cotonti.com : взлом cotonti https://www.cotonti.com Последние сообщения в теме Cotonti en Mon, 27 Oct 2025 03:56:28 -0000 Fox Да посмотри по логах и узнаеш как заливают, если в логах нет то имеют доступ к серваку.

]]> пт, 02 дек 2011 11:32:17 -0000 jcrush #31698 Alex300:

.htaccess - это апачевская штука. На nginx он не работает. Значит апач стоит.

а она и не работает.

Добавлено 3 дня спустя:

удалил трояна с папке движка, photos - блин как они заливают, вроде все всю заливку в движке отключил...

]]> вт, 29 ноя 2011 11:02:36 -0000 medar Если есть доступ к ssh

Поставь в php.ini
disable_functions = dl, shell_exec, exec, system, passthru, proc_open, proc_nice, socket_create, socket_open, proc_get_status, proc_close, proc_terminate, posix_mkfifo, popen
и перезагружай апач.

 

Ищи последние модифицированные файлы и упоминания в файлах этих функций при помощи сих команд: http://bestann.com.ru/comments/linux_find/
 
]]> вт, 29 ноя 2011 08:03:09 -0000 Alex300 .htaccess - это апачевская штука. На nginx он не работает. Значит апач стоит.

]]> вт, 29 ноя 2011 06:56:18 -0000 jcrush если я не ошибаюсь у меня Apache не стоит, все через nginx в .htaccess были редиректы при том хистрые на партнерку вап трафика только по мобильным заголовкам, несколько десятков, но без апача редиректы вроде в .htaccess без правил не пошли бы..

пока посмотрю что да как, ранее настройки на расширения были в админке..

]]> пн, 28 ноя 2011 15:17:35 -0000 Trustmaster Разрешённые к закачке типы файлов в datas/extensions.php. Важно: все эти типы должны быть известны вебсерверу Apache (если используется оный), иначе можно получить довольно известную проблему, когда какой-нибудь myfile.php.xyz выполняется как php поскольку тип xyz неизвестен.

Дай угадаю, доступ к datas/defaultav был 777? Движок никогда не заливает файлы в эту папку.

Вообще картина складывается следующая: записывают файлы, к которым есть доступ на запись; заливают файлы туда, где есть доступ на добавление файлов в папку. В том числе и туда, куда файлы из веба попасть не могут. О чём это говорит? О том, что у злоумышленника есть доступ от другого аккаунта в системе (но не root, что уже хорошо) через SSH, FTP или через скрипты.

]]> пн, 28 ноя 2011 10:13:52 -0000 jcrush сегодня отредактировали .htaccess

Добавлено 8 минут спустя:

в defaultav нашел файл nopass.php зашифрованный.

Добавлено 14 минут спустя:

 allow_url_fopen поменял на офф, было он

и allow_url_include такоей деррективы не нашел

Добавлено 2 минуты спустя:

не могу в движке найти где настройки разрешенных к заливки расширений, раньше вроде на виду были, но галочка проверять соит..

Добавлено 23 минуты спустя:

еще нашел в группе модераторов левого юзера, в списке модеров его не было, но то что там лишний показало, снес..

Добавлено 3 минуты спустя:

По логам, только вспомнил, отключали админы при ддосе, дабы не грузить сервер, как теперь включить log в centos?

]]> пн, 28 ноя 2011 02:03:38 -0000 medar 99% залили файлик в pfs, переименовали и выполнили из браузера.

Надо средствами http-сервера запрещать исполнение php в папке, куда аплоадятся картинки. В .htaccess прописать php_flag engine 0

]]> пт, 25 ноя 2011 16:57:26 -0000 Fox Как искать по логах? Очень просто береш логи сервера если они есть желательно за тот день когда ломанули и ищеш myshell.php и 123.txt. нсли ненаходиш то береш логи днем рание, ну а если нейдёш то будет видно каким путем залили.

]]> пт, 25 ноя 2011 10:30:21 -0000 Trustmaster Заливка каких расширений файлов разрешена? Включена ли проверка заливаемых файлов (в конфигурации Мои файлы)? Каково значение allow_url_fopen и allow_url_include в php.ini/phpinfo()? Используются ли плагины, заливающие или редактирующие файлы движка?

Похоже, схема была следующая: через некую уязвимость злоумышленник залил на сайт скрипт и смог выполнить его. Этот скрипт распаковал заранее залитый архив с шеллом (session.php может быть скриптом для кражи пользовательских сессий). Далее через шелл с правами вебсервера модифицировал футер и индекс, поскольку права на эти файлы позволили.

