Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / как защитить джумла фреймворк от инклюдов / 25 сообщений из 44, страница 1 из 2
  1  все
30.06.2014, 16:30
    #38683894
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
Всем привет.
Собственно есть джумла сайт, его делало а потом обновляло много разных веб мастеров.
Один из них поцепил
https://github.com/livereload/livereload-examples/blob/master/joomla_example/includes/framework.php
вот этот фреймворк, там 6 разных файлов которые занимаются редиректами. Недавно обнаружил что в него инклюдятся.
Два раза чистил файлы и в них опять инлюдятся. Как защитится от инклюда?
На уровне 444 чмода? Или еще есть варианты?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.06.2014, 16:38
    #38683911
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12,

что значит "в него инклюдятся"? как и куда...
А то сейчас ты попросил помочь найти дырку в системе редиректов и на дел ни малейшей наводки где и как искать :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.06.2014, 17:38
    #38684000
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12Два раза чистил файлы и в них опять инлюдятся. Как защитится от инклюда?Неправильная постановка вопроса. Лучше выясните, откуда файлы берутся (анализ логов вебсервера для начала). Не удивлюсь, если используется какая-то уязвимость джумлы или используемых с ней плагинов/компонентов. Вариантов немного - закрыть уязвимости. Скорее всего, путем обновления (до последних версий).

forward12На уровне 444 чмода?Тупо, конечно. Но действенно до какого-то времени. И неудобств доставляет некоторое количество.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.06.2014, 22:31
    #38684197
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
Програмёрforward12,

что значит "в него инклюдятся"? как и куда...
А то сейчас ты попросил помочь найти дырку в системе редиректов и на дел ни малейшей наводки где и как искать :)
там есть папка includes в ней файл define.php вот в этот файл влазит вредоносный код.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.06.2014, 22:33
    #38684199
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
vkleforward12Два раза чистил файлы и в них опять инлюдятся. Как защитится от инклюда?Неправильная постановка вопроса. Лучше выясните, откуда файлы берутся (анализ логов вебсервера для начала). Не удивлюсь, если используется какая-то уязвимость джумлы или используемых с ней плагинов/компонентов. Вариантов немного - закрыть уязвимости. Скорее всего, путем обновления (до последних версий).

forward12На уровне 444 чмода?Тупо, конечно. Но действенно до какого-то времени. И неудобств доставляет некоторое количество.
да плагинов и компонентов там установленно очень много разных. Один проблемный плагин на прошлой неделе нашел и отключил. Но подозреваю что есть еще проблемные. Логи буду смотреть за день в который был первый инклюд.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.06.2014, 22:38
    #38684202
Изопропил
Изопропил
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12да плагинов и компонентов там установленно очень много разных
выжигать калёным железом
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 09:13
    #38684382
SharuPoNemnogu
SharuPoNemnogu
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
htaccess, JCE, images туда смотреть в первую очередь. Проставить права на файлы и папки, по закрывать все что не требует 777. Проредить лишние модули плагины компоненты, либо сказать с оф источников, либо самому проверить код.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 11:19
    #38684507
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
SharuPoNemnoguhtaccess, JCE, images туда смотреть в первую очередь. Проставить права на файлы и папки, по закрывать все что не требует 777. Проредить лишние модули плагины компоненты, либо сказать с оф источников, либо самому проверить код.

Ну а что тут проредить )) Тут как по мне всё просто... Есть модуль, который позволяет загрузить файл не проверяя его расширение, который сразу выставлет ему права 777 (или даже 744, чего вполне достаточно для выполнения нужных действий). В htaccess скорее всего стоит правило на перенаправление только в том случае, если на сервере не найден физический файл по указанному пути, иначе же идёт строго обращение к данному файлу. А вот уже в файле отрабатывает то, что перезаписывает другие файлы (вписывает в них эту дребедень). Потому закрыть файл правами 444 - не выход, так как на сервере есть ещё уйма файлов, куда можно влезть :) И не просто влезть, а влезть и стянуть например пароли пользователей, входящих в систему :)

