22 января 2015 в 12:33
Доброго дня!
Кто-нибудь может подсказать, каким образом ломают сайт на друпал6 через восстановление пароля админа?
Как защититься?
Взломали сайт. Подглядел за действиями взломщика на сайте.
- Заходят в восстановление пароля, вводят емейл админа (вероятно до этого был шел загружен, был доступ к файлам и базе)
- Затем та же страница восстановления перезагружается, и вводят уже свой емейл.
- Получают одноразовую ссылку для входя и орудуют на сайте.
При этом на емейл админа никаких писем о восстановлении пароля не приходит при их действиях.
В профиле админа емейл правильный, не подменен.
Самостоятельно повторить похожее не получается, на емейл админа письмо о восстановлении приходит, на левый емейл - нет.
Вопрос - каким образом такое сделано? Где копать?
Комментарии
Такой сценарий понятен.
Но здесь действуют иначе (все видно в вебвизоре).
1. Вводят мыло админа в востановлении пароля, нажимают отправить (на почту админа ничего не приходит).
2. Затем тут же вводят уже свой емейл и отправляют пароль себе.
Если сломана база и там подменен емейл - зачем тогда странный первый шаг? И почему админу на почту ничего не приходит.
А укажите версию точнее.
Версия 6.13
А как именно был загружен вредоносный файл?
Как загрузили шелл непонятно. Очевидно уязвимость в каком-то модуле.
Шелл найти не сложно, его удалили сразу.
Но теперь вот как-то хитро заходят через восстановление пароля.
Видимо все-таки придется всё обновлять и надеяться на лучшее...