Нашли дыру! Помогите!!!!!!!!

legenda · 2015-07-04 17:27:05

У меня была, тоесть есть, такая проблема. В корне сайта есть файлы index.php и .htaccess туда кто то постоянно вносит изменения, фактически вирус, который блокирует работу сайта, это происходит уже более недели, уже так было 3 раза, я уже и поставил права 444 на них, уже и пароли каждый раз менял но постоянно все возобновляется, вот вчера смотрю снова кто то изменил файлы и установил права 777.

Написал я все это хостеру вот что мне ответил

Здравствуйте.
Этот сайт действительно взломан. Вот в этот каталог /uploads/images/default/ были загружены специальные файлы под видом картинок (видимо ваш движок имеет уязвимость, раз позволяет загружать вместо картинок любой исполняемый файл). Файлы представляют собой удаленную оболчку через которую атакующий может загружать на сервер любые файлы и выполнять некоторые команды на сервере, в том числе создавать и удалять файлы, а так же запускать вредоносный код. Вот лог загрузки этих файлов:
5.9.96.235 - - [03/Jul/2015:16:34:07 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 174 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:36:52 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:55:07 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
5.9.96.235 - - [03/Jul/2015:16:58:50 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 164 "-" "-"
5.9.96.235 - - [03/Jul/2015:17:03:17 +0300] "POST /uploads/images/default/lib_fr7n8f.php HTTP/1.1" 200 169 "-" "-"
Все найденные вредоносные файлы я удалил, но скорее всего это не поможет надолго, пока уязвимость в вашем движке не исправлена. С этим вопросом обратитесь к разработчику.

---
Че делать?

irbees2008 · 2015-07-04 17:30:48

У тебя в админке в разрешенных какие файлы стоят для загрузки

legenda · 2015-07-04 17:51:33

и еще написал

Если в "движке" есть уязвимость, файлы можно загружать в обход "админки", обращаясь к некоторым частям сайта напрямую.

legenda · 2015-07-04 17:57:13

irbees2008, вот счас вижу что и .php дописали суки, но ранее я видел загруженые и файлы типа 11.jpg хотя там явно была не картинка

infinity237 · 2015-07-04 18:33:05

1) В новых версиях NG уже давно стоит запрет на "дописывание" .php в настройках, а также на двойные расширения.
2) Не удивлюсь, если использовался какой-нибудь легкий словарный пароль из 6 букв, который легко брутится.
3) Логи использования shell'a ничем не помогут. Желательно найти так сказать "точку взлома", т.е. откуда все пошло... При наличии логов, это реальная задача.

irbees2008 · 2015-07-05 06:54:39

Ну раньше однокласников с помощью картинок ломали,в картинку добавляли php код,расширение оставляли и отправляли челу которого надо взломать, тот открывал картинку на своей страничке и код встроенный отправлял файлы куки на специальный сайт,от туда эти файлы добавляли в оперу и заходили на страницу чела .Вот так было раньше. В соц сетях этот момент уже давно исправили.

legenda · 2015-07-06 01:26:58

infinity237, нифига, у меня стоит самая последнвяя версия из ночной сборки

infinity237 · 2015-07-06 10:11:42

Ну хорошо. Покажи как ты допишешь .php в список.

irbees2008 · 2015-07-06 11:36:41

legenda пишет:

infinity237, нифига, у меня стоит самая последнвяя версия из ночной сборки

Кто имеет права на загрузку файлов и изображений?,плагин nsm используешь?

legenda · 2015-07-06 17:57:05

irbees2008, не использую, infinity237, зашел в админку и спокойно дописал .php

irbees2008 · 2015-07-06 19:08:29

legenda · 2015-07-06 19:35:42

Ха) только на этом сайте там стоит "да")), прикол, в общем 3 дня назад запретил на сервере доступ ко всему по не моем айпи, пока тишина, если что отпишусь

legenda · 2015-07-06 19:45:19

Думаю проблема пошла с того что у меня там стоит доделаный плагин в который можно загружать свои картинки, доступа к нему всем вроде как нет (тоесть я его никому не показываю, плагин для внутреннего использования) но скорее всего кто то как то линк нарыл, там доступа к админке не надо, туда залили картинки типа 11.jpg, хотя на самом деле там был код, из этого кода ужа дальше взламали конфиг, index.php и .htaccess и другие файлы, возможно и базу где потом взаламали юзера который уже загружал эти вот файлы через админку, просто юзеров у меня много, сотни, всех не проверяю.
Может както и попроще все сделали, хз, вопрос в том как кроме айпи теперь все это защитить, так как по айпи неочень удобно работать на растоянии.

irbees2008 · 2015-07-06 19:54:27

Скорее всего в этом и проблема,я выше объяснил как работает взлом через картинку,по этому и спрашивал про nsm, думал у тебя может модифицированный какой стоит.
Сначала получили куки с сайта ,зашли в админку,а там сделали правки ,залили файл php, ну а дальше понятно

infinity237 · 2015-07-08 18:18:42

irbees2008 пишет:

http://xn----0tbabpcejn.xn--p1ai/img/20 … q1uwkl.png

В последних версиях NG, эта опция не влияет на дописывание .php
.php должно блокироваться при любых вариантах, если у вас дописывается это значит что старая версия NG.

irbees2008 · 2015-07-08 19:18:03

infinity237 пишет:

irbees2008 пишет:
http://xn----0tbabpcejn.xn--p1ai/img/20 … q1uwkl.png
В последних версиях NG, эта опция не влияет на дописывание .php
.php должно блокироваться при любых вариантах, если у вас дописывается это значит что старая версия NG.

