Пытаются взломать сайт, используя различный скрипт в ссылках

Аватар пользователя artyomalin artyomalin 27 августа 2012 в 10:03

С недавних пор пытаются взломать сайт на drupal 7, подставляя различный код в конце ссылок.

Подставляют следующий код:

  • +Result:+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
  • +++++++++++++++++++++Result:+%F1%EB%E8%F8%EA%EE%EC+%E1%EE%EB%FC%F8%E0%FF+%F1%F2%F0%E0%ED%E8%F7%EA%E0,+%ED%E5+%E4%EE%EA%E0%F7%E0%ED%EE;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;

Перед этой зиписью в журнале показывется сообщение "Warning: htmlspecialchars(): Invalid multibyte sequence in argument в функции check_plain() (строка 1572 в файле сайт.ru/www/includes/bootstrap.inc)." - экранируются все нежелательные символы

Подскажите, пожалуйста, после функции htmlspecialchars() есть ли опасность какая-нибудь для сайта или нет? Заранее всех благодарю.

Комментарии

Аватар пользователя Nikit Nikit 27 августа 2012 в 10:33

Ищут уязвимости, обычно спамеры, чтобы постить рекламу.
Если достаёт такими, просто блокируйте по ip...

Аватар пользователя Айдар Айдар 27 августа 2012 в 11:19

У меня уже около полутора лет ровно такие записи в журнале - пока ничего не взломали.

Аватар пользователя artyomalin artyomalin 27 августа 2012 в 11:37
alex_shut wrote:

потерпи еще 4 дня, попустить должно.

Потерпим, конечно но и ip заблокируем

Обнадежили, спасибо всем

Аватар пользователя axel axel 27 августа 2012 в 20:00

Попытка XSS. Для друпала, если не понакодили чего-нибудь без проверок в формах кастомных модулей или в темах, не страшно.

Аватар пользователя axel axel 27 августа 2012 в 20:02

Если очень беспокоит и сайт важный - ModSecurity для Apache от XSS хорошо защищает. Но правда с его применять тоже с осторожностью - нагружает сервер и можно заблокировать активность нормальных пользователей.

Аватар пользователя vitaboss vitaboss 27 августа 2012 в 22:13

Вопрос в тему или нет, но кто знает из-за чего ID юзера, которого я вручную зарегистрировал вторым админом после себя стал user/145? Сайт-визитка, ему уже более года, регистрация только после одобрения. По идеи следующий должен быть user/2 Это тоже работа спамеров?

Аватар пользователя axel axel 3 сентября 2012 в 12:45
vitaboss wrote:

Вопрос в тему или нет, но кто знает из-за чего ID юзера, которого я вручную зарегистрировал вторым админом после себя стал user/145? Сайт-визитка, ему уже более года, регистрация только после одобрения. По идеи следующий должен быть user/2 Это тоже работа спамеров?

Так посмотри список пользователей. Если регистрация после одобрения, то регаться можно, просто аккаунт получается неактивный, но в базе он имеет место быть и в админке будет виден. Для такого сайта регистрацию имеет смысл проставить в режим создания аккаунтов только админом.

Аватар пользователя sg85 sg85 3 сентября 2012 в 13:09

По ip банить не самая разумная идея, ибо белые адреса выдают только в крупных городах(и то далеко не всем), т.е. "за пределами МКАД" вы рискуете забанить целый город, ибо численное большинство провайдеров берут всего 1 ip

Аватар пользователя vitaboss vitaboss 3 сентября 2012 в 22:12
"sg85" wrote:

Если регистрация после одобрения, то регаться можно, просто аккаунт получается неактивный, но в базе он имеет место быть и в админке будет виден.

Вот именно, что в админке пользователей нет, регистрация была после одобрения. В базе никого нет, вот только второй админ получился 145-м. Мне сказали, что может кто-то брутил... вот друпал и насчитал попытки регистрации. Регистрацию закрыл полностью.

Аватар пользователя Nikit Nikit 4 сентября 2012 в 4:25

2vitaboss - ну раз пользователей нет, то и проблемы скорее всего у вас нет, а какой id у юзера это не важно, главное чтобы 0 и 1 были.
2sg85: можно провести анализ ip.