Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon:

Сильный рост количества операций ввода-вывода на хосте

Аватар пользователя winny63

Есть сайт на Drupal 6.34. На нем - сайт-визитка + интернет-магазин на Ubercart с небольшим количеством товаров. Статей/товаров и связанных с ними файлов изображений немного. Загружаемых/скачиваемых файлов нет.
За последнюю неделю наблюдается сильный рост количества операций ввода-вывода на хосте (до этого такого никогда не наблюдалось даже при обычной средней нагрузке НЕ в праздничные дни, в течение которых существенной активности практически не было)
Статистика хоста по операциям ввода-вывода:
11.01.2015 195861
10.01.2015 198821
09.01.2015 193256
08.01.2015 151710
07.01.2015 184898
06.01.2015 63844
05.01.2015 30221
04.01.2015 37335

Материалов в эти дни никто особо не добавлял/изменял, клиентов минимум, левые боты "задушены" по IP...

0 Спасибо

Регистрация сквозь капчу?

Аватар пользователя venji

Здравствуйте, может кто сталкивался, откуда то берутся пользователи с окончанием mi - http://prntscr.com/5n87ay таких может быть 30-40 удалаяю они опять, при регистрации стоит капча он яндекса, как так?

0 Спасибо

Непонятные регистрации

Аватар пользователя Launder

ipregistrCete blocked
9 hours 42 min never edit

radiogamblingveX blocked
3 days 23 hours never edit

onlinespishyvado blocked
5 days 16 hours never edit

betwinserviceEr blocked
1 week 12 hours never edit

gsmrznkr blocked
1 week 1 day never edit

0 Спасибо

Поламали сайт HACKED BY ARAB WARRIORS TEAM

Аватар пользователя SergeyB

Поламали сайт, Drupal 7.22

Выглядел после взлома так - http://drupalir.com/node/62 (это не мой сайт), скриншот во вложении
19 декабря в 10.19 появился файл в корне - Anonriad.php, index.php был заменен.

Понятно, сам - не обновлял. Прошу помощи, если возможно определить как был сломан сайт, какие меры предпринять (что где почистить и проверить) перед обновлением.

Спасибо!

Содержимое Anonriad.php:

0 Спасибо

Нужна грамотная помощь в настройке...

Аватар пользователя Николай7

Здравствуйте.
Ситуация. Владею сайтом 1 год.Висел на хосте. Недавно получил письмо от яндекса, что на сайте завелся подозрительный скрипт, через день яндек сигнализировал что все нормально.Я не придал этому значения, по причине нехватки времени.и лоханулся..

Сайт на друпале 7.23.Недавно нарыл в админцентре..еще пару администраторов, спешно их удалил.Почта у них была дословно не помню но вроде drupalev@gmail.com.На хосте 2 моих сайта.Хостинг заблокировал отправку почты, так как с них идет спам письмами..куда то и кому то.

В общем данные типы и cpon делали и еше много чего.Сегодня зашел на сайт, не могу обновить не движок , ни модули, так как пишет ошибка при поиске обновлений.Плюс к сайту прикручен форум на IPB.Он тоже оказался недоступен.пишет - Driver Error

0 Спасибо

Отправка спама через служебные файлы drupal

Аватар пользователя tishka2

Здравствуйте! Надеюсь, кто-то сталкивался с данной проблемой, очень нужен совет...
Ситуация такая, что хостер отключил отправку писем на аккаунте, всего пострадало 8 сайтов, сделанных на Drupal. Мотивируют тем, что кто-то, пользуясь уязвимостью сайтов, отправлял спам.
Рекомендовали обратить внимание на следующие файлы (все файлы относятся к разным доменам):

/sites/all/modules/date/tests/press.php

/modules/update/tests/themes/update_test_basetheme/stats.php

/sites/all/modules/ctools/ctools_custom_content/plugins/export_ui/error.php

/modules/simpletest/tests/drupal_system_listing_incompatible_test/functions.ph

Может кому-то это о чем-то скажет? Также вот что они написали:

0 Спасибо

Взломали сайты

Аватар пользователя tematam

Всем привет!
У меня случилась беда.
Абсолютно все мои сайты взломали. Каким образом не понятно.
Сначала был введен код на странице http://sovbistroy.ru/user:
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'OKOFJ' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => LirDOP [:name_1] => OKOFJ ) в функции user_login_authenticate_validate() (строка 2154 в файле /home/s/sovbistrru/sovbistroy.ru/public_html/modules/user/user.module).

