open Source приложение Blind Elephant (Слепой Слон) главное назначение которого - анализ уязвимостей в веб-приложениях. Одной из основных проблем, которую призвана решить утилита, это точное определение установленных web-приложений и их версий, что порой сделать самому достаточно затруднительно.

С помощью Blind Elephant было проанализировано более миллиона веб-сайтов, и была собрана следующая статистика по уязвимостям:

* уязвимы 91% сайтов с blog-движком Movable Type;
* уязвимы 92% сайтов с CMS Joomla!;
* уязвимы 95% сайтов с CMS MediaWiki;
* уязвимы 85% сайтов с веб-приложением PHPMyAdmin для управления СУБД MySQL;
* уязвимы 74% сайтов с CMS Moodle;
* уязвимы 70% сайтов с CMS Drupal;
* уязвимы 65% сайтов с SPIP;

Самым небезопасным приложением в статистике оказался форумный движок phpBB - уязвимости были обнаружены на всех исследованных сайтах. Самым безопасным оказался движок для блогов WordPress - уязвимости были найдены только на 4% инсталляций.

Принцип работы Blind Elephant заключается не в поиске уязвимостей как таковых, а подсчёте HASH (контрольных) сумм файлов, установленных на веб-сервере, и сравнение их с базой уже известных файлов.

Копипаст отсюда.

p.s. Что скажете? :)

0 Спасибо

Уязвимость или неправильная настройка комментариев?

Аватар пользователя Vladimir.G

На сайте, созданном на Друпал, разрешил давать комментарии для некоторых материалов. Обнаружил, что народ умудряется не просто комментарий вставить, но еще и SEO позаниматься: под видом комментария вставляют УРЛы на другие сайты. При чем делают хитро, их наличие можно заметить только когда нажимаешь в /admin/content/comment "Изменьть": кратковременно появляется их "нехороший текст", а затем в окне fckeditor-а появляется "милый моему глазу" текст. Переключаясь в окно plain text editor "нехороший текст" я не нахожу.

Что происходит? Можно ли как то с этим бороться?

0 Спасибо

Уязвимости кривого апдейта 6.16

Аватар пользователя mak-vardugin

Провел тест уязвимостей хорошо обновленного и плохо обновленного сайтов (с 6.15 до 6.16) сканером XSpider 7.7 Build 3253, результат приводить не буду. Но те кто плохо обновился рискуют остаться без сайта. Прога выявляет 2 возможности для SQL инъекций. Так что обновляйтесь внимательно.

0 Спасибо

уязвимость в Boost

Аватар пользователя NaZg

Программа: Drupal Boost Module версии до 6.x-1.03

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю создать произвольные директории на системе.

Уязвимость существует из-за неизвестной ошибки в Boost модуле, которая позволяет удаленному пользователю создать новые директории в корневом каталоге Web сервера.

URL производителя: drupal.org/project/boost

Решение: Установите последнюю версию 6.x-1.03 с сайта производителя.

URL адреса:

0 Спасибо

уязвимость в OG

Аватар пользователя NaZg

Программа: Drupal Organic Groups версии до 5.x-7.4, 5.x-8.1 и 6.x-1.4

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: drupal.org/project/og

0 Спасибо

Уязвимость в модуле devel

Аватар пользователя Ильич Рамирес Санчес

Обнаружена уязвимость в модуле devel.
Источник: drupal.org. SA-2008-001 - DEVEL - CROSS SITE SCRIPTING

Обнаружена уязвимость выполнения скриптов с другого сайта.

Разработчики, пользующие это чудо на рабочих сайтах - обновляемся тут http://drupal.org/node/208526

0 Спасибо

Ломаем captcha. Тестовое погружение в тему.

Аватар пользователя VladSavitsky

Продолжаем бороться с роботами. Возьмём спам-бот на мушку и стрельнем пару раз.

Вводная

Википедия: Captcha:

"CAPTCHA (от англ. «Completely Automated Public Turing test to tell Computers and Humans Apart» — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей) — торговая марка Университет Карнеги - Меллона, компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Термин появился в 2000 году. Основная идея теста: предложить пользователю такую задачу, которую легко решает человек, но которую невозможно (или крайне трудно) научить решать компьютер. В основном это задачи на распознавание образов."

Углубляемся в проблему

Всё бы хорошо, но спамеры не дураки, хотя и уважать их за это мы не будем. Но и они могут совершать ошибки и просто не успевать что-то сделать. Одно радует - противник достойный. Находчивый и сообразительный. Очень ценю это в людях.

Итак, есть простые и элегантные способы обойти капчу:

Уязвимости защиты

При недостаточной квалификации веб-программиста бот может пройти CAPTCHA, не распознавая изображённых символов. В этом случае бот либо подменяет идентификатор сессии, либо по какой-либо информации, содержащейся на странице, определяет, какие символы изображены на картинке.

Угадывание

0 Спасибо

XSS уязвимость в Image Assist

Аватар пользователя VladSavitsky

Речь идёт о Image Assist 5.x-1.4.

Описание модуля:
Модуль позволяет пользователям загружать и вставлять inline-изображения в посты. Автоматически создаётся значок "Добавить изображение" под текстовой областью по вашему выбору.
Зависит от: Image

0 Спасибо