19 октября 2007 в 18:04
Сайт www.autoblog.ru. В папке files оказался файл pas.php который открывает якобы какой-то официальный сайт и просит ввести там пароль. Фишинг, короче.
Почему-то я не могу удалить по ftp это файл и даже изменить атрибуты папки files. Но этот вопрос я думаю сейчас с хостером решу.
Хочу спросить, как мне закачали в files левый файл и как можно сделать чтобы в эту папку нельзя было положить файлы с ненужными расширениями?
Спасибо.
Комментарии
Зайди из консоли хостера.
Варианта 3
1) Древняя версия Drupal
2) Кто-то разрешил туда копировать файлы с расширением php и разрешил им запускаться в этой папке
3) У кого-то есть ftp доступ.
Если нужны только картинки, то в версии 5.2, user.module это реализовано так:
<?php
function user_validate_picture(){
...
$info = image_get_info($file->filepath);
if (!$info || !$info['extension']) {
form_set_error('picture_upload', t('The uploaded file was not an image.'));
}
...
}
?>
Если не только картинки, тогда, наверное, надо копать Fileinfo функции.
Вообще, в дефолтных модулях это всё перекрыто, может у вас есть какой-то некачественный, проприетарный модуль, что не делает проверок на тип заливаемого файла?
По правде говоря, штука опасная при недонастройке хостинга:
1) заливаем файл pass.php
<?php
readfile('../sites/default/settings.php');
?>
2) http://localhost/files/pass.php вернет нам сами знаете что.
Если файл .htaccess не удалили/изменили, то не страшно.
Попробуйте сами скопировать туда какой-нибудь файл php. При открытии в браузере вы должны увидеть исходный код файла.
срочно обновите версию до 4,7,8
http://ftp.drupal.org/files/projects/drupal-4.7.8.tar.gz
17 числа был найден целый ряд крайне опасных дыр.
Также смените все пароли. Эту процедуру стоит повторять каждые 3-4 недели.
Проверьте, установлены ли соответствующие права на settings.php
Всем спасибо, буду исправлять.