Экстренные меры: поменять пароли, в том числе mysql и администраторов на сайте; отключить pfs и другие модули с заливкой файлов; запретить изменение файлов движка вебсервером.

По поводу уязвимости сказать трудно, но судя по локализации в datas/users, уязвимость всё-таки в pfs. Больше пока ничего сказать не могу.

]]> пт, 25 ноя 2011 08:41:48 -0000 jcrush по логам, если скажете как искать выложу...

myshell.php в заголовках - antichat, сам код шифрованный

session.php тоже самое.

права на index.php были 666 щас исправил на 644

на файлы шаблона тоже запись разрешена была

PFS был доступен, пока отключил

был еще в папке юзерс файл 123.txt тоже шел с заголовком античата, мож его как то переименовали может быть еще что-то хз.

]]> пт, 25 ноя 2011 02:52:56 -0000 Trustmaster Я понял, просто довожу до сведения всех, у кого сиена :)

]]> чт, 24 ноя 2011 13:30:28 -0000 Fox Trustmaster Я притензий к вам никаких неставлю просто описую на что был наткнулса, а ети сылки кинул на всякий случай может вам в чемто помогут. Впринцыпе можете удалить.

]]> чт, 24 ноя 2011 13:20:53 -0000 Trustmaster #31580 Fox:

А по логах сервера может чтото найти можно?

Гдето 2 мес назад я накакомто зарубежном сайте нашел что у какойто версии 0.9.Х есть уязвимость XSS. Типа вам отправили письмо с описанием дырки но вы на него неответили. Больше ниче непонял потомучто переводил через гогл

Добавлено 30 минут спустя:

Может актуально

_http://www.exploit-db.com/exploits/17958/_
_http://packetstormsecurity.org/files/105656_
_http://www.cmsmatrix.org/matrix/cms-matrix/cotonti_
_http://securityvulns.ru/docs26215.html_
_http://securityreason.com/wlb_show/WLB-2011100054_

Во-первых, это в сиене, в генуе этих проблем нет. Во-вторых, письмо никакое нам никто не отправлял. В-третьих, воспользоваться этими уязвимостями для взлома фактически невозможно (кроме xss). В-четвертых, исправление оставшихся будет в 0.9.6.

]]> чт, 24 ноя 2011 13:11:15 -0000 Fox А по логах сервера может чтото найти можно?

Гдето 2 мес назад я накакомто зарубежном сайте нашел что у какойто версии 0.9.Х есть уязвимость XSS. Типа вам отправили письмо с описанием дырки но вы на него неответили. Больше ниче непонял потомучто переводил через гогл

Добавлено 30 минут спустя:

Может актуально

_http://www.exploit-db.com/exploits/17958/_
_http://packetstormsecurity.org/files/105656_
_http://www.cmsmatrix.org/matrix/cms-matrix/cotonti_
_http://securityvulns.ru/docs26215.html_
_http://securityreason.com/wlb_show/WLB-2011100054_

]]> чт, 24 ноя 2011 12:30:21 -0000 Trustmaster Имена и содержимое файлов не помешало бы. Права на скин футер какие были? Да, похоже ломанули движок. PFS юзерам на сайте доступен?

]]> чт, 24 ноя 2011 12:20:29 -0000 jcrush там в дата\юзер был текстовик от шела, и пхп фвйлы и вроде архив, в корне был файл сессион.пхп

пароли от фтп.. не думаю под линукс троянов нет.. дефейснули снаас скин футер

потом индес пхп, с правами был правда косяк на 666

]]> чт, 24 ноя 2011 11:44:45 -0000 Trustmaster Ничто не исключено. На моей памяти большинство взломов было из-за кражи пароля от FTP (тема про ftp-трояны довольно известна), реже из-за взлома сервера и ещё реже из-за уязвимости движка. Подробнее о последнем: чтобы залить шелл и сделать дефейс, надо иметь доступ на запись файлов, а не только базы. То есть XSS или SQL-инъекции тут недостаточно, нужна дырка посерьёзней для заливки PHP-скрипта. Например, такое бывало у несчастных владельцев плагина TPL Editor ещё в Seditio. Через PFS залить не могли, потому что там есть нужные проверки на заливку скриптов.

А куда залит шелл? Пароль админа не изменили? Какие файлы затронуты дефейсом?

]]> чт, 24 ноя 2011 11:38:21 -0000 jcrush Смотрю залили в папку для загрузки шела... вот пока не ясно что ломанули или сервак или движек... myshell дефейснули index.php

cotonti genoa 0620

никто не сталкивался?

]]> чт, 24 ноя 2011 10:30:50 -0000