Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon: 

qwert123 Вс, 03/08/2014 - 13:09

Какой из двух вариантов проверки безопаснее?

Скриптом проверяется по крону папка с сайтом на наличие новых появившихся файлов либо изменения существующих, делается это как можно догадаться для безопасности, чтобы при появлении вируса тут же его вычислить где он появился. Проверять все новые файлы в папке files нелогично, поэтому есть два варианта настройки проверки, чтобы не нагружать систему:

1) Проверять папку сайта включая ВСЕ расширения исключив просто директорию files
2) Проверять папку сайта полностью включая папку files но исключив расширения файлов для проверки jpeg, jpg, rar и пр.

Версия Drupal: 
0 Спасибо

DesignStudio Пнд, 28/07/2014 - 08:02

При входе в сессию (логин) пишет, что пароль не првильный. Drupal 7 + uLogin (опционально)

При входе в сессию (логин) пишет, что пароль не првильный, хотя от 100% правильный.
Войти в акк можно только восстановлением пароля.

Более подробно и поэтапно:
1. Создаю пользователя (логин/пароль) > вход (смотрим хеш, ок)
2. Выход из сессии (хеш не меняется)
3. Вход (логин/пароль) > "Неверный пароль" (смотрю хеш, не поменялся)
4. Восстановление пароля > мейл со ссылкой > новый пароль (смотрим хеш, все ок, поменялся)...
5. Выход > вход ... все то же самое

В общем такое впечатление, что хеш для проверки считается не правильно,
ибо пароль правильный и он не менялся. А может проблема вообще не в этом?
Пожалуйста, подскажите в чем может быть причина и где рыть?

Дополнительно: использую uLogin, но для проверки его отключал — результат тот же.

Тип материала: 
Модули и темы: 
Версия Drupal: 
0 Спасибо

NightLion Вс, 27/07/2014 - 13:43

Нет возможности зайти на сайт

Добрый день! сайт работал исправно пока не появилась надпись Сайт сейчас на техническом обслуживании. Скоро он заработает вновь. Благодарим вас за терпение. Через админку тоже нет возможности зайти как с этим бороться и в чем проблема! спасибо!

Тип материала: 
Версия Drupal: 
0 Спасибо

misterpronin Сб, 26/07/2014 - 17:10

Закрыть доступ к админке Apache Solr для чужих...

Есть VPS от Linode, CentOS, Apache Solr 4 ... Использую на сайте фасетный поиск. Обнаружил что в админку Apache Solr-а может зайти любой желающий по адресу domain.com:8983/solr .

Полагаю доступ можно закрыть с помощью iptables ... Нашёл в инете вот такой вот способ -

iptables -A INPUT --dport 8983 -j ACCEPT

Но он не работает. Пишется iptables v1.4.7: unknown option '--dport'

В iptables не силён. Подскажите пожалуйста как быть.

Тип материала: 
Версия Drupal: 
0 Спасибо

alex-litvinov Пнд, 21/07/2014 - 08:59

Вместо сайта запрос пароля

Добрый день, у меня возникла проблема с сайтом. Как то раз зашел на сайт http://belglassprom.ru/ а вместо него поле для ввода пароля, зайти на какие либо страницы не могу/ Файловая система визуально не повреждена. Подскажите кто-нибудь сталкивался с такой ситуацией?

Тип материала: 
Версия Drupal: 
0 Спасибо

W_A_S_A_B_I Чт, 29/05/2014 - 11:16

Решено:Взломали сайт (Был не взлом)

Некоторое время на сайте кто-то производил множественную регистрацию с бредовыми никами. Я сначала по ip банил, потом поставил модуль, который задает вопрос и типа если бот регистрирует, то он ответа на него найти не сможет. С этим справился. А вот сегодня в один прекрасный момент при заходе на сайт выдало следующую надпись:

В чем дело?

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

yexel Чт, 08/05/2014 - 05:11

Права на редактирование только части блоков как дать?

Уважаемые коллеги!
Расскажите, как можно дать права конечному пользователю на частичное редактирование блоков?
Сейчас, если для модуля Block устанавливаю право на "Управление блоками", то у пользователя появляются права на редактирование всех параметров блоков.
Необходимо, чтобы пользователь мог бы редактировать только "Содержимое блока",
а такие поля, как "Заголовок блока", "Настройки региона" и все поля в "Настройке видимости" - править бы не мог.

Может быть есть какие-либо модули для решения такой задачи?

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

pankov-anton Сб, 26/04/2014 - 14:21

Подозрительные действия в журнале событий

Последние несколько дней, в журнале событий наблюдаются очень странные действия. Неавторизованный пользователь вводит ссылки вида:
bn/js/checkbox/js/script.js
layouts/"/path/to/boxsizing.htc"
raboty/layouts/"/path/to/boxsizing.htc"
metki/layouts/"/path/to/boxsizing.htc"

Что это такое? Как это можно объяснить?

