взлом cotonti

Trustmaster	#31618 2011-11-25 08:41
Administrators Thanked: 265 kez	Заливка каких расширений файлов разрешена? Включена ли проверка заливаемых файлов (в конфигурации Мои файлы)? Каково значение allow_url_fopen и allow_url_include в php.ini/phpinfo()? Используются ли плагины, заливающие или редактирующие файлы движка? Похоже, схема была следующая: через некую уязвимость злоумышленник залил на сайт скрипт и смог выполнить его. Этот скрипт распаковал заранее залитый архив с шеллом (session.php может быть скриптом для кражи пользовательских сессий). Далее через шелл с правами вебсервера модифицировал футер и индекс, поскольку права на эти файлы позволили. Экстренные меры: поменять пароли, в том числе mysql и администраторов на сайте; отключить pfs и другие модули с заливкой файлов; запретить изменение файлов движка вебсервером. По поводу уязвимости сказать трудно, но судя по локализации в datas/users, уязвимость всё-таки в pfs. Больше пока ничего сказать не могу. May the Source be with you!

Trustmaster

#31618 2011-11-25 08:41

Заливка каких расширений файлов разрешена? Включена ли проверка заливаемых файлов (в конфигурации Мои файлы)? Каково значение allow_url_fopen и allow_url_include в php.ini/phpinfo()? Используются ли плагины, заливающие или редактирующие файлы движка?

Похоже, схема была следующая: через некую уязвимость злоумышленник залил на сайт скрипт и смог выполнить его. Этот скрипт распаковал заранее залитый архив с шеллом (session.php может быть скриптом для кражи пользовательских сессий). Далее через шелл с правами вебсервера модифицировал футер и индекс, поскольку права на эти файлы позволили.

Экстренные меры: поменять пароли, в том числе mysql и администраторов на сайте; отключить pfs и другие модули с заливкой файлов; запретить изменение файлов движка вебсервером.

По поводу уязвимости сказать трудно, но судя по локализации в datas/users, уязвимость всё-таки в pfs. Больше пока ничего сказать не могу.

May the Source be with you!