так это скрин с гитовской последней версии,и блокирует файлы с двойным расширением

Изменено irbees2008 (2015-07-08 19:24:25)

legenda · 2015-07-09 16:07:05

infinity237, я не совсем понял твой коммент, можеш еще раз, что именно не влеяет?
у меня 100% самая последняя версия.

infinity237 · 2015-07-11 15:56:40

legenda пишет:

infinity237, я не совсем понял твой коммент, можеш еще раз, что именно не влеяет?
у меня 100% самая последняя версия.

Согласно вот этому изменению (почти 3 годичной давности):
https://www.assembla.com/code/ngcms/c14 … ommit/1076
https://github.com/vponomarev/ngcms-cor … 8e1aa7aa03

В админке можно прописывать любые расширения, но непосредственно при загрузке (любой, будь то загрузчик файлов/изображений или загрузчик аттачментов в новостях или загрузчик изображений xfields - все эти фичи используют upload.class.php), файлы с расширениями 'php', 'pht', 'phtml', 'php3', 'php4', 'php5' будут отбрасываться. Будет выводиться сообщение, по типу:

(301) Загрузка файлов данного типа/с данным расширением запрещена (libnews.php)

Двойные расширения не представляют никакой угрозы при правильно настроенном сервере.

Если все же файл .php каким-то образом попал в /uploads/images/default/, то я вижу этому следующие возможные объяснения:
1) В NG, в частности upload.class.php, всеже есть где-то дыра, но на данный момент её идентифицировать не представляется возможным.
2) Файл был загружен по FTP.
3) Файл был загружен через другой скрипт, непосредственно не использующий upload.class.php

irbees2008 · 2015-07-11 16:49:03

Думаю проблема пошла с того что у меня там стоит доделаный плагин в который можно загружать свои картинки, доступа к нему всем вроде как нет (тоесть я его никому не показываю, плагин для внутреннего использования) но скорее всего кто то как то линк нарыл, там доступа к админке не надо,

legenda · 2015-07-13 20:13:50

файлы были загружены именно сюда /uploads/images/default/ логично что через фтп или другим путем они б загружали в другое место

infinity237 · 2015-07-13 22:10:38

legenda пишет:

файлы были загружены именно сюда /uploads/images/default/ логично что через фтп или другим путем они б загружали в другое место

Далеко не логично. Обычно шеллы загружают туда куда, где администратор будет с меньшей вероятностью искать.

Next Generation CMS :: Форум поддержки

Объявление

#1 2015-07-04 17:27:05

Нашли дыру! Помогите!!!!!!!!

#2 2015-07-04 17:30:48

Re: Нашли дыру! Помогите!!!!!!!!

#3 2015-07-04 17:51:33

Re: Нашли дыру! Помогите!!!!!!!!

#4 2015-07-04 17:57:13

Re: Нашли дыру! Помогите!!!!!!!!

#5 2015-07-04 18:33:05

Re: Нашли дыру! Помогите!!!!!!!!

#6 2015-07-05 06:54:39

Re: Нашли дыру! Помогите!!!!!!!!

#7 2015-07-06 01:26:58

Re: Нашли дыру! Помогите!!!!!!!!

#8 2015-07-06 10:11:42

Re: Нашли дыру! Помогите!!!!!!!!

#9 2015-07-06 11:36:41

Re: Нашли дыру! Помогите!!!!!!!!

#10 2015-07-06 17:57:05

Re: Нашли дыру! Помогите!!!!!!!!

#11 2015-07-06 19:08:29

Re: Нашли дыру! Помогите!!!!!!!!

#12 2015-07-06 19:35:42

Re: Нашли дыру! Помогите!!!!!!!!

#13 2015-07-06 19:45:19

Re: Нашли дыру! Помогите!!!!!!!!

#14 2015-07-06 19:54:27

Re: Нашли дыру! Помогите!!!!!!!!

#15 2015-07-08 18:18:42

Re: Нашли дыру! Помогите!!!!!!!!

#16 2015-07-08 19:18:03

Re: Нашли дыру! Помогите!!!!!!!!

#17 2015-07-09 16:07:05

Re: Нашли дыру! Помогите!!!!!!!!

#18 2015-07-11 15:56:40

Re: Нашли дыру! Помогите!!!!!!!!

#19 2015-07-11 16:49:03

Re: Нашли дыру! Помогите!!!!!!!!

#20 2015-07-13 20:13:50

Re: Нашли дыру! Помогите!!!!!!!!

#21 2015-07-13 22:10:38

Re: Нашли дыру! Помогите!!!!!!!!

Подвал раздела