Забыли пароль?
Запросите новый здесь.

Автор темы: andy_ger
ID темы: 2611
Информация:
Тема содержит 19 сообщения, была просмотрена 15031 раз.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
Взлом
andy_ger
Привет всем.
Появилась проблема - на сайте появилось около 30 левых "дополнительных страниц" (с адресами вида имя_сайта/viewpage.php?page_id=25). Страницы содержат текст на польском языке. Естественно, непосредственно с сайта этих страниц не видно, т.к. ссылок на них нет, но по прямой ссылке они открываются. Что не радует.
Это произошло пару месяцев назад, удалил страницы, поменял все пароли.
Сегодня повторилось.
config.php в 644, setup.php удален, пароли FTP и БД разные и сложные, возможность присоединять файлы на форуме с расширениями отсутствует (как и сам форум).
Что можно предпринять?

 
Deorchik
1 - эти страницы(файлы) созданы в ручную те имеют само название уже - viewpage.php?page_id=25 . ?
2 - или они как то помечены в БД?

 
Web
andy_ger
Deorchik написал:

1 - эти страницы(файлы) созданы в ручную те имеют само название уже - viewpage.php?page_id=25 . ?
2 - или они как то помечены в БД?


Эти файлы, так же, как и созданные мной, являются записями в БД. То есть id=25 это UIN в БД MySql . Соответственно, удалил я их штатными средствами PHP-Fusion, через админку.
Да, забыл указать версию - 7.02 .

 
Alex
andy_ger, проверь сайт айболитом, и обновись до версии 7,02,07

такой взлом уже давно был

 
Web
Deorchik
Вот мне интересно в 7/02/07 есть ещё Баги которые могут угражать безопасности ...?

 
Web
Rush
поковыряй access логи nginx'a или apache, ну или выложи


 
Web
andy_ger
Rush написал:

поковыряй access логи nginx'a или apache, ну или выложи


логи посмотрел. ничего не заметил, кроме того, что есть обращения к этим левым страницам.
существует возможность закрыть от просмотра страницы с номером, большим заданного?
чтобы viewpage.php?page_id=1..viewpage.php?page_id=25 были доступны, аviewpage.php?page_id=26 и выше - нет

 
Rush
странно, в логах в любом случаем должно что-то быть


 
Web
andy_ger
Rush написал:

странно, в логах в любом случаем должно что-то быть


там много чего есть )
ну вот например

5.61.33.125 - - [01/Dec/2015:12:40:16 +0300] "GET /wp-login.php HTTP/1.0" 302 227 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

5.61.33.125 - - [01/Dec/2015:12:40:16 +0300] "GET /errors/error_404.html HTTP/1.0" 200 637 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

5.61.33.125 - - [01/Dec/2015:12:40:19 +0300] "GET /administrator/index.php HTTP/1.0" 302 227 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

5.61.33.125 - - [01/Dec/2015:12:40:19 +0300] "GET /errors/error_404.html HTTP/1.0" 200 637 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

5.61.33.125 - - [01/Dec/2015:12:40:23 +0300] "GET /admin.php HTTP/1.0" 302 227 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

5.61.33.125 - - [01/Dec/2015:12:40:23 +0300] "GET /errors/error_404.html HTTP/1.0" 200 637 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

Объединено 07.12.2015 12:06:
Rush написал:

странно, в логах в любом случаем должно что-то быть


вроде нашел. видимо, вот оно:
23.106.162.120 - - [24/Nov/2015:03:06:46 +0300] "POST /administration/custom_pages.php?aid=3f2c54a9f7c08f85 HTTP/1.0" 200 949 "-" "-"


Изменил(а) andy_ger, 07.12.2015 12:06
 
Polarfox
посмотри админов новых например


Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме

PolarLab - вход для подопытных
 
Web
andy_ger
PolarFox написал:

посмотри админов новых например


это я сразу сделал. новых админов нет, пользователей нет.

 
Polarfox
убери все "3ей вечеринки" с сайта, все полностью удали, далее перезагрузи обратно все скрипты дефолтные.

бд желательно тоже проверить.


Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме

PolarLab - вход для подопытных
 
Web
andy_ger
PolarFox написал:

убери все "3ей вечеринки" с сайта, все полностью удали, далее перезагрузи обратно все скрипты дефолтные.

бд желательно тоже проверить.


В БД левые записи были только в custom_pages, их удалил.
"3ей вечеринки" - это что ? ai

 
Polarfox
3rd-party, сторонние

вот неясно что в кастом пажес было, может что интересное.

ну да бэкап надеюсь есть и был?


Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле. | Вся бесплатная тех. поддержка только на форуме

PolarLab - вход для подопытных
 
Web
andy_ger
PolarFox написал:

3rd-party, сторонние

вот неясно что в кастом пажес было, может что интересное.

ну да бэкап надеюсь есть и был?


изначально у меня был десяток custom pages. после этого непрошенного вмешательства появилось еще несколько, на польском языке. всякая реклама и все такое.
бекап всегда есть, я достаточно часто его делаю, на случай если надо будет отъехать на 1-2-3... шага.
сейчас я просто отрубил возможность добавления custom pages

 
Pisatel
Подобное было в 7.02.05, в 7.02.07 устранили.
существует возможность закрыть от просмотра страницы с номером, большим заданного?

Скачать исходники  Код
    if (isset($_GET['page_id']) && isnum($_GET['page_id']) && $_GET['page_id'] > 25) { die("Access denied"); }




Переполз на WP, но PF - это как первая любовь, которая не забывается...
 
Web
andy_ger
Pisatel написал:

Подобное было в 7.02.05, в 7.02.07 устранили.
существует возможность закрыть от просмотра страницы с номером, большим заданного?

Скачать исходники  Код
    if (isset($_GET['page_id']) && isnum($_GET['page_id']) && $_GET['page_id'] > 25) { die("Access denied"); }




можно, но это не избавляет от грязи в БД. Я закрыл возможность записи таких страниц:
файл administration/custom_pages.php заменил пустым <?php ?>.
Разумеется, при таком варианте редактировать существующие кастомные страницы тоже невозможно. Меня это устраивает, изменения в них делаю крайне редко.

 
Pisatel
Обновись до 7.02.07. Это ж дыра, понимаешь? Или изучай логи, ищи и закрывай.


Переполз на WP, но PF - это как первая любовь, которая не забывается...
 
Web
andy_ger
Pisatel написал:

Обновись до 7.02.07. Это ж дыра, понимаешь? Или изучай логи, ищи и закрывай.


Понимаю, конечно. Пока заткнул дыру, в НГ праздники обновлюсь.

 

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум:
Похожие темы
Темы Форум Ответов / Просмотров Последние сообщения
очередной взлом?  →  Безопасность 30 / 12743 20.08.2013 09:00
Взлом сайта  →  Ошибки, баги 10 / 10827 09.04.2013 08:15
Топ 5 пользователей форума
Alex Alex (1,211)   Zaxap Zaxap (1,089)   Vova Vova (877)   Pisatel Pisatel (678)   util util (666)