Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon:

Вирус отправляет почту с сервера

Аватар пользователя Quty

Здравствуйте.
DirectAdmin показывает, что ежедневно с нашего сервера отправляется 1800-2800 email с системного ящика, создаваемого вместе с хостингом (hostinglogin@oursitename.com). Судя по отчётом модуля SMTP это не он отправляет эти письма. Письма отправляются каким-то образом из самих файлов скриптами PHP.

Обновились до 7.34, заменили пароли на всём от хостинга с базами, до root-администратора и всех email ящиков. На сайтах оставили только один профиль администратора, регистрацию полностью запретили (сайты информационные, регистрация в принципе не нужна).

Подали заявку на хостинге на проверку на вирусы. Проверка показала следующие результаты:

{HEX}php.base64.v23au.183 : ./oursite/public_html/sites/all/libraries/colorbox/example2/start.php

0 Thanks

Антивирус (ли) Ai-bolit?

Аватар пользователя winny63

Кто что плохое/ хорошее может сказать про скрипт Ai-bolit?
А то по форуму какие-то отрывочные несвязанные мысли гуляют, а поисковики рекламным авторским спамом забиты...
Хотелось бы конкретики, плиз...

0 Thanks

Взломали сайт на Drupal 6

Аватар пользователя TV-Child

Здравствуйте, уважаемые форумчане! Обращаюсь к вам за помощью! Сайт на Drupal 6 был взломан, теперь при обращении по адресу "сайт.ру/?for_um=/porno-hozyayka" выскавивает фишинговая страничка, имитирующая страницу "форума"(см. приложение). Помогите пожалуйста понять, как злоумышленник взломал сайт и как ликвидировать последствия. И залатать "дыру".
Большое спасибо всем за помощь!

0 Thanks

Обновление с помощью drush

Аватар пользователя kivi

Доброго времени. Хочу обновить 7-ку с drush, но дела с ним не имела, и боюсь. Помогите с парой вопросов разобраться, пожалуйста

На хостинге (it-patrol) установлен. С одной стороны, вроде бы просто:

- подключиться по ssh
- cd domains/имя_сайта
- drush up drupal
После обновления в robots.txt и .htaccess внести свои правки заново, и файл для pathauto.

А как на самом деле? Нужно переводить сайт в режим обслуживания, отключать модули, менять тему - если стоит своя на базе Adaptivetheme, отключать кеширование? Вот как - просто взять и обновить Друпал?

0 Thanks

Внимание! Критическая уязвимость во всех версиях drupal ниже Drupal 7.32 (Highly critical) (update 9)

Аватар пользователя sibero

Критическая уязвимость во всех версиях drupal 7-ой ветки, которой был присвоен уровень "Highly critical". Уязвимость позволяет выполнить произвольный sql запрос на сайте (сменить пароль для админа, включить php фильтр и добавить произвольный php код в одну из нод). Необходимо срочно обновляться до Drupal 7.32, если возможности сейчас срочно обновиться нет, то как минимум нужно использовать патч https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch устраняющий проблему.

Минигайд по патчу(вручную):
В файле includes/database/database.inc
находим строку:
foreach ($data as $i => $value) {
и заменяем её на:
foreach (array_values($data) as $i => $value) {

0 Thanks

Перенаправление http в https

Аватар пользователя BOGrus

Установил ssl сертификат и хочу что бы все страницы сайта перенаправлялись с http на https
В .htaccess добавил

0 Thanks

Двух факторная авторизация при помощи электронного ключа ruToken.

Аватар пользователя Andersen1313

Здравствуйте, представители сообщества Drupal.
Реально ли реализовать двух факторную авторизацию типа:

логин/пароль
+
предоставление электронного ключа, т.е. пользователь должен вставить электронный ключ ruToken в гнездо usb компьютера?

Может быть есть модуль позволяющий такое реализовать?

0 Thanks

Сообщение об ошибке раскрывает приватные данные - Как убрать грамотно для НЕ-Администраторов?

Аватар пользователя Друпал-юзер

Есть сайт на друпал.
Я к нему обращаюсь со сторонних сервисов(точнее это десктопная программа )
Накрывается база данных (сервер ) из-за нехватки оперативной памяти(ЭТО НЕ ПРОБЛЕМА! )
Этот вопрос я легко решаю перезапуском сервера MySQL
Но! При этом выводится сообщение об ошибке, ставящее под угрозу мой сайт:

Где указан и путь сайта, и логин на сервере который же является и именем базы данных и пользователя(все равно этот префикс идет по умолчанию, если я даже изменяю название базы добавляя дополнительные символы.
Это снижает мою БЕЗОПАСНОСТЬ.
Была задача, если к примеру ко мне пошел большой траф(а программа производила множество обращений к сайту в результате чего mysql и накрылся ),

0 Thanks

Переадресация с Мобильных устройств (например с планшета) не левый (не Мой сайт) m.touchads.biz

Аватар пользователя Друпал-юзер

Расположил сайт на VPS-сервере.
Заметил что при переходе с мобильного устройства(например С планшета ) переадресовывается с моего сайта на левый m.touchads.biz
Браузер выдает Предупреждение, А после Если Перейти, открывается левый сайт.

