Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon:

Сообщение об ошибке раскрывает приватные данные - Как убрать грамотно для НЕ-Администраторов?

Аватар пользователя Друпал-юзер

Есть сайт на друпал.
Я к нему обращаюсь со сторонних сервисов(точнее это десктопная программа )
Накрывается база данных (сервер ) из-за нехватки оперативной памяти(ЭТО НЕ ПРОБЛЕМА! )
Этот вопрос я легко решаю перезапуском сервера MySQL
Но! При этом выводится сообщение об ошибке, ставящее под угрозу мой сайт:

Где указан и путь сайта, и логин на сервере который же является и именем базы данных и пользователя(все равно этот префикс идет по умолчанию, если я даже изменяю название базы добавляя дополнительные символы.
Это снижает мою БЕЗОПАСНОСТЬ.
Была задача, если к примеру ко мне пошел большой траф(а программа производила множество обращений к сайту в результате чего mysql и накрылся ),

0 Спасибо

Переадресация с Мобильных устройств (например с планшета) не левый (не Мой сайт) m.touchads.biz

Аватар пользователя Друпал-юзер

Расположил сайт на VPS-сервере.
Заметил что при переходе с мобильного устройства(например С планшета ) переадресовывается с моего сайта на левый m.touchads.biz
Браузер выдает Предупреждение, А после Если Перейти, открывается левый сайт.

При обращении к Сайту с настольного Компьютера - все нормуль.
Проверил Сайт (Сервер ) Антивирусом Linux Malware Detect. - ничего не нашел
В htaccess были Следующие строки:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]

0 Спасибо

Расположение картинок на перенесенном сайте с html на Drupal 7, их влияние на безопастность, и грамотная настройка? Нужен совет

Аватар пользователя Друпал-юзер

Здравствуйте!
Мой первый вопрос на drupal.ru.
Решил Либо в Настройку либо в Безопастность. Если все-таки в Настройка - то Просьба перенести
В общем так.
Заказал перенос сайта с html с инклюдами, на друпал, включая дизайн и структуру.
Всё перенесено корректно.(в целом, есть незначительные некритичные изменения )
За исключением картинок.
Картинке на сайте html располагались в папке site.zona/img/ (их превьюшки - туда же)
В друпал на перенесенном сайте автоматом подгружаются в site.zona/sites/default/files/styles/large/public/images/
А превьюшки этих картинок, автоматом уменьшаемые, подгружаются в site.zona/sites/default/files/styles/article_preview/public/

0 Спасибо

Права пользователей

Аватар пользователя web_drupal_edit

Доброе времени суток! Не подскажите решение следующей проблемы! Необходимо создать пользователя у которых есть права:
1. на загрузку файлов на сервер и редактирование всего содержимого сайте.
2. на редактирование содержимого сайта.
3. на редактирование только отдельных стариц.
Заранее вас благодарю за ответ!

0 Спасибо

Защита Drupal от спам-ботов на основе Keypic

Аватар пользователя eugeniqa

Keypic - это стартап энтузиастов, взявших на себя миссию сделать интернет безопасным и доступным для всех, полностью вытеснив своим решением традиционную CAPTCHA.

Для разработчиков на базе Drupal разработан модуль Keypic

0 Спасибо

Какой из двух вариантов проверки безопаснее?

Аватар пользователя qwert123

Скриптом проверяется по крону папка с сайтом на наличие новых появившихся файлов либо изменения существующих, делается это как можно догадаться для безопасности, чтобы при появлении вируса тут же его вычислить где он появился. Проверять все новые файлы в папке files нелогично, поэтому есть два варианта настройки проверки, чтобы не нагружать систему:

1) Проверять папку сайта включая ВСЕ расширения исключив просто директорию files
2) Проверять папку сайта полностью включая папку files но исключив расширения файлов для проверки jpeg, jpg, rar и пр.

0 Спасибо

При входе в сессию (логин) пишет, что пароль не првильный. Drupal 7 + uLogin (опционально)

Аватар пользователя DesignStudio

При входе в сессию (логин) пишет, что пароль не првильный, хотя от 100% правильный.
Войти в акк можно только восстановлением пароля.

Более подробно и поэтапно:
1. Создаю пользователя (логин/пароль) > вход (смотрим хеш, ок)
2. Выход из сессии (хеш не меняется)
3. Вход (логин/пароль) > "Неверный пароль" (смотрю хеш, не поменялся)
4. Восстановление пароля > мейл со ссылкой > новый пароль (смотрим хеш, все ок, поменялся)...
5. Выход > вход ... все то же самое

В общем такое впечатление, что хеш для проверки считается не правильно,
ибо пароль правильный и он не менялся. А может проблема вообще не в этом?
Пожалуйста, подскажите в чем может быть причина и где рыть?

Дополнительно: использую uLogin, но для проверки его отключал — результат тот же.

0 Спасибо

Нет возможности зайти на сайт

Аватар пользователя NightLion

Добрый день! сайт работал исправно пока не появилась надпись Сайт сейчас на техническом обслуживании. Скоро он заработает вновь. Благодарим вас за терпение. Через админку тоже нет возможности зайти как с этим бороться и в чем проблема! спасибо!

0 Спасибо

Закрыть доступ к админке Apache Solr для чужих...

Аватар пользователя misterpronin

Есть VPS от Linode, CentOS, Apache Solr 4 ... Использую на сайте фасетный поиск. Обнаружил что в админку Apache Solr-а может зайти любой желающий по адресу domain.com:8983/solr .