как вариант (хотя не знаю зачем, но модули джумлы, которые пишутся любителями - это вообще тёмный лес), можно ещё проверить код на наличие exec :) А то ведь не факт, что заражение происходит именно при обращении к файлу... возможно зловещий код в базе сидит и оттуда его exec'ом запускают :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 11:45
    #38684549
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
SharuPoNemnoguhtaccess, JCE, images туда смотреть в первую очередь. Проставить права на файлы и папки, по закрывать все что не требует 777. Проредить лишние модули плагины компоненты, либо сказать с оф источников, либо самому проверить код.
в хттаксесе все пучком. С имейджисами тоже. Редактор JCE проверю.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 11:46
    #38684551
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
ПрограмёрSharuPoNemnoguhtaccess, JCE, images туда смотреть в первую очередь. Проставить права на файлы и папки, по закрывать все что не требует 777. Проредить лишние модули плагины компоненты, либо сказать с оф источников, либо самому проверить код.

Ну а что тут проредить )) Тут как по мне всё просто... Есть модуль, который позволяет загрузить файл не проверяя его расширение, который сразу выставлет ему права 777 (или даже 744, чего вполне достаточно для выполнения нужных действий). В htaccess скорее всего стоит правило на перенаправление только в том случае, если на сервере не найден физический файл по указанному пути, иначе же идёт строго обращение к данному файлу. А вот уже в файле отрабатывает то, что перезаписывает другие файлы (вписывает в них эту дребедень). Потому закрыть файл правами 444 - не выход, так как на сервере есть ещё уйма файлов, куда можно влезть :) И не просто влезть, а влезть и стянуть например пароли пользователей, входящих в систему :)

как вариант (хотя не знаю зачем, но модули джумлы, которые пишутся любителями - это вообще тёмный лес), можно ещё проверить код на наличие exec :) А то ведь не факт, что заражение происходит именно при обращении к файлу... возможно зловещий код в базе сидит и оттуда его exec'ом запускают :)
зачастую антивирус на экзеки ругается. Вчера проверил, вирусов не было. Но на всякий случай проверю и БД. А если вмесет 444 чмода помменять владельца файла?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 12:02
    #38684581
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12А если вмесет 444 чмода помменять владельца файла?А смысл?
А если вредоносный код в базу пишется?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 20:38
    #38685116
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
vkleforward12А если вмесет 444 чмода помменять владельца файла?А смысл?
А если вредоносный код в базу пишется?
проверил БД, вирусов нет. Пока 2 дня без инклюдов после 444 чмода.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.07.2014, 22:48
    #38685213
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12Пока 2 дня без инклюдов после 444 чмода.Пока не понадобится вносить изменения в файлы - так оно и будет. Потом для заливки какой-нить картинки разрешают запись в директорию, потом как-нибудь забывают снять... Потому помогает только некоторое время. В общем, человеческий фактор )))
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.07.2014, 12:54
    #38689350
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
собтсвенно поставил на сервере php_mail.log
и теперь вижу какие скрипты отправляют спамм сообщения. Ибо теперь вместо редиректов начали отправлять спамм. Отключил смтп, и теперь собираю в логах зловредные скрипты, в которых злоумышленники нашли уязивмости. Один из найденных скриптов с глупым именем лежал в папке с компонентом com_frontuseraccess. Скрипт удалил, и компонент отключил и закрыл всю папку 444 скриптом. Но меня удивила дата создания этого скрипта. У скрипта была дата за февраль 2014, т.е. с тех пор как был установлен компент. Но спам начался только на прошлой неделе и раньше там этого зловредного скрипта не было. Как могли поменять дату создания скрипта? У злоумышлеников нет доступа рут и фтп.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.07.2014, 13:07
    #38689361
alex564657498765453
alex564657498765453
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
vkleforward12Пока 2 дня без инклюдов после 444 чмода.Пока не понадобится вносить изменения в файлы - так оно и будет. Потом для заливки какой-нить картинки разрешают запись в директорию, потом как-нибудь забывают снять... Потому помогает только некоторое время. В общем, человеческий фактор )))

это человеческий фактор,но в другом месте.

картинка и любой другой файл на сервере, это не тоже самое что исполняемый скрипт. куча сайтов имеют возможность заливки файлов, но это не означает что залив скрипт его можно запустить.