Ключевые слова: 
Версия Drupal: 
0 Спасибо

pankov-anton Пт, 25/04/2014 - 16:51

users/admin

При вводе на сайте url вида users/admin идет автоматическая переадресация на users/vasa, где vasa - это администратор сайта.
Почему происходит? Почему так просто узнать логин администратора?

Ключевые слова: 
0 Спасибо

vyck24 Втр, 15/04/2014 - 15:03

Домашнии сервер и его безопасность

Создал домашнии веб сервер на платформе убунту сервер, и тепери стоит задача как его лучше защитить от дос атак. Думаю включить firewall на роутере и на самой машине и разрешить только определьоном портам. Стоит вопрос: какой лучше включить (на роутере или машине или оба) и как влияет на скорость подключение к машине, и какие порты нужно открывать кроме 80. Жду ваше мнение и советы. Спасибо.

Тип материала: 
Ключевые слова: 
0 Спасибо

S555mile Чт, 10/04/2014 - 03:41

Вирус на сайте

Сегодня мне пришло письмо от хостера, где сказано, что: нами был обнаружен подозрительный код в файлах .htaccess на Вашем хостинг-аккаунте v-8057 Ниже приводится список подозрительных строчек в файлах, с указанием их местоположения:

Файл: ~/www/peptidy.kz/.htaccess
Строка 47: RewriteRule ^ http://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

С помощью этих строчек происходит перенаправление посетителей на другие ресурсы, эти ресурсы могут содержать вирусы или фишинговые страницы.
Проконсультруйтесь с Вашими разработчиками, возможно эти строчки необходимы для работы сайта, в этом случае, чтобы избежать ложных срабатываний Вам необходимо добавить в конец этих строчек следующий текст: #peptidy.kz

Тип материала: 
Версия Drupal: 
0 Спасибо

Rkirilll Сб, 05/04/2014 - 21:04

drupal 6.30 SA-CORE-2013-003 - Drupal core - Multiple vulnerabilities не получаеться настроить .htaccess для папок tmp и temp

После обновления до 6.30 появилось сообщение о незащищенной директории:
Temporary files directory Not fully protected
See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the \files directory to help protect against arbitrary code execution.
Применял указанные здесь рекомендации к папкам tmp, temp, результата не принесло.

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

Websaytov Вс, 30/03/2014 - 12:16

Редирект с сайта на загрузку, где искать!?

Всем привет! Зашел на с телефона на сайт, появлялось окно на загрузку файла Fvl_Player , с компа все нормально, почистил htaccess, как обычно, и тут при заходе на сайт с компа происходит редирект на другой сайт (скрин 1) через 5 секунд переход на загрузку (скрин 2), с другого компа и с телефона захожу и вот такое вижу (скрин 3). Где копать, что искать?

Скрин1

Скрин2

Скрин3

Тип материала: 
Версия Drupal: 
0 Спасибо

ritch Втр, 25/03/2014 - 14:54

проблема с доступом к admin/content/

Граждане!

Прошу помощи.
Не открывается admin/content ... хоть тресни

Вместе с этим не открывается нода, созданная мной. Не знаю, можно ли связывать эти факты
В пятницу все замечательно работало.

Даже не знаю, с чего начать и как подступиться ..

Прошу помощи

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

VasyOK Чт, 13/03/2014 - 15:38

Как получить админа сайта имея разрешение на формат Full HTML?

Пользователь имеет право использовать формат ввода Full HTML при создании ноды. Как пользователю получить права админа сайта?
Слышал, что можно через вставку жаваскрипта отследить сессию админа. Подскажите код. Или другой вариант :)

Версия Drupal: 
0 Спасибо

godson Пт, 07/03/2014 - 04:30

Непонятный iframe под сайтом

Мир вам. Помогите, пожалуйста, разобраться с сайтом. Дело в том, что под темой сайта внизу страницы постоянно появляется некий силуэт окна, или баннера, или ифрейма. Явно то, что это какой-то "довесок", явно не для пользы сайта. по F12 сколько не пытался найти в теме что-то похожее - не получилось. Помогите избавиться от этого. Скриншот в прицепке.

Тип материала: 
Ключевые слова: 
Версия Drupal: 
0 Спасибо

neige18 Пт, 28/02/2014 - 05:01

Бэкап в Друпале 7

Здравствуйте! Подскажите, пожалуйста, достаточно ли для полной безопасности периодически делать копию всех файлов сайта, лежащих на сервере? Или все же желательно установить еще модуль backup_migrate и делать бэкап через него? Заранее спасибо. Пока новичок в Друпале и пытаюсь разобраться:)

Тип материала: 
Ключевые слова: 
0 Спасибо

Dembel Втр, 18/02/2014 - 05:05

Смена пороля

Подскажите, как сменить пароль на вход сайта. Для большей безопасности.

Тип материала: 
Версия Drupal: 
0 Спасибо

Dembel Пнд, 17/02/2014 - 07:19

Безопасность

Подскажите, как поменять пароль на друпал 6. Куда зайти в меню?

Ключевые слова: 
Версия Drupal: 
0 Спасибо

Страницы