Кто-то получает доступ под админом.

Аватар пользователя tshadrin tshadrin 14 апреля 2011 в 13:38

Здравствуйте, такая проблема. Есть некоторый юзер, который получает доступ к любой учетке. Вот лог /var/log/messages

Apr 13 15:19:01drupal: http://sample_host|1302693541|user|94.103.150.8|http://sample_host/node/186237?destination=node%2F186237|http://sample_host/node/186237|22953||Session opened for Слава.
Apr 13 15:19:20drupal: http://sample_host|1302693559|user|94.103.150.8|http://sample_host/logout|http://sample_host/comment/reply/186237#comment-form|22953||Session closed for Слава.
Apr 13 16:38:10drupal: http://sample_host|1302698290|page not found|94.103.150.8|http://sample_host/C:/Documents%20and%20Settings/panuzhev/%D0%9C%D0%BE%D0%B8%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B/%D0%9C%D0%BE%D0%B8%20%D1%80%D0%B8%D1%81%D1%83%D0%BD%D0%BA%D0%B8|http://sample_host/node/114181|0||C:/Documents and Settings/panuzhev/Мои документы/Мои рисунки
Apr 13 16:38:42drupal: http://sample_host|1302698322|user|94.103.150.8|http://sample_host/node/114181?destination=node%2F114181|http://sample_host/node/114181|22953||Session opened for Слава.
Apr 13 16:38:44drupal: http://sample_host|1302698324|page not found|94.103.150.8|http://sample_host/C:/Documents%20and%20Settings/panuzhev/%D0%9C%D0%BE%D0%B8%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B/%D0%9C%D0%BE%D0%B8%20%D1%80%D0%B8%D1%81%D1%83%D0%BD%D0%BA%D0%B8|http://sample_host/node/114181|22953||C:/Documents and Settings/panuzhev/Мои документы/Мои рисунки
Apr 13 16:47:59drupal: http://sample_host|1302698879|page not found|94.103.150.8|http://sample_host/C:/Documents%20and%20Settings/panuzhev/%D0%9C%D0%BE%D0%B8%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B/%D0%9C%D0%BE%D0%B8%20%D1%80%D0%B8%D1%81%D1%83%D0%BD%D0%BA%D0%B8|http://sample_host/node/114181|22953||C:/Documents and Settings/panuzhev/Мои документы/Мои рисунки
Apr 13 16:51:33drupal: http://sample_host|1302699093|user|94.103.150.8|http://sample_host/logout|http://sample_host/comment/reply/114181|22953||Session closed for Слава.
Apr 13 16:58:57drupal: http://sample_host|1302699537|user|94.103.150.8|http://sample_host/node/159032?destination=node%2F159032|http://sample_host/node/159032|22953||Session opened for Слава.
Apr 13 17:00:49drupal: http://sample_host|1302699648|user|94.103.150.8|http://sample_host/logout|http://sample_host/comment/reply/159032|22953||Session closed for Слава.
Apr 13 18:02:25drupal: http://sample_host|1302703345|user|94.103.150.8|http://sample_host/node/188679?destination=node%2F188679|http://sample_host/node/188679|22953||Session opened for Слава.
Apr 13 18:04:27drupal: http://sample_host|1302703467|user|94.103.150.8|http://sample_host/logout|http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F|22953||Session closed for Слава.
Apr 13 22:42:30drupal: http://sample_host|1302720150|user|94.103.150.8|http://sample_host/node/188718?destination=node%2F188718|http://sample_host/node/188718|22953||Session opened for Слава.
Apr 13 22:42:55drupal: http://sample_host|1302720175|user|94.103.150.8|http://sample_host/logout|http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F|22953||Session closed for Слава.
Apr 13 22:57:05drupal: http://sample_host|1302721025|user|94.103.150.8|http://sample_host/node/194879?destination=node%2F194879|http://sample_host/node/194879|22953||Session opened for Слава.
Apr 13 22:57:27drupal: http://sample_host|1302721046|user|94.103.150.8|http://sample_host/logout|http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F|22953||Session closed for Слава.
Apr 13 23:12:19drupal: http://sample_host|1302721939|user|94.103.150.8|http://sample_host/node/194879?destination=node%2F194879|http://sample_host/node/194879|22953||Session opened for Слава.
Apr 13 23:18:12drupal: http://sample_host|1302722292|user|94.103.150.8|http://sample_host/logout|http://sample_host/node/191989#comment-303516|22953||Session closed for Слава.
Apr 14 11:41:29drupal: http://sample_host|1302766889|user|94.103.150.8|http://sample_host/node/188326?destination=node%2F188326|http://sample_host/node/188326|22953||Session opened for Слава.
Apr 14 11:42:03drupal: http://sample_host|1302766923|user|94.103.150.8|http://sample_host/logout|http://sample_host/comment/reply/188326#comment-form|22953||Session closed for Слава.
Apr 14 11:48:58drupal: http://sample_host|1302767338|access denied|94.103.150.8|http://sample_host/user/552/edit|http://sample_host/user/552|0||user/552/edit
Apr 14 11:54:01drupal: http://sample_host|1302767641|user|94.103.150.8|http://sample_host/user/19994?destination=user%2F19994|http://sample_host/user/19994|1||Session opened for admin.
Apr 14 11:54:30drupal: http://sample_host|1302767670|user|94.103.150.8|http://sample_host/logout|http://sample_host/user/19994/edit|1||Session closed for admin.
Apr 14 12:01:31drupal: http://sample_host|1302768091|user|94.103.150.8|http://sample_host/node/194588?destination=node%2F194588|http://sample_host/node/194588|19994||Session opened for Mатвей.
Apr 14 12:10:11drupal: http://sample_host|1302768611|user|94.103.150.8|http://sample_host/logout|http://sample_host/user/19994/edit|19994||Session closed for Mатвей.