что в апаче, что в нджинксе что в любом другом вебсервере, для скриптов назначаються обработчики.

пхп файл стартует не потому что он пхп, а потому что для файлов с расширением из трех букв - пхп , задан обработчик - пхп.экзе.

так что не надо автору не надо городить охинею на сервере.

права на папку должны быть как по умолчанию - у меня это 775. 755(можно) если по какойто причине надо было чтоб пхп работал под юзером1, и принадлежал группе2, в которую ещо ктото входит левый.

кроме самого пхп, никто не запишет в такую папку ну и рута.

любой код который сохраняет в папку файлы, сохраняет их в жосткозаданную папку, ну или жосткость контролируеться кучей проверок, чтобы не получилось что в соседнюю папку сохранит.

там где храняться пользовательские файлы, веб серверу запрещено выполнять скрипты любые!

-----
а вообще, если вебрут у нас папка1, то все система может размещаться на уровень выше, а в вебруте вся лабуда - картинки, скрипты и пользовательские файлы с логами.

а пытаться латать дыры в коде, строгими запретами это не решение. ибо когдато эти запреты будут мешать, и будут сниматься, и врядли информированость о опасности будет 100% админа.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.07.2014, 15:42
    #38689552
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12Как могли поменять дату создания скрипта? У злоумышлеников нет доступа рут и фтп.
а с чего вы взяли что ее вообще поменяли?
взломали еще давно. а сейчас вам решили показать как надо монтезировать сайты.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.07.2014, 16:41
    #38689612
alex564657498765453
alex564657498765453
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
netwindforward12Как могли поменять дату создания скрипта? У злоумышлеников нет доступа рут и фтп.
а с чего вы взяли что ее вообще поменяли?
взломали еще давно. а сейчас вам решили показать как надо монтезировать сайты.

кстате да... сам видел на визитосайтах, что люди заходят и тупо закидывают туда свой код. а когда сайт после сео стаёт популярным, начинают его использовать. :) прикинте что было...

заходит человек на сайт больницы, выбирает раздел - товаров, и получает товары, в дизе сайта, но другого магазина - разные смазки, фалоимитаторы, вагины - по доступным ценам, ну а при нажатии купить уже на сайт продавца попадает. главврач больницы просто ввосторг пришол :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.07.2014, 18:36
    #38689710
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
Ну и, кстати, поменять дату модификации злоумышленник тоже мог.
Если выражаться в терминах традиционных для unix файловых систем, mtime меняется, а нельзя сменить именно ctime. Именно так проверяют специальные программы. Вы каким образом проверяли эту дату ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
07.07.2014, 20:57
    #38689796
alex564657498765453
alex564657498765453
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
netwindНу и, кстати, поменять дату модификации злоумышленник тоже мог.
Если выражаться в терминах традиционных для unix файловых систем, mtime меняется, а нельзя сменить именно ctime. Именно так проверяют специальные программы. Вы каким образом проверяли эту дату ?

серьёзно!!!???

проделай команды
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
echo 'hello' > f
stat f

cat f
stat f

chmod o+x f
stat f

echo 'Hello2' >> f
stat f

[/SRC]
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.07.2014, 09:42
    #38690054
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
спасибо всем за мысли и советы. Но я так понимаю что у злоумышленников универсальный инструмент по внедрению файлов. Сегодня нашел вредоносный файл в папке совсем другого компонента.
components/com_ninjarsssyndicator/s31e09.php(255) : runtime-created function(1) : eval()'d code:1]
Вот этот вот код часто встречался в других файлах. Только он раньше использовался дл редиректов.
Начало всегда одинаковое eval(base64 ну а дальше уже шифрованное тело скрипта.
Я скрипт прибыил и закрыл доступ к этой папке. Дата изменения файла тоже февраль. Не верю что два компонента ставились в один день и оба компонента с вирусами.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.07.2014, 10:26
    #38690092
Програмёр
Програмёр
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12спасибо всем за мысли и советы. Но я так понимаю что у злоумышленников универсальный инструмент по внедрению файлов. Сегодня нашел вредоносный файл в папке совсем другого компонента.
components/com_ninjarsssyndicator/s31e09.php(255) : runtime-created function(1) : eval()'d code:1]
Вот этот вот код часто встречался в других файлах. Только он раньше использовался дл редиректов.
Начало всегда одинаковое eval(base64 ну а дальше уже шифрованное тело скрипта.
Я скрипт прибыил и закрыл доступ к этой папке. Дата изменения файла тоже февраль. Не верю что два компонента ставились в один день и оба компонента с вирусами.

