Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon:

Как получить админа сайта имея разрешение на формат Full HTML?

Аватар пользователя VasyOK

Пользователь имеет право использовать формат ввода Full HTML при создании ноды. Как пользователю получить права админа сайта?
Слышал, что можно через вставку жаваскрипта отследить сессию админа. Подскажите код. Или другой вариант :)

0 Спасибо

Непонятный iframe под сайтом

Аватар пользователя godson

Мир вам. Помогите, пожалуйста, разобраться с сайтом. Дело в том, что под темой сайта внизу страницы постоянно появляется некий силуэт окна, или баннера, или ифрейма. Явно то, что это какой-то "довесок", явно не для пользы сайта. по F12 сколько не пытался найти в теме что-то похожее - не получилось. Помогите избавиться от этого. Скриншот в прицепке.

0 Спасибо

Бэкап в Друпале 7

Аватар пользователя neige18

Здравствуйте! Подскажите, пожалуйста, достаточно ли для полной безопасности периодически делать копию всех файлов сайта, лежащих на сервере? Или все же желательно установить еще модуль backup_migrate и делать бэкап через него? Заранее спасибо. Пока новичок в Друпале и пытаюсь разобраться:)

0 Спасибо

Смена пороля

Аватар пользователя Dembel

Подскажите, как сменить пароль на вход сайта. Для большей безопасности.

0 Спасибо

Безопасность

Аватар пользователя Dembel

Подскажите, как поменять пароль на друпал 6. Куда зайти в меню?

0 Спасибо

Вирус на сайте

Аватар пользователя Dembel

Доброго времени суток. Скажите пожалуйста Яндекс не пускает на сайт говорит, что сайт заражен. Почему и что делать? Как лечить?

0 Спасибо

Нагадили на сайте, как убрать левые страницы ?

Аватар пользователя Websaytov

Всем привет! Давненько на сайт не заходил, а тут зашел в вебмастер яндекс а там в исключенных роботом страницах HTTP-статус: Ресурс не найден (404) 2653 страницы !!! Все адреса страниц такого вида /how/255-fz-statya-14.html , причем how на сайте никакого нет где бы они могли быть. FTP весь перерыл нету воде бы нигде. У хостеров дыра где-то htaccess портили несколько раз. Как удалить эти страницы и где их найти?

0 Спасибо

Автоматическая защита от спама

Аватар пользователя Aleksandrrazor

Для защиты от регистраций спам ботов, вышел модуль CleanTalk.

Метод защиты сайтов от спама, предлагаемый компанией CleanTalk, позволяет отказаться от способов защиты, затрудняющих общение посетителей на сайте(CAPTCHA, вопрос-ответ и т.д.). Приложение позволяет автоматизировать защиту от регистраций спам ботов. Сервис автоматически определяет и отклоняет регистрации спам ботов. Для определения спам ботов сервис использует серию проверок, незаметных посетителю, это позволяет обеспечить 99,999% защиту от спам ботов.

0 Спасибо

Гугл аналитика была хакнута этой ночью.

Аватар пользователя gor

Искал информацию по кодингу под nginx.
Было 6 часов утра по МСК

Вдруг оказалось что все ссылки с habrahabr.ru ведут на некий http://dca14d4e.megaline.co

Анализ показал что был хакнут ga.js файл гугл аналитики.
Пруф в аттачментах.

Ждите теперь на первых лентах.. если кто кроме меня еще успел засечь и гугл обнародует инфу)

0 Спасибо

Лечение сайта от вирусов

Аватар пользователя elion

Добрый день!
Нужна помощь специалиста по чистке вирусов CMS Drupal 5. Сайт: business-investor.ua.
Предоставим отчет ай-болита.
Пишите: roman@business-investor.ua, скайп: ha140488jrv, тел: 0633119244.

0 Спасибо

Защищаем папки image и другие

Аватар пользователя qwert123

Я тут начитался ужасных историй про то как php скрипты заливают под видом jpeg изображений и решил найти решение для защиты. Вот есть такой чудесный код который вставляем в .htaccess и кидаем файл в нужную папку:

0 Спасибо

Вирус на сайте

Аватар пользователя romik-wlemik

Друзья, помогите!
С чего начать поиск вируса на сайте друпал6? Пришло предупреждение от яндекса о том, что сайт распространяет вредоносный код. С чего бы вдруг? Никаких действий на сайте не производилось. А вот с настройками компа разбирался. Тормозил уж слишком.
Будет ли действенным откат сайта на пару дней назад?
Как вычислить вирус и удалить его?
Яндекс давал рекомендации. Все прочел. Может быть есть что-то именно касательно друпал6, что-то особенное на что смотреть, где искать?
Заранее благодарю.
С уважением, Роман.