Это запрос к таблице accesslog

mysql> select from_unixtime(timestamp),url,path,uid from accesslog where hostname='94.103.150.8';
+--------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------+----------------------+-------+
| from_unixtime(timestamp) | url                                                                                                                                                           | path                 | uid   |
+--------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------+----------------------+-------+
| 2011-04-13 15:16:02      |                                                                                                                                                               | test                 |     0 |
| 2011-04-13 15:16:37      | http://sample_host                                                                                                                                          | news/30              |     0 |
| 2011-04-13 15:16:58      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | news/4655            |     0 |
| 2011-04-13 15:17:44      | http://sample_host/news/4655                                                                                                                                | node/191750          |     0 |
| 2011-04-13 15:18:41      | http://sample_host/node/191750                                                                                                                              | node/186237          |     0 |
| 2011-04-13 15:19:01      | http://sample_host/node/186237                                                                                                                              | node/186237          | 22953 |
| 2011-04-13 15:19:02      | http://sample_host/node/186237                                                                                                                              | node/186237          | 22953 |
| 2011-04-13 15:19:09      | http://sample_host/node/186237                                                                                                                              | comment/reply/186237 | 22953 |
| 2011-04-13 15:19:20      | http://sample_host/comment/reply/186237#comment-form                                                                                                        | logout               |     0 |
| 2011-04-13 15:19:25      | http://sample_host/comment/reply/186237#comment-form                                                                                                        | test                 |     0 |
| 2011-04-13 16:30:36      |                                                                                                                                                               | test                 |     0 |
| 2011-04-13 16:31:22      | http://sample_host                                                                                                                                          | node/186977          |     0 |
| 2011-04-13 16:32:12      | http://sample_host/node/186977#comment-303504                                                                                                               | node/194676          |     0 |
| 2011-04-13 16:33:14      | http://sample_host/node/194676#comment-303500                                                                                                               | node/186977          |     0 |
| 2011-04-13 16:34:53      | http://sample_host/node/186977#comment-303503                                                                                                               | node/193353          |     0 |
| 2011-04-13 16:34:54      | http://sample_host/node/186977#comment-303503                                                                                                               | node/194158          |     0 |
| 2011-04-13 16:37:27      | http://sample_host/node/194158#comment-303505                                                                                                               | review/10753         |     0 |
| 2011-04-13 16:37:39      | http://sample_host/review/10753                                                                                                                             | node/111797          |     0 |
| 2011-04-13 16:37:49      | http://sample_host/node/194158#comment-303505                                                                                                               | review/10753         |     0 |
| 2011-04-13 16:37:55      | http://sample_host/review/10753                                                                                                                             | node/112369          |     0 |
| 2011-04-13 16:38:02      | http://sample_host/node/194158#comment-303505                                                                                                               | review/10753         |     0 |
| 2011-04-13 16:38:09      | http://sample_host/review/10753                                                                                                                             | node/114181          |     0 |
| 2011-04-13 16:38:10      | http://sample_host/node/114181                                                                                                                              | test                 |     0 |
| 2011-04-13 16:38:10      | http://sample_host/node/114181                                                                                                                              | news/30              |     0 |
| 2011-04-13 16:38:42      | http://sample_host/node/114181                                                                                                                              | node/114181          | 22953 |
| 2011-04-13 16:38:44      | http://sample_host/node/114181                                                                                                                              | node/114181          | 22953 |
| 2011-04-13 16:38:45      | http://sample_host/node/114181                                                                                                                              | test                 | 22953 |
| 2011-04-13 16:38:47      | http://sample_host/node/114181                                                                                                                              | news/30              | 22953 |
| 2011-04-13 16:38:55      | http://sample_host/node/114181                                                                                                                              | comment/reply/114181 | 22953 |
| 2011-04-13 16:39:20      | http://sample_host/comment/reply/114181#comment-form                                                                                                        | comment/reply/114181 | 22953 |