Да нету никакого универсального инструмента ). Просто дырок много... и пока все не будут закрыты такая хрень будет происходить. Если злоумышленник не ломает твой сайт вручную (а я уж сомневаюсь, что он так намеренно ломает именно этот сайт без какого либо смысла (получения прибыли)), то это делает некий автоматический инструмент через какую-то из известных дырок. У нас на сайте одном такая же хрень была (он не на joomla), так админ просто закрыл eval, а я когда пришёл и увидел, конечно не одобрил решения, но пока времени нету туда влезть, я просто забил и работаю дальше.

А этот злобный код весит и ничего сделать не может :) Сидит, бедный, в заключении и полном одиночестве.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.07.2014, 10:27
    #38690095
vkle
vkle
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12Не верю что два компонента ставились в один день и оба компонента с вирусами.И правильно, что не верите. А вот дрянь в один день распихивают по разным углам нередко. В одном месте найдете, в другом проглядите. Одного экземпляра вполне достаточно для того чтоб удерживать контроль над машиной.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.07.2014, 10:55
    #38690132
forward12
forward12
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
Програмёрforward12спасибо всем за мысли и советы. Но я так понимаю что у злоумышленников универсальный инструмент по внедрению файлов. Сегодня нашел вредоносный файл в папке совсем другого компонента.
components/com_ninjarsssyndicator/s31e09.php(255) : runtime-created function(1) : eval()'d code:1]
Вот этот вот код часто встречался в других файлах. Только он раньше использовался дл редиректов.
Начало всегда одинаковое eval(base64 ну а дальше уже шифрованное тело скрипта.
Я скрипт прибыил и закрыл доступ к этой папке. Дата изменения файла тоже февраль. Не верю что два компонента ставились в один день и оба компонента с вирусами.

Да нету никакого универсального инструмента ). Просто дырок много... и пока все не будут закрыты такая хрень будет происходить. Если злоумышленник не ломает твой сайт вручную (а я уж сомневаюсь, что он так намеренно ломает именно этот сайт без какого либо смысла (получения прибыли)), то это делает некий автоматический инструмент через какую-то из известных дырок. У нас на сайте одном такая же хрень была (он не на joomla), так админ просто закрыл eval, а я когда пришёл и увидел, конечно не одобрил решения, но пока времени нету туда влезть, я просто забил и работаю дальше.

А этот злобный код весит и ничего сделать не может :) Сидит, бедный, в заключении и полном одиночестве.
подскажите плиз как отключить eval?
disable_functions = exec,ini_get,ini_get_all,parse_ini_file,passthru,php_uname,popen,proc_open,shell_e
Вот так в пхп ини прописать функций которые не хочу чтобы запускались?
И как с консоли можно сделать поиск в файлах на предмет наличия евал?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.07.2014, 10:55
    #38690133
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
alex564657498765453, серьезно. вы не задумывались над тем, что при архивировании дата модификации почему-то записывается в файл и потом восстанавливается при разархивировании ?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.07.2014, 10:58
    #38690137
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
как защитить джумла фреймворк от инклюдов
forward12disable_functions = exec,ini_get,ini_get_all,parse_ini_file,passthru,php_uname,popen,proc_open,shell_e
Вот так в пхп ини прописать функций которые не хочу чтобы запускались?
И как с консоли можно сделать поиск в файлах на предмет наличия евал?
да не надо ничего искать. я вам и так скажу что в современном php очень много разного eval. скорее всего сайт перестанет работать после отключения этой функции.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
  1  все
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / как защитить джумла фреймворк от инклюдов / 25 сообщений из 44, страница 1 из 2
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]