возобновление темы "уязвимость drupal.ru?"

Главные вкладки

Аватар пользователя compiler compiler 27 мая 2008 в 21:35

Тема была удаленна мной до устранение дырочки, сейчас возобновляю в целях узнать что делать в таких случаях в дальнейшем и тд.

Комментарии

Аватар пользователя compiler compiler 27 мая 2008 в 21:39

посты:
compiler
Добрый день!
Я не знаю, но помоему тут есть очень серёзный огрех...
Если пароль к Вашим БД X*****bo , а Вы хотели это скрыть, то Вам это не удалось) Он узнается за секунды.. Если это действительно дыра, а не мой промах, то можете связаться со мной и я скажу как я узал пароль...
При связи обязательно предъявить докозательство что Вы имеите отношение а администрации..

заранее благодарен, простите, если что не так...

Nikit, вт, 27/05/2008 - 16:44
хм, что скажет администрация?

dm66, вт, 27/05/2008 - 17:52
Хм, действительно на раз узнать можно. После прочтения топика узнал пароль за 5 сек. Xe*******bo Smile

compiler, вт, 27/05/2008 - 17:58
Значит это всё-таки дыра)
>>за 5 сек
это ты долго) Вторая там действительно "e".
Интересно, как этого не заметили раньше?

magway, вт, 27/05/2008 - 18:01
однако...

igdrasil@drupal.org, вт, 27/05/2008 - 18:05
есть такая дырка...

Ainur, вт, 27/05/2008 - 18:13
Вместо того, чтоб тут свистеть, лучше тихонечко, пока ни кто не слышит, пошел бы и сказал это админам http://drupal.ru/ru_team.

VladSavitsky, вт, 27/05/2008 - 18:22
2 cекунды. Правда после прочтения всех комментов.
У меня правда нет доступа, но попробую исправить.

compiler, вт, 27/05/2008 - 18:27
отправил сообщение к Nick и Axel, больше не могу, ограничение...

простите, просто я впервые нахожу подобное и мог не правильно поступить, а потом я сомневался действительно ли это дыра..

PanDa777
, вт, 27/05/2008 - 18:41
Может, у кого-нибудь есть право затереть этот топик? Хотя бы у автора?
P.S. По идее, всё равно стоит ограничение по имени хоста... Или не стоит?

Ilya1st, вт, 27/05/2008 - 18:47
смешно да....
но думаю мало чем повредит
Xee***bo

Biggrin

Аватар пользователя root root 27 мая 2008 в 21:40

Спасибо за найденную ошибку. Правда от инфы в конфиге толку мало, соединение с mysql разрешено только с хоста где находится сайт, но действительно светить конфиг никчему. Дырка была в конфиге nginx, вот тут:

        location ~* ^/(modules|themes|scripts|sites)/ {
           if (-f $request_filename) {
              rewrite \.(module|inc|info|engine|sql|sh)$  / permanent;
           }
        }

Добавил в регулярное выражение проверку .php-файлов:

        location ~* ^/(modules|themes|scripts|sites)/ {
           if (-f $request_filename) {
              rewrite \.(module|inc|info|engine|sql|sh|php)$  / permanent;
           }
        }

Ещё раз спасибо!

Аватар пользователя compiler compiler 27 мая 2008 в 22:05

Так куда писать в случае повторение инцидента? Хотя конечно же будем надееться такое не повториться..

----------
ребята, помогите мне с моим ресурсом на друпале..

Аватар пользователя root root 27 мая 2008 в 22:49

За всем не уследишь, так что думаю ещё повторится Smile В данном случае ошибка была некритичной, зная пароль к базе ничего с ней извне сделать нельзя.

Аватар пользователя Nikit Nikit 28 мая 2008 в 5:24

Ainur, вт, 27/05/2008 - 18:13
Вместо того, чтоб тут свистеть, лучше тихонечко, пока ни кто не слышит, пошел бы и сказал это админам http://drupal.ru/ru_team.

а помоему свистеть нужно, нам ведь тоже интересно хакинг друпался, хотя в данном случае конечно настройки nginx-а.

Аватар пользователя VladSavitsky VladSavitsky 28 мая 2008 в 11:04

Предлагаю завести ветку в форуме и вывести ссылку на неё где-то наверху, чтобы все знали о её (веткином) существовании.
В этой ветке и жаловаться на все проблемы, предлагать улучшения и прочее.
Я что вижу - исправляю по возможности, но сайт большой и один человек всё обозреть не может.
Может быть сделать этот форум приватным...
Хочется иметь какое-то решение для подобных случаев.