| 2011-04-13 16:40:04      | http://sample_host/comment/reply/114181                                                                                                                     | comment/reply/114181 | 22953 |
| 2011-04-13 16:40:24      | http://sample_host/comment/reply/114181                                                                                                                     | comment/reply/114181 | 22953 |
| 2011-04-13 16:41:34      | http://sample_host/comment/reply/114181                                                                                                                     | comment/reply/114181 | 22953 |
| 2011-04-13 16:47:58      | http://sample_host/comment/reply/114181                                                                                                                     | node/114181          | 22953 |
| 2011-04-13 16:47:59      | http://sample_host/node/114181                                                                                                                              | news/30              | 22953 |
| 2011-04-13 16:47:59      | http://sample_host/node/114181                                                                                                                              | test                 | 22953 |
| 2011-04-13 16:48:11      | http://sample_host/node/114181                                                                                                                              | comment/reply/114181 | 22953 |
| 2011-04-13 16:48:29      | http://sample_host/comment/reply/114181#comment-form                                                                                                        | comment/reply/114181 | 22953 |
| 2011-04-13 16:48:56      | http://sample_host/comment/reply/114181                                                                                                                     | comment/reply/114181 | 22953 |
| 2011-04-13 16:49:50      | http://sample_host/comment/reply/114181                                                                                                                     | node/194837          | 22953 |
| 2011-04-13 16:50:01      | http://sample_host/node/194837                                                                                                                              | node/75850           | 22953 |
| 2011-04-13 16:51:33      | http://sample_host/comment/reply/114181                                                                                                                     | logout               |     0 |
| 2011-04-13 16:51:34      | http://sample_host/comment/reply/114181                                                                                                                     | test                 |     0 |
| 2011-04-13 16:51:46      | http://sample_host/                                                                                                                                         | node/194572          |     0 |
| 2011-04-13 16:52:11      | http://sample_host/node/194572#comment-303507                                                                                                               | node/75850           |     0 |
| 2011-04-13 16:53:25      | http://sample_host/node/75850                                                                                                                               | news/4563            |     0 |
| 2011-04-13 16:53:40      | http://sample_host/news/4563                                                                                                                                | news/4563            |     0 |
| 2011-04-13 16:53:50      | http://sample_host/news/4563?page=6                                                                                                                         | node/144803          |     0 |
| 2011-04-13 16:54:08      | http://sample_host/node/144803                                                                                                                              | test                 |     0 |
| 2011-04-13 16:57:46      | http://sample_host/%D1%80%D0%B5%D0%B9%D1%82%D0%B8%D0%BD%D0%B3%D0%B8/%D0%B0%D0%B2%D1%82%D0%BE%D0%B7%D0%B0%D0%BF%D1%87%D0%B0%D1%81%D1%82%D0%B8#comment-303506 | news/30              |     0 |
| 2011-04-13 16:58:08      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | news/4578            |     0 |
| 2011-04-13 16:58:16      | http://sample_host/news/4578                                                                                                                                | news/4578            |     0 |
| 2011-04-13 16:58:37      | http://sample_host/news/4578?page=6                                                                                                                         | node/159032          |     0 |
| 2011-04-13 16:58:57      | http://sample_host/node/159032                                                                                                                              | node/159032          | 22953 |
| 2011-04-13 16:58:58      | http://sample_host/node/159032                                                                                                                              | node/159032          | 22953 |
| 2011-04-13 16:59:10      | http://sample_host/node/159032                                                                                                                              | comment/reply/159032 | 22953 |
| 2011-04-13 16:59:22      | http://sample_host/comment/reply/159032#comment-form                                                                                                        | comment/reply/159032 | 22953 |
| 2011-04-13 17:00:20      | http://sample_host/comment/reply/159032                                                                                                                     | comment/reply/159032 | 22953 |
| 2011-04-13 17:00:49      | http://sample_host/comment/reply/159032                                                                                                                     | logout               |     0 |
| 2011-04-13 17:00:54      | http://sample_host/comment/reply/159032                                                                                                                     | test                 |     0 |
| 2011-04-13 18:00:08      |                                                                                                                                                               | test                 |     0 |
| 2011-04-13 18:00:32      | http://sample_host                                                                                                                                          | news/30              |     0 |