Полагаю доступ можно закрыть с помощью iptables ... Нашёл в инете вот такой вот способ -

iptables -A INPUT --dport 8983 -j ACCEPT

Но он не работает. Пишется iptables v1.4.7: unknown option '--dport'

В iptables не силён. Подскажите пожалуйста как быть.

0 Спасибо

Вместо сайта запрос пароля

Аватар пользователя alex-litvinov

Добрый день, у меня возникла проблема с сайтом. Как то раз зашел на сайт http://belglassprom.ru/ а вместо него поле для ввода пароля, зайти на какие либо страницы не могу/ Файловая система визуально не повреждена. Подскажите кто-нибудь сталкивался с такой ситуацией?

0 Спасибо

Решено:Взломали сайт (Был не взлом)

Аватар пользователя W_A_S_A_B_I

Некоторое время на сайте кто-то производил множественную регистрацию с бредовыми никами. Я сначала по ip банил, потом поставил модуль, который задает вопрос и типа если бот регистрирует, то он ответа на него найти не сможет. С этим справился. А вот сегодня в один прекрасный момент при заходе на сайт выдало следующую надпись:

В чем дело?

0 Спасибо

Взломали сайт. Как найти причину?

Аватар пользователя VasyOK

Веду один сайт на D6. Делал его не я и особо не познакомился еще. Вполне вероятно, причина простая.

0 Спасибо

Права на редактирование только части блоков как дать?

Аватар пользователя yexel

Уважаемые коллеги!
Расскажите, как можно дать права конечному пользователю на частичное редактирование блоков?
Сейчас, если для модуля Block устанавливаю право на "Управление блоками", то у пользователя появляются права на редактирование всех параметров блоков.
Необходимо, чтобы пользователь мог бы редактировать только "Содержимое блока",
а такие поля, как "Заголовок блока", "Настройки региона" и все поля в "Настройке видимости" - править бы не мог.

Может быть есть какие-либо модули для решения такой задачи?

0 Спасибо

Подозрительные действия в журнале событий

Аватар пользователя pankov-anton

Последние несколько дней, в журнале событий наблюдаются очень странные действия. Неавторизованный пользователь вводит ссылки вида:
bn/js/checkbox/js/script.js
layouts/"/path/to/boxsizing.htc"
raboty/layouts/"/path/to/boxsizing.htc"
metki/layouts/"/path/to/boxsizing.htc"

Что это такое? Как это можно объяснить?

0 Спасибо

users/admin

Аватар пользователя pankov-anton

При вводе на сайте url вида users/admin идет автоматическая переадресация на users/vasa, где vasa - это администратор сайта.
Почему происходит? Почему так просто узнать логин администратора?

0 Спасибо

Домашнии сервер и его безопасность

Аватар пользователя vyck24

Создал домашнии веб сервер на платформе убунту сервер, и тепери стоит задача как его лучше защитить от дос атак. Думаю включить firewall на роутере и на самой машине и разрешить только определьоном портам. Стоит вопрос: какой лучше включить (на роутере или машине или оба) и как влияет на скорость подключение к машине, и какие порты нужно открывать кроме 80. Жду ваше мнение и советы. Спасибо.

0 Спасибо

Вирус на сайте

Аватар пользователя S555mile

Сегодня мне пришло письмо от хостера, где сказано, что: нами был обнаружен подозрительный код в файлах .htaccess на Вашем хостинг-аккаунте v-8057 Ниже приводится список подозрительных строчек в файлах, с указанием их местоположения:

Файл: ~/www/peptidy.kz/.htaccess
Строка 47: RewriteRule ^ http://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

С помощью этих строчек происходит перенаправление посетителей на другие ресурсы, эти ресурсы могут содержать вирусы или фишинговые страницы.
Проконсультруйтесь с Вашими разработчиками, возможно эти строчки необходимы для работы сайта, в этом случае, чтобы избежать ложных срабатываний Вам необходимо добавить в конец этих строчек следующий текст: #peptidy.kz

0 Спасибо

drupal 6.30 SA-CORE-2013-003 - Drupal core - Multiple vulnerabilities не получаеться настроить .htaccess для папок tmp и temp

Аватар пользователя Rkirilll

После обновления до 6.30 появилось сообщение о незащищенной директории:
Temporary files directory Not fully protected
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the \files directory to help protect against arbitrary code execution.
Применял указанные здесь рекомендации к папкам tmp, temp, результата не принесло.

0 Спасибо

Редирект с сайта на загрузку, где искать!?

Аватар пользователя Websaytov

Всем привет! Зашел на с телефона на сайт, появлялось окно на загрузку файла Fvl_Player , с компа все нормально, почистил htaccess, как обычно, и тут при заходе на сайт с компа происходит редирект на другой сайт (скрин 1) через 5 секунд переход на загрузку (скрин 2), с другого компа и с телефона захожу и вот такое вижу (скрин 3). Где копать, что искать?

Скрин1

Скрин2

Скрин3

0 Спасибо

проблема с доступом к admin/content/

Аватар пользователя ritch

Граждане!

Прошу помощи.
Не открывается admin/content ... хоть тресни

Вместе с этим не открывается нода, созданная мной. Не знаю, можно ли связывать эти факты
В пятницу все замечательно работало.

Даже не знаю, с чего начать и как подступиться ..

Прошу помощи

0 Спасибо