Потом около 50 попыток подбора пароля. Неудачных, т.к. подбирали для логина admin

0 Спасибо

Взломали сайты

Аватар пользователя tematam

Всем привет!
У меня случилась беда.
Абсолютно все мои сайты взломали. Каким образом не понятно.
Сначала был введен код на странице http://sovbistroy.ru/user:
PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'OKOFJ' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => LirDOP [:name_1] => OKOFJ ) в функции user_login_authenticate_validate() (строка 2154 в файле /home/s/sovbistrru/sovbistroy.ru/public_html/modules/user/user.module).

Потом около 50 попыток подбора пароля. Неудачных, т.к. подбирали для логина admin

0 Спасибо

[Решено] Странные ребята (попытка взлома)

Аватар пользователя qsoul

Что-то давно я не интересовался безопасностю... Хотел бы попросить знающих товарищей кое-что для меня прояснить. Последних пару дней наблюдаю й себя в логах примерно такую картину:


user ------ Login attempt failed for admin.
page not found ------ wp-login.php
page not found ------ admin.php Anonimous (not verified)
page not found ------ administrator
page not found ------ uploadify/uploadify.swf Anonimous (not verified)
page not found ------ includes/uploadify/uploadify.swf Anonimous (not verified)
page not found ------ lib/uploadify/uploadify.swf Anonimous (not verified)
page not found ------ js/uploadify/uploadify.swf Anonimous (not verified)
page not found ------ favicon.ico Anonimous (not verified)

0 Спасибо

Взлом друпала, левые админы и контент

Аватар пользователя anestezin

Сегодня неприятную штуку обнаружил на одном из своих сайтов. В аттаче скрины. Ума не приложу откуда это. Регистрация на сайте полностью закрыта. Созданные страницы ботов пусты, без контента. Помогите люди добрые, очень не приятно такое г.. на своем сайте видеть(((

0 Спасибо

[РЕШЕНО]в корне сайта появляется файл wso3.php

Аватар пользователя Stanislav

Приветствую всех.
Сайт попал под раздачу(взлом). Лишнее удалено, ядро обновил, но в корне появляется файл wso3.php , антивир на него вопит. Из гугла я понял, что это вебшел. Как вычистить от этой заразы?

0 Спасибо

Ботами созданы страницы (контент), как удалить?

Аватар пользователя linecash

Визуально страниц нет, но Google их видит, вот примеры : /.../masters-family-nurse-practitioner-over...; /.../6-major-prerequisites-getting-top-nurse...; /bureau-licensing-and-certification; /high-quality-massage-therapy; /.../fen-phen-combination-proves-unsafe-p... и т.д. При переходе по этим ссылкам, просто попадаю в свой раздел, и ни какого чужого контента якобы нет? В сниппетах Google стоит дата уже с Aug 29, 2014, я так предполагаю эти страницы могут быть связаны с модулем Metatag. Журнал постоянно пополняется ошибками входа в систему для ботов.

0 Спасибо

[РЕШЕНО] Защита от ботов fail2ban+csf сервера nginx c друпалом на борту

Аватар пользователя ttenz

Ты можешь хорошо оптимизировать сервер, настроить сайт на друпале, но спам-боты могут свести на нет все твои старания, вынуждая тебя переходит на более дорогой тариф, п.ч. они все время хотят больше кушать.

Настроим наш nginx сервер для победы над спам ботами --->>

Установка CFS (ConfigServer Firewall)

1. Качаем архив:

2. Распаковываем:

tar -xzf csf.tgz

3. Устанавливаем:

Если есть другие фаервольные скрипты, например UFW, то нужно их остановить. Правила в iptables удалятся автоматически.

ufw disable

cd csf

sh install.sh

Фаервол теперь установлен и теперь проверим все ли требуемы модули iptable доступны.

Читать далее...