| 2011-04-13 18:00:40      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | news/30              |     0 |
| 2011-04-13 18:00:45      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8?page=6                                                                                        | node/188679          |     0 |
| 2011-04-13 18:01:16      | http://sample_host/node/188679                                                                                                                              | node/121389          |     0 |
| 2011-04-13 18:02:25      | http://sample_host/node/188679                                                                                                                              | node/188679          | 22953 |
| 2011-04-13 18:02:26      | http://sample_host/node/188679                                                                                                                              | node/188679          | 22953 |
| 2011-04-13 18:02:31      | http://sample_host/node/188679                                                                                                                              | node/137078          | 22953 |
| 2011-04-13 18:03:01      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | user/22953           | 22953 |
| 2011-04-13 18:03:15      | http://sample_host/user/22953                                                                                                                               | node/137078          | 22953 |
| 2011-04-13 18:04:27      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | logout               |     0 |
| 2011-04-13 18:04:28      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | test                 |     0 |
| 2011-04-13 18:10:52      | http://sample_host/                                                                                                                                         | node/137078          |     0 |
| 2011-04-13 22:33:02      |                                                                                                                                                               | test                 |     0 |
| 2011-04-13 22:33:30      | http://sample_host                                                                                                                                          | news/30              |     0 |
| 2011-04-13 22:33:46      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | news/30              |     0 |
| 2011-04-13 22:33:52      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8?page=6                                                                                        | node/188718          |     0 |
| 2011-04-13 22:42:30      | http://sample_host/node/188718                                                                                                                              | node/188718          | 22953 |
| 2011-04-13 22:42:32      | http://sample_host/node/188718                                                                                                                              | node/188718          | 22953 |
| 2011-04-13 22:42:42      | http://sample_host/node/188718                                                                                                                              | node/137078          | 22953 |
| 2011-04-13 22:42:55      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | logout               |     0 |
| 2011-04-13 22:42:56      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | test                 |     0 |
| 2011-04-13 22:56:09      | http://sample_host/                                                                                                                                         | node/194879          |     0 |
| 2011-04-13 22:56:36      | http://sample_host/node/194879                                                                                                                              | node/194881          |     0 |
| 2011-04-13 22:56:44      | http://sample_host/node/194881                                                                                                                              | news/30              |     0 |
| 2011-04-13 22:56:51      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | news/1974            |     0 |
| 2011-04-13 22:57:05      | http://sample_host/node/194879                                                                                                                              | node/194879          | 22953 |
| 2011-04-13 22:57:06      | http://sample_host/node/194879                                                                                                                              | node/194879          | 22953 |
| 2011-04-13 22:57:12      | http://sample_host/node/194879                                                                                                                              | node/137078          | 22953 |
| 2011-04-13 22:57:17      | http://sample_host/node/194879                                                                                                                              | node/137078          | 22953 |
| 2011-04-13 22:57:27      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | logout               |     0 |
| 2011-04-13 22:57:27      | http://sample_host/%D0%BE%D0%B1%D1%8A%D1%8F%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F                                                                             | test                 |     0 |
| 2011-04-13 23:11:34      | http://sample_host/                                                                                                                                         | node/194879          |     0 |
| 2011-04-13 23:12:19      | http://sample_host/node/194879                                                                                                                              | node/194879          | 22953 |
| 2011-04-13 23:12:20      | http://sample_host/node/194879                                                                                                                              | node/194879          | 22953 |
| 2011-04-13 23:12:29      | http://sample_host/node/194879                                                                                                                              | node/137078          | 22953 |
| 2011-04-13 23:15:38      | http://sample_host/                                                                                                                                         | node/191989          | 22953 |
| 2011-04-13 23:15:58      | http://sample_host/                                                                                                                                         | news/30              | 22953 |
