27 мая 2008 в 21:35
Тема была удаленна мной до устранение дырочки, сейчас возобновляю в целях узнать что делать в таких случаях в дальнейшем и тд.
возобновление темы "уязвимость drupal.ru?"
Главные вкладки
27 мая 2008 в 21:35
Комментарии
посты:
compiler
Добрый день!
Я не знаю, но помоему тут есть очень серёзный огрех...
Если пароль к Вашим БД X*****bo , а Вы хотели это скрыть, то Вам это не удалось) Он узнается за секунды.. Если это действительно дыра, а не мой промах, то можете связаться со мной и я скажу как я узал пароль...
При связи обязательно предъявить докозательство что Вы имеите отношение а администрации..
заранее благодарен, простите, если что не так...
Nikit, вт, 27/05/2008 - 16:44
хм, что скажет администрация?
dm66, вт, 27/05/2008 - 17:52
Хм, действительно на раз узнать можно. После прочтения топика узнал пароль за 5 сек. Xe*******bo
compiler, вт, 27/05/2008 - 17:58
Значит это всё-таки дыра)
>>за 5 сек
это ты долго) Вторая там действительно "e".
Интересно, как этого не заметили раньше?
magway, вт, 27/05/2008 - 18:01
однако...
igdrasil@drupal.org, вт, 27/05/2008 - 18:05
есть такая дырка...
Ainur, вт, 27/05/2008 - 18:13
Вместо того, чтоб тут свистеть, лучше тихонечко, пока ни кто не слышит, пошел бы и сказал это админам http://drupal.ru/ru_team.
VladSavitsky, вт, 27/05/2008 - 18:22
2 cекунды. Правда после прочтения всех комментов.
У меня правда нет доступа, но попробую исправить.
compiler, вт, 27/05/2008 - 18:27
отправил сообщение к Nick и Axel, больше не могу, ограничение...
простите, просто я впервые нахожу подобное и мог не правильно поступить, а потом я сомневался действительно ли это дыра..
PanDa777, вт, 27/05/2008 - 18:41
Может, у кого-нибудь есть право затереть этот топик? Хотя бы у автора?
P.S. По идее, всё равно стоит ограничение по имени хоста... Или не стоит?
Ilya1st, вт, 27/05/2008 - 18:47
смешно да....
но думаю мало чем повредит
Xee***bo
Спасибо за найденную ошибку. Правда от инфы в конфиге толку мало, соединение с mysql разрешено только с хоста где находится сайт, но действительно светить конфиг никчему. Дырка была в конфиге nginx, вот тут:
if (-f $request_filename) {
rewrite \.(module|inc|info|engine|sql|sh)$ / permanent;
}
}
Добавил в регулярное выражение проверку .php-файлов:
if (-f $request_filename) {
rewrite \.(module|inc|info|engine|sql|sh|php)$ / permanent;
}
}
Ещё раз спасибо!
admin, я ЛС писал сюда: http://drupal.ru/user/1 а это не одмин, а какой-то Эдуард, прости господи.
О блин, pathauto чего нагенерил
Список админов на странице команда будет приведён к актуальному виду.
Так куда писать в случае повторение инцидента? Хотя конечно же будем надееться такое не повториться..
----------
ребята, помогите мне с моим ресурсом на друпале..
За всем не уследишь, так что думаю ещё повторится
В данном случае ошибка была некритичной, зная пароль к базе ничего с ней извне сделать нельзя.
Ainur, вт, 27/05/2008 - 18:13
Вместо того, чтоб тут свистеть, лучше тихонечко, пока ни кто не слышит, пошел бы и сказал это админам http://drupal.ru/ru_team.
а помоему свистеть нужно, нам ведь тоже интересно хакинг друпался, хотя в данном случае конечно настройки nginx-а.
Предлагаю завести ветку в форуме и вывести ссылку на неё где-то наверху, чтобы все знали о её (веткином) существовании.
В этой ветке и жаловаться на все проблемы, предлагать улучшения и прочее.
Я что вижу - исправляю по возможности, но сайт большой и один человек всё обозреть не может.
Может быть сделать этот форум приватным...
Хочется иметь какое-то решение для подобных случаев.
Такая ветка уже существует: Сайт и проект Drupal.ru
Добавил в меню навигация: "Улучшить drupal.ru!" с ссылкой на эту ветку форума. Нормально?