0 Спасибо

Влом drupal? "Flash Player required for this website"

Аватар пользователя neddi

Захожу в админку drupal, а там всплывающее окно вот такое. Ядро вроде 7.23. До этого каждый день недели две присылало уведомление, что нужно обновить ядро. Скачал 7.24, а ничего поставить не могу - висит эта гадость.

Подскажите пожалуйста, как с этим бороться.

0 Спасибо

Дыра для спама

Аватар пользователя Лексей

Приветствую всех!

Обнаружил на одном из сайтов, что анонимы создают темы на форуме...причем эти темы не видны на форуме, но имеют адрес типа сайт.ru/forum/1135. Уже создано почти 400 таких "невидимых" тем.
Обнаружил я их через Яндекс.Блоги, содержащие ссылки на мой сайт. Т.е. на эти спамные страницы еще делали ссылки из соц.сетей (в основном твитер) для индексации.

Может кто знает куда копать?

0 Спасибо

Странные записи в системном журнале

Аватар пользователя tishka2

Здравствуйте!
Прошу прощения, если тема уже поднималась, не нашел ничего...
Вчера заметил, что в системном журнале какие-то непонятные записи, и их очень много, некоторые повторяются.
Например:
page not found Home/Upholstery
page not found contact.html

Что за записи?

0 Спасибо

Request new password в дефолтной настройке

Аватар пользователя oleg_ws@drupal.org

Столкнулся с такой проблемой - при использовании опции восстановления пароля высылается ссылка на одноразовый вход с формой замены пароля, так весь прикол в том, что система требует ввода того пароля, который забыт
Неверняки многие с этим сталкивались и есть решение, здесь ручным поиском путался найти, но увы....
Использовать поиск в верхнем правом углу тоже не получилось - при нажатии кнопки "пуск" - никакой реакции! - скорее всего используются ф-ии js, которые не совместимы с большинством браузеров.

0 Спасибо

Как подстраховаться при сдаче сайта клиенту

Аватар пользователя tishka2

Здравствуйте!
Бывают такие ситуации, когда сайт делаешь на хостинге клиента, к которому у него есть доступ, и плюс при регистрации указан его e-mail.
Как можно подстраховаться от варианта, когда на самом последнем этапе клиент закроет доступ и изменит пароль от аккаунта администратора в базе данных?
Я обычно людям доверяю, но хочется предупредить подобные ситуации.

Кто как обычно делает?

0 Спасибо

Как убрать ошибку - предупреждение SA-CORE-2013-003 после обновления 6.29?

Аватар пользователя smaxim

Народ,помогите убрать ошибку после обновления 6.29. Все файлы htaccess вроде обновил,но все равно выдаёт ошибку что /tmp directory не защищен. Так там и не было файла htaccess, ставишь - не идет,убираешь -не идет. Там что -то написано по английски ,(на drupal.org/SA-CORE-2013-003), по серверные настройки, может это к хостерам нужно обращаться ?

0 Спасибо

Как защитить общедоступный каталог файловой системы и временную папку - предупреждение SA-CORE-2013-003 после обновления 7.24?

Аватар пользователя Oligerd

После обновления ядра 7.24 в отчете о состоянии появилось предупреждение:

"Not fully protected

Public files directory

See http://drupal.org/SA-CORE-2013-003 for information about the recommended .htaccess file which should be added to the files directory to help protect against arbitrary code execution."

Пытался по ссылке пройти на drupal.org,

Access denied.(на drupal.org зарегистрирован уже 2 года)

Может кто знает, как поправить .htaccess для того чтобы защита заработала?

0 Спасибо

Боты через Webform

Аватар пользователя mazurik

Добрый день! Стоит Webform для обратного звонка и предварительного заказа. Буквально 3 поля. Однако через эти поля боты засрали уже весь сайт! Причем, форма срабатывает только на отсылку введенных данных на почту админу. А боты каким-то образом создают страницы сайта! При этом на почту админу ничего не приходит. Как обезопасить сайт???

Заранее спасибо!

0 Спасибо