| 2011-04-13 23:16:33      | http://sample_host/node/191989#comment-303516                                                                                                               | node/137078          | 22953 |
| 2011-04-13 23:18:12      | http://sample_host/node/191989#comment-303516                                                                                                               | logout               |     0 |
| 2011-04-13 23:18:13      | http://sample_host/node/191989#comment-303516                                                                                                               | test                 |     0 |
| 2011-04-14 11:24:02      |                                                                                                                                                               | test                 |     0 |
| 2011-04-14 11:39:59      | http://sample_host                                                                                                                                          | news/30              |     0 |
| 2011-04-14 11:40:10      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | news/30              |     0 |
| 2011-04-14 11:40:22      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8?page=6                                                                                        | node/188326          |     0 |
| 2011-04-14 11:41:29      | http://sample_host/node/188326                                                                                                                              | node/188326          | 22953 |
| 2011-04-14 11:41:30      | http://sample_host/node/188326                                                                                                                              | node/188326          | 22953 |
| 2011-04-14 11:41:36      | http://sample_host/node/188326                                                                                                                              | comment/reply/188326 | 22953 |
| 2011-04-14 11:42:03      | http://sample_host/comment/reply/188326#comment-form                                                                                                        | logout               |     0 |
| 2011-04-14 11:42:07      | http://sample_host/comment/reply/188326#comment-form                                                                                                        | test                 |     0 |
| 2011-04-14 11:48:45      | http://sample_host/                                                                                                                                         | user/552             |     0 |
| 2011-04-14 11:48:58      | http://sample_host/user/552                                                                                                                                 | user                 |     0 |
| 2011-04-14 11:49:01      | http://sample_host/                                                                                                                                         | user/552             |     0 |
| 2011-04-14 11:49:16      | http://sample_host/user/552                                                                                                                                 | user/19994           |     0 |
| 2011-04-14 11:49:25      | http://sample_host/user/19994                                                                                                                               | node/194918          |     0 |
| 2011-04-14 11:49:39      | http://sample_host/node/194918                                                                                                                              | user/27017           |     0 |
| 2011-04-14 11:54:01      | http://sample_host/user/19994                                                                                                                               | user/19994           |     1 |
| 2011-04-14 11:54:02      | http://sample_host/user/19994                                                                                                                               | user/19994           |     1 |
| 2011-04-14 11:54:10      | http://sample_host/user/19994                                                                                                                               | user/19994/edit      |     1 |
| 2011-04-14 11:54:23      | http://sample_host/user/19994/edit                                                                                                                          | user/19994/edit      |     1 |
| 2011-04-14 11:54:24      | http://sample_host/user/19994/edit                                                                                                                          | user/19994/edit      |     1 |
| 2011-04-14 11:54:30      | http://sample_host/user/19994/edit                                                                                                                          | logout               |     0 |
| 2011-04-14 11:54:31      | http://sample_host/user/19994/edit                                                                                                                          | test                 |     0 |
| 2011-04-14 11:56:58      | http://sample_host/user/19994/edit                                                                                                                          | test                 |     0 |
| 2011-04-14 12:00:55      | http://sample_host/                                                                                                                                         | news/30              |     0 |
| 2011-04-14 12:01:11      | http://sample_host/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8                                                                                               | node/194588          |     0 |
| 2011-04-14 12:10:11      | http://sample_host/user/19994/edit                                                                                                                          | logout               |     0 |
| 2011-04-14 12:10:12      | http://sample_host/user/19994/edit                                                                                                                          | test                 |     0 |
| 2011-04-14 12:20:37      | http://sample_host/                                                                                                                                         | node/194406          |     0 |
| 2011-04-14 12:24:08      | http://sample_host/node/194406                                                                                                                              | test                 |     0 |
+--------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------+----------------------+-------+