При обращении к Сайту с настольного Компьютера - все нормуль.
Проверил Сайт (Сервер ) Антивирусом Linux Malware Detect. - ничего не нашел
В htaccess были Следующие строки:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]

0 Thanks

Расположение картинок на перенесенном сайте с html на Drupal 7, их влияние на безопастность, и грамотная настройка? Нужен совет

Аватар пользователя Друпал-юзер

Здравствуйте!
Мой первый вопрос на drupal.ru.
Решил Либо в Настройку либо в Безопастность. Если все-таки в Настройка - то Просьба перенести
В общем так.
Заказал перенос сайта с html с инклюдами, на друпал, включая дизайн и структуру.
Всё перенесено корректно.(в целом, есть незначительные некритичные изменения )
За исключением картинок.
Картинке на сайте html располагались в папке site.zona/img/ (их превьюшки - туда же)
В друпал на перенесенном сайте автоматом подгружаются в site.zona/sites/default/files/styles/large/public/images/
А превьюшки этих картинок, автоматом уменьшаемые, подгружаются в site.zona/sites/default/files/styles/article_preview/public/

0 Thanks

Права пользователей

Аватар пользователя web_drupal_edit

Доброе времени суток! Не подскажите решение следующей проблемы! Необходимо создать пользователя у которых есть права:
1. на загрузку файлов на сервер и редактирование всего содержимого сайте.
2. на редактирование содержимого сайта.
3. на редактирование только отдельных стариц.
Заранее вас благодарю за ответ!

0 Thanks

Защита Drupal от спам-ботов на основе Keypic

Аватар пользователя eugeniqa

Keypic - это стартап энтузиастов, взявших на себя миссию сделать интернет безопасным и доступным для всех, полностью вытеснив своим решением традиционную CAPTCHA.

Для разработчиков на базе Drupal разработан модуль Keypic

0 Thanks

Какой из двух вариантов проверки безопаснее?

Аватар пользователя qwert123

Скриптом проверяется по крону папка с сайтом на наличие новых появившихся файлов либо изменения существующих, делается это как можно догадаться для безопасности, чтобы при появлении вируса тут же его вычислить где он появился. Проверять все новые файлы в папке files нелогично, поэтому есть два варианта настройки проверки, чтобы не нагружать систему:

1) Проверять папку сайта включая ВСЕ расширения исключив просто директорию files
2) Проверять папку сайта полностью включая папку files но исключив расширения файлов для проверки jpeg, jpg, rar и пр.

0 Thanks

При входе в сессию (логин) пишет, что пароль не првильный. Drupal 7 + uLogin (опционально)

Аватар пользователя DesignStudio

При входе в сессию (логин) пишет, что пароль не првильный, хотя от 100% правильный.
Войти в акк можно только восстановлением пароля.

Более подробно и поэтапно:
1. Создаю пользователя (логин/пароль) > вход (смотрим хеш, ок)
2. Выход из сессии (хеш не меняется)
3. Вход (логин/пароль) > "Неверный пароль" (смотрю хеш, не поменялся)
4. Восстановление пароля > мейл со ссылкой > новый пароль (смотрим хеш, все ок, поменялся)...
5. Выход > вход ... все то же самое

В общем такое впечатление, что хеш для проверки считается не правильно,
ибо пароль правильный и он не менялся. А может проблема вообще не в этом?
Пожалуйста, подскажите в чем может быть причина и где рыть?

Дополнительно: использую uLogin, но для проверки его отключал — результат тот же.

0 Thanks

Нет возможности зайти на сайт

Аватар пользователя NightLion

Добрый день! сайт работал исправно пока не появилась надпись Сайт сейчас на техническом обслуживании. Скоро он заработает вновь. Благодарим вас за терпение. Через админку тоже нет возможности зайти как с этим бороться и в чем проблема! спасибо!

0 Thanks

Закрыть доступ к админке Apache Solr для чужих...

Аватар пользователя misterpronin

Есть VPS от Linode, CentOS, Apache Solr 4 ... Использую на сайте фасетный поиск. Обнаружил что в админку Apache Solr-а может зайти любой желающий по адресу domain.com:8983/solr .

Полагаю доступ можно закрыть с помощью iptables ... Нашёл в инете вот такой вот способ -

iptables -A INPUT --dport 8983 -j ACCEPT

Но он не работает. Пишется iptables v1.4.7: unknown option '--dport'

В iptables не силён. Подскажите пожалуйста как быть.

0 Thanks

Вместо сайта запрос пароля

Аватар пользователя alex-litvinov

Добрый день, у меня возникла проблема с сайтом. Как то раз зашел на сайт http://belglassprom.ru/ а вместо него поле для ввода пароля, зайти на какие либо страницы не могу/ Файловая система визуально не повреждена. Подскажите кто-нибудь сталкивался с такой ситуацией?

0 Thanks

Решено:Взломали сайт (Был не взлом)

Аватар пользователя W_A_S_A_B_I

Некоторое время на сайте кто-то производил множественную регистрацию с бредовыми никами. Я сначала по ip банил, потом поставил модуль, который задает вопрос и типа если бот регистрирует, то он ответа на него найти не сможет. С этим справился. А вот сегодня в один прекрасный момент при заходе на сайт выдало следующую надпись:

В чем дело?

0 Thanks

Взломали сайт. Как найти причину?

Аватар пользователя VasyOK

Веду один сайт на D6. Делал его не я и особо не познакомился еще. Вполне вероятно, причина простая.

0 Thanks

Права на редактирование только части блоков как дать?

Аватар пользователя yexel

Уважаемые коллеги!
Расскажите, как можно дать права конечному пользователю на частичное редактирование блоков?
Сейчас, если для модуля Block устанавливаю право на "Управление блоками", то у пользователя появляются права на редактирование всех параметров блоков.
Необходимо, чтобы пользователь мог бы редактировать только "Содержимое блока",
а такие поля, как "Заголовок блока", "Настройки региона" и все поля в "Настройке видимости" - править бы не мог.

Может быть есть какие-либо модули для решения такой задачи?

0 Thanks