0 Спасибо

Сессия для открыта

Аватар пользователя buldozer_kpi

Сессия для открыта - такие записи начали появляться в разделе Недавние записи.
Хронология записей с одного и того же IP (от более ранней до более поздней записи) имеет следующий вид:

(Ошибка php) mb_strlen() expects parameter 1 to be string, array given в файле /var/www/aviakompaniya/site.com/includes/unicode.inc в строке 410
(Ошибка php)mysqli_real_escape_string() expects parameter 2 to be string, array given в файле /var/www/site.com/includes/database.mysqli.inc в строке 323
(пользователь)Сессия для открыта
(Ошибка php)htmlspecialchars() expects parameter 1 to be string, array given в файле /var/www/site.com/includes/bootstrap.inc в строке 857."
(пользователь)Ошибка входа в систему для пользователя idehmfcw

И так несколько раз за день.

0 Спасибо

Боты на сайте, генерация "левого" контента

Аватар пользователя РоманKV

Всем добрый день! Ситуация следующая: за ночь на сайте зарегистрировалось несколько десятков "левых" пользователей с нечитаемыми однотипными именами. Утром из-под одного из аккаунтов пошла генерация контента с рекламой фармпрепаратов. Сайт "карманный", малопосещаемый, лишних пользователей и мусор удалил. Вопрос, что делать дальше. Страница с генерируемым контентом динамическая, формируется моим модулем. Права на создание - только у зарегистрированного пользователя. Версия ядра 7.34, вчера обновился. Сайт, насколько мог, проверил, признаков взлома нет. Регистрация на сайте с подтверждением через е-мейл.

Если я правильно понимаю ситуацию, бот регистрируется, генерирует заполненную страницу формы и постит ее. Из очевидного:

0 Спасибо

Вирус отправляет почту с сервера

Аватар пользователя Quty

Здравствуйте.
DirectAdmin показывает, что ежедневно с нашего сервера отправляется 1800-2800 email с системного ящика, создаваемого вместе с хостингом (hostinglogin@oursitename.com). Судя по отчётом модуля SMTP это не он отправляет эти письма. Письма отправляются каким-то образом из самих файлов скриптами PHP.

Обновились до 7.34, заменили пароли на всём от хостинга с базами, до root-администратора и всех email ящиков. На сайтах оставили только один профиль администратора, регистрацию полностью запретили (сайты информационные, регистрация в принципе не нужна).

Подали заявку на хостинге на проверку на вирусы. Проверка показала следующие результаты:

{HEX}php.base64.v23au.183 : ./oursite/public_html/sites/all/libraries/colorbox/example2/start.php

0 Спасибо

Антивирус (ли) Ai-bolit?

Аватар пользователя winny63

Кто что плохое/ хорошее может сказать про скрипт Ai-bolit?
А то по форуму какие-то отрывочные несвязанные мысли гуляют, а поисковики рекламным авторским спамом забиты...
Хотелось бы конкретики, плиз...

0 Спасибо

Взломали сайт на Drupal 6

Аватар пользователя TV-Child

Здравствуйте, уважаемые форумчане! Обращаюсь к вам за помощью! Сайт на Drupal 6 был взломан, теперь при обращении по адресу "сайт.ру/?for_um=/porno-hozyayka" выскавивает фишинговая страничка, имитирующая страницу "форума"(см. приложение). Помогите пожалуйста понять, как злоумышленник взломал сайт и как ликвидировать последствия. И залатать "дыру".
Большое спасибо всем за помощь!

0 Спасибо

Обновление с помощью drush

Аватар пользователя kivi

Доброго времени. Хочу обновить 7-ку с drush, но дела с ним не имела, и боюсь. Помогите с парой вопросов разобраться, пожалуйста

На хостинге (it-patrol) установлен. С одной стороны, вроде бы просто:

- подключиться по ssh
- cd domains/имя_сайта
- drush up drupal
После обновления в robots.txt и .htaccess внести свои правки заново, и файл для pathauto.

А как на самом деле? Нужно переводить сайт в режим обслуживания, отключать модули, менять тему - если стоит своя на базе Adaptivetheme, отключать кеширование? Вот как - просто взять и обновить Друпал?

0 Спасибо