В логах апача ничего особенного. Пароль юзера 1 сложный, меняется регулярно. У других юзеров тоже как-то пароль обходят.

Комментарии

Аватар пользователя tshadrin tshadrin 14 апреля 2011 в 19:36

Ржачная шутка Smile IP по 5 раз в день меняется. С разных хостинг провайдеров ломают походу. Это бесполезно. Таких провов подсетками по whois закрываю файерволом. Проблему не решает, список адресов уже гигантский.

Аватар пользователя tshadrin tshadrin 15 апреля 2011 в 0:48

Это нормально. Боты сканируют сайт на наличие phpMyAdmin. Page not found говорит что все хорошо ).

Аватар пользователя Ветер Ветер 15 апреля 2011 в 1:42

"tshadrin" wrote:

Apr 13 16:38:44drupal: http://sample_host|1302698324|page not found|94.103.150.8|http://sample_host/C:/Documents%20and%20Settings/panuzhev/%D0%9C%D0%BE%D0%B8%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B/%D0%9C%D0%BE%D0%B8%20%D1%80%D0%B8%D1%81%D1%83%D0%BD%D0%BA%D0%B8|http://sample_host/node/114181|22953||C:/Documents and Settings/panuzhev/Мои документы/Мои рисунки
Apr 13 16:47:59drupal: http://sample_host|1302698879|page not found|94.103.150.8|http://sample_host/C:/Documents%20and%20Settings/panuzhev/%D0%9C%D0%BE%D0%B8%20%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B/%D0%9C%D0%BE%D0%B8%20%D1%80%D0%B8%D1%81%D1%83%D0%BD%D0%BA%D0%B8|http://sample_host/node/114181|22953||C:/Documents and Settings/panuzhev/Мои документы/Мои рисунки


Че такое C:/ ......

Аватар пользователя tshadrin tshadrin 15 апреля 2011 в 14:55

Версия 6.20. Подстава в том, что на первом пользователе права не проверяются доступа. Под ним они как-то заходят и тварят что хотят.
drupal: http://sample_host|1302852678|user|213.128.85.106|http://sample_host/node/194745?destination=node%2F194745|http://sample_host/node/194745|1||Session opened for admin1.

Вот опять. Переименовал юзера в admin1 под ним тоже зашли запросто.

Аватар пользователя tshadrin tshadrin 15 апреля 2011 в 21:59

-r--r--r-- 1 root root 9107 Mar 21 16:50 settings.php
Хостинг не виртуальный. На машине хост один всего, обственно сайт. Виртуальных хостов нет, а какое это может иметь значение? у сайта 2 имени, на которые он откликается.
Апач работает под юзером apache.

ad getid3 tagadelic_views
ad_flash imageapi taxonomy_defaults
cck imagecache mimedetect taxonomy_redirect
cck_field_privacy imagefield tinytinymce cck_formatters
imce privatemsg token checkbox_validate
imceimage quote transliteration custom_breadcrumbs
jquery_impromptu similarterms uploadpath filefield
jquery_update smtp views legal
spam views_accordion tagadelic wysiwyg
Есть пара-тройка своих модулей, но в них я уверен полностью.
Остальное стандартное. Врублен phpfilter. Фильтрами может управлять только юзер с id=1. Руки не доходят написать модулем поля и блоки в которых использую его. Роли его не используют.

Аватар пользователя Raistlin Raistlin 15 апреля 2011 в 22:28

Вам загружают сплойт. Включите безопасные загрузки. Ваш веб-сервер сконфигурирован не корректно. На сайт загружается jpg или img с php-кодом внутри, этот код потом выполняется. Я бы рекомендовал провериться на наличие шелла, а так же перезалить все файлы движка и модулей. Кроме того, для большей безопасности рекомендую перевести php в режим cgi, а так же корректно расставить права доступа.

Аватар пользователя tshadrin tshadrin 16 апреля 2011 в 12:29

Кажется начинаю понимать. Загружается картинка с кодом, злоумышленник заходит на сайт, ему присваевается сид, для этого сида сплойтом меняется uid юзера, и вот он уже админ или любой другой юзер.
В admin/settings/file-system поставил способ закачки - Закрытый — передачей файлов управляет Drupal.
Что именно говорит о том что веб сервер настроен некорректно и как это поправить? Буду очень признателен за подсказку куда копать.
Может ли шеллом в моем случае служить .jpg файл или другое изображение? Как удалось залить jpg файл если простым и зарегистрированным пользователям делать это не позволяется?
Что вы подразумеваете под корректной расстановкой прав доступа? все файлы движка и модулей принадлежат root. Только он может в них писать. 2 папки - темп и sites/default/files принадлежат апачу и он может в них писать.
find'ом проверил файлы движка и модулей на дату изменения. С движком и модулями все отлично, сомневаюсь в содержимом папки files.

