27 августа 2012 в 10:03
С недавних пор пытаются взломать сайт на drupal 7, подставляя различный код в конце ссылок.
Подставляют следующий код:
- +Result:+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
- +++++++++++++++++++++Result:+%F1%EB%E8%F8%EA%EE%EC+%E1%EE%EB%FC%F8%E0%FF+%F1%F2%F0%E0%ED%E8%F7%EA%E0,+%ED%E5+%E4%EE%EA%E0%F7%E0%ED%EE;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
Перед этой зиписью в журнале показывется сообщение "Warning: htmlspecialchars(): Invalid multibyte sequence in argument в функции check_plain() (строка 1572 в файле сайт.ru/www/includes/bootstrap.inc)." - экранируются все нежелательные символы
Подскажите, пожалуйста, после функции htmlspecialchars() есть ли опасность какая-нибудь для сайта или нет? Заранее всех благодарю.
Комментарии
Ищут уязвимости, обычно спамеры, чтобы постить рекламу.
Если достаёт такими, просто блокируйте по ip...
У меня уже около полутора лет ровно такие записи в журнале - пока ничего не взломали.
потерпи еще 4 дня, попустить должно.
Потерпим, конечно но и ip заблокируем
Обнадежили, спасибо всем
хм, на сайте клиента такую вещь вчера заметил
Попытка XSS. Для друпала, если не понакодили чего-нибудь без проверок в формах кастомных модулей или в темах, не страшно.
Если очень беспокоит и сайт важный - ModSecurity для Apache от XSS хорошо защищает. Но правда с его применять тоже с осторожностью - нагружает сервер и можно заблокировать активность нормальных пользователей.
По этим текстам вышел на данную программу:
http://ru.wikipedia.org/wiki/XRumer
Значит, для спама. Теперь ясно.
оо... хрумер! оченно эпическая хрень в кругах "СЕОшникоф"
Вопрос в тему или нет, но кто знает из-за чего ID юзера, которого я вручную зарегистрировал вторым админом после себя стал user/145? Сайт-визитка, ему уже более года, регистрация только после одобрения. По идеи следующий должен быть user/2 Это тоже работа спамеров?
Так посмотри список пользователей. Если регистрация после одобрения, то регаться можно, просто аккаунт получается неактивный, но в базе он имеет место быть и в админке будет виден. Для такого сайта регистрацию имеет смысл проставить в режим создания аккаунтов только админом.
По ip банить не самая разумная идея, ибо белые адреса выдают только в крупных городах(и то далеко не всем), т.е. "за пределами МКАД" вы рискуете забанить целый город, ибо численное большинство провайдеров берут всего 1 ip
Вот именно, что в админке пользователей нет, регистрация была после одобрения. В базе никого нет, вот только второй админ получился 145-м. Мне сказали, что может кто-то брутил... вот друпал и насчитал попытки регистрации. Регистрацию закрыл полностью.
2vitaboss - ну раз пользователей нет, то и проблемы скорее всего у вас нет, а какой id у юзера это не важно, главное чтобы 0 и 1 были.
2sg85: можно провести анализ ip.