Аватар пользователя Raistlin Raistlin 16 апреля 2011 в 13:49

>> все файлы движка и модулей принадлежат root

все... Только реформат. Боюсь, 300 долларов на аудит у вас нет. Вы пренебрегли основами безопасности сервера...

Аватар пользователя Raistlin Raistlin 16 апреля 2011 в 13:51

Ну если нужно, я могу описать как все поставить руками... Но лучше взять и поставить на vds тот же webmin в вашем случае.

Аватар пользователя tshadrin tshadrin 19 апреля 2011 в 12:40

Просмотрел всю папку sites/default/files/ нашел шелл и картинки со скриптами. Не понял почему они выполнялись. Для папки sites/default/files/ стоит AllowOverride none, .htaccess файлов не было.

Аватар пользователя tshadrin tshadrin 19 апреля 2011 в 21:07

Спасибо. Из моих действий -
1. Прошерстил sites/default/files grepom на предмет php кода. Нашел шелл в .jpg и несколько вредных скриптов.
2. Заблокировал Юзера с id 1.
3. Почему-то php исполнял файлы с расширениями php. php.1 php.*, закрыл эту возможность через директиву files по регуляркам.
4. Включил в друпале безопасную загрузку файлов.

И все - равно через пару часов обнаружил картинку с кодом внутри. Которая была подключена include() в блоке, формат которого был изменен на php.
Ну и в логах вижу строку
- 184.107.135.114 - - [19/Apr/2011:16:38:16 +0400] "POST /node/118304 HTTP/1.0" 200 33317 "http://sample_site/node/118304" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
Но не могу исправить это дело. Загрузка была сделана под анонимом.

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 13:20

yum -y install php httpd mysql mysql-server php-mbstring php-mysql php-zts nano bind

nano /etc/sysconfig/httpd

Раскомментируем строку HTTPD=/usr/sbin/httpd.worker

Создаем юзверя:

useradd -d /var/www/username username

passwd username

Собственно, осталось добавить виртуалхосты в апач и настроить bind. В апач нужно добавить таким образом:

<Directory /var/www/username/domain>
        Options +ExecCGI +Includes
</Directory>

<VirtualHost ip-address:80>
        ServerName domain
        DocumentRoot /var/www/username/domain
        SuexecUserGroup username username
        ServerAlias www.domain
        ServerAdmin webmaster@domain
        ScriptAlias /php-bin/ /var/www/username/php-bin/
        ScriptAlias /cgi-bin/ /var/www/username/domain/cgi-bin/
        AddHandler php-cgi .php .php3 .php4 .php5 .phtml
</VirtualHost>

создаем все пути

Создаем скрипт интерпретатора
echo "#!/usr/bin/php-cgi" > /var/www/username/php-bin/php
chmod +x /var/www/username/php-bin/php

Свой php.ini
echo " " > /var/www/username/php-bin/php.ini

Правим владельца
chown username:username /var/www/username

chkconfig add httpd
chkconfig add mysqld

service httpd restart

с мускулем и прочим работаете как обычно, конфиг касается только апача. Ну и следите, чтобы права на папки, в которых файлы должны выполняться были не выше 755, на файлы выполняемые - не выше 644 (777 только на папки кеша и фалы кеша). settings.php - 440 или 400.

Собственно в общих чертах должно быть понятно, возникнут проблемы - пишите, скорректирую (возможно, что-то забыл, но вряд ли).

апач перевели в worker для экономии памяти, php-zts поставили для того, чтобы не возникало проблем, если вы захотите отказаться от php-cgi. В общем все. Скрипты будут выполняться как положено, от имени пользователя, друпал должен чувствовать себя с этими настройками комфортно. Шелл и прочую дрянь вам в систему уже не залить так просто даже если злоумышленник получит доступ к аккаунту нашего зверька (будет достаточно снести зверька и добавить нового).

Единственное, что я бы еще посоветовал при такой конфигурации - перевести /tmp в noexec. Так, на всякий случай.

Аватар пользователя tshadrin tshadrin 19 апреля 2011 в 22:04

Спасибо. Бинд в моем случае не нужен, как и mysql - они на отдельных машинах.
Правильно ли я понял что настройка apache+php как модуль - не безопасна?
Что именно делает php-zts?

Аватар пользователя tshadrin tshadrin 20 апреля 2011 в 0:53

Заметил что очень медленно работает php в cgi режиме и сжирает все процессорное время. В mod режиме такого небыло. Стоит копать настройка worker модуля?
Еще интересно, почему php исполняет файлы с расширением .php. .php.* ?

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 4:47

У вас очень слабый VDS. Да, php-cgi кушает больше процессорного времени, однако, экономит память и очень сильно. Значит вам нужно подключить php-zts (этот модуль подключается именно в режиме worker апача, так как mod_php в этом случае работает не стабильно). Вообще в /etc/conf.d/php.conf уже все сделано. В вашем случае нужно корректно прописать виртуалхост в апаче и применить ограничения openbasedir. Хотя, в данном случае я бы использовал mpm-itk и php-cli, это даст запуск и выполнение скриптов от имени пользователя, а не от апача.

>> почему php исполняет файлы с расширением .php. .php.* ?
Как вы их исполняете? Из командной строки можно исполнить все что угодно и как угодно. Вам нужно, чтобы не открывались php.jpg к примеру и прочее.

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 4:48

Настройка apache+php как модуль для классического хостинга неприменима впринципе, это можно сделать безопасным, но с помощью кучи ухищрений, как то suhosin, openbasedir, запрет некоторых инструкций.

Аватар пользователя tshadrin tshadrin 20 апреля 2011 в 11:37

Насчет производительности - настроил воркер + повырубал модули ненужные и все ок стало. Память для меня не критична, на сервере который предназначен только для сайта 6 гигов оперативки. А вот проц - да core2duo. Насчет php-zts видел в конфиге.
Что именно нужно сделать с openbasedir?
Скрипты с такими расширениями выполняются из браузера как php.

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 13:19

Баг апача. Он ищет в имени файла ".php", если находит - выполняет. Надо писать багрепорт разработчикам.

<Directory /var/www/elib/data/www/elib.hostace.ru>
        php_admin_value open_basedir "/var/www/elib/data"
        Options +ExecCGI +Includes
</Directory>

как пример использования openbasedir.

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 15:12

Гм. Перечитал документацию по mod MIME. Это не баг, это фича. Т.е. файл с двойным расширением интерпретируется как каждое из них.

Аватар пользователя tshadrin tshadrin 20 апреля 2011 в 17:23

Так, ну с производительностью все хорошо стало. Друпал вчера поставил скаченный с сайта.
Сегодня опять обнарудил в бд злой код и php формат ввода для этой ноды. .jpg файлов уже не было с php кодом.

Видимо придется дампом пакеты собирать...

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 18:31

Не придется. Файлы двига все на месте? Делали полный реинсталл сервера? Загрузки безопасные включены? Какие стоят права на папки с временными файлами и папки загрузок? .htaccess все на месте? Если не делали полный реинсталл сервера - у вас шелл или руткит в системе. В противном случае нужно логи апача смотреть на предмет XSS в первую очередь. Так же права на файл конфига - 440?

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 18:32

З.Ы. Пароли все поменяли? Не должно ни одного такого же остаться после таких взломов.

Аватар пользователя Raistlin Raistlin 20 апреля 2011 в 18:42

Вообще попробуйте мне написать в ICQ 408108152, думаю, вопрос получится расшевелить быстрее, а то между постами на форуме сутки проходят.

Аватар пользователя tshadrin tshadrin 23 апреля 2011 в 0:23

Спасибо, пока не нужно.
Все вроде-бы тихо, пока пишу весь траффик на сайт.
Если что начнется просто решили передать в полицию.

Аватар пользователя Raistlin Raistlin 24 апреля 2011 в 8:04

Гм. Мне было бы очень интересно, если вы обратитесь в полицию, как это произойдет (ну интерес не праздный, ибо постоянно приходится бороться с DDoS, попытками взломов и т.п.).

Аватар пользователя tshadrin tshadrin 1 августа 2011 в 10:43

Итак, опять начались взломы.
Обнаружил скрипт в папке с темой и инклуд его в index.php на сайте Скрипт собирал пароли юзеров в файл формата jpeg.
Пароли админов сразу поменял.
Нашел вот такие файлы file.php. full.PHP и картинки.

Аватар пользователя UnnamedNETUA UnnamedNETUA 1 августа 2011 в 14:28

Обновите серверное ПО до последних версий, поменяйте пароль на ftp доступ и на остальные авторизации на сайте.

Аватар пользователя tshadrin tshadrin 1 августа 2011 в 16:03

Друпал 6 последней версии, фтп доступа нет на сервер.Только 80 порт.
Пароли админов поменял которые стащить могли.