Система управления контентом SantaFox

Santafox CMS

  • Начало
  • Помощь
  • Поиск
  • Календарь
  • Вход
  • Регистрация

  • Система управления контентом SantaFox »
  • Работа с SantaFox »
  • Безопасность »
  • Взывая к помощи коллективного разума!
  • Показать непрочитанные сообщения
« предыдущая тема следующая тема »
  • Печать
Страницы: [1] 2 3 4 5

Автор Тема: Взывая к помощи коллективного разума!  (Прочитано 18471 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Взывая к помощи коллективного разума!
« : 09 Декабрь 2011, 12:31:48 »
ситуация следующая. Стоит санта на хостинге

на хостинге, в корне сайта, появляется некая папка (system, userи т.д.), в которой тысячи станиц....

иногда в .htaccess то же вносятся изменения....

вопрос вот в чем: дырка у хостинга или у санты?

кто как считает?

Просто хочется понять в какую сторону копать....

Записан

Оффлайн mikola_design

  • Новичок
  • *
  • Сообщений: 37
  • Авторитет: 5
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #1 : 09 Декабрь 2011, 13:35:00 »
сказал бы что за хостинг, и что за страницы в папке, код страницы любой выложил бы, тогда было бы чуток понятней)
Записан

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #2 : 12 Декабрь 2011, 15:36:30 »
Да....вобщем-то код и сами страницы сейчас можно глянуть на нашем любимом сайте....


 http://santafox.ru/content/nokia-8800-instruktsiya-932.html
 http://santafox.ru/content/yaponskie-zhurnali-vyazanie-181.html

ну и страниц там таких пару тысяч.....

Осликс.....не сноси пожалуцста пока эту папку...давайте вместе искать дырку...где бы она не была..на хостинге или в санте...

Но тут ситуация посложнее :) ибо просто удалить папку нельзя, ибо удалится весь контент самого сайта.....
« Последнее редактирование: 12 Декабрь 2011, 16:02:38 от arteshuk »
Записан

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #3 : 12 Декабрь 2011, 17:44:55 »
и самое интересное :)

все эти ссылки уже проиндексированы и яндексом и гуглом.....

http://www.google.com.ua/search?source=ig&hl=ru&rlz=1G1GGLQ_UKUA275&q=site:http://arteshuk.tk/&aq=f&aqi=&aql=&oq=#q=site:http://santafox.ru&hl=ru&rlz=1G1GGLQ_UKUA275&prmd=imvns&ei=twTmTsr2LovKsgbd0ciYCQ&start=40&sa=N&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=63c2e2d1812121e7&biw=1280&bih=709
Записан

Оффлайн digi

  • Разработчики
  • Опытный лис
  • *****
  • Сообщений: 261
  • Авторитет: 21
  • Пол: Мужской
    • Просмотр профиля
    • www.google.cn
Re: Взывая к помощи коллективного разума!
« Ответ #4 : 12 Декабрь 2011, 18:17:19 »
мдаа.. получается где-то дыра :)
Записан

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #5 : 12 Декабрь 2011, 18:29:54 »
Цитата: dagostiny от 12 Декабрь 2011, 18:17:19
мдаа.. получается где-то дыра :)

есть какие соображения где????
Записан

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #6 : 12 Декабрь 2011, 18:49:45 »
ссылки уже удалили :(

http://www.webpagescreenshot.info/img/574755-1212201144502PM

в самом низу страницы есть адрес, с которого сделан скриншот....

ну это чтоб я пустословом не выглядел....

неужели никого этот вопрос не интересует?

по моему я более чем наглядно показал, на примере сайта http://www.santafox.ru/, с чем может столкнуться каждый.....

Записан

Оффлайн sanchez

  • Разработчики
  • Молодой лис
  • *****
  • Сообщений: 80
  • Авторитет: 21
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #7 : 12 Декабрь 2011, 18:55:29 »
-я пока просто удалил мусор этот
-страниц не тысячи, там реврайт в .htaccess + один пхп-файл, который с одного сервера получает контент для отображения
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS
Записан

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #8 : 12 Декабрь 2011, 19:00:24 »
я не истерю, я пытаюсь понять, дырка в системе или на хостинге?

в моем случае не было реврайтов....была папка размером около 50 Мб.
(сейчас посмотрел папку, в ней было 2037 страниц)
у меня есть архив этой папки, если кому интересно, могу выложить архив.

в случае у Roman, залезли в .htaccess и то же там "наворочали" делов....

sanchez - я правильно понял, что насчет CMS мы можем спать спокойно и высказывать обоснованные претензии хостеру?
« Последнее редактирование: 12 Декабрь 2011, 19:05:20 от arteshuk »
Записан

Оффлайн Roman

  • Старый лис
  • *****
  • Сообщений: 507
  • Авторитет: -141
  • Пол: Мужской
  • "Полож птичку!.." (С)
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #9 : 12 Декабрь 2011, 19:38:03 »
Цитата: sanchez от 12 Декабрь 2011, 18:55:29
-я пока просто удалил мусор этот
-страниц не тысячи, там реврайт в .htaccess + один пхп-файл, который с одного сервера получает контент для отображения
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS

а когда Roman (тобишь я) писал и санчезу, и администрации -- все мимо ушей.
а что значит?
Цитировать
-взламывают всех, не надо истерить. нет оснований считать, что уязвимость в самой CMS
хостинги разные, а проблема у всех общая, может я ошибаюсь, но получается хостинги нипричем

у меня архивы этого дерьма тоже есть, могу скинуть кому надо.
Записан
Галерея http://forum.santafox.ru/index.php?topic=1175.135
Случайный показ баннеров http://forum.santafox.ru/index.php?topic=2756.msg17170#msg17170
SEO http://forum.santafox.ru/index.php?topic=3131

Оффлайн Roman

  • Старый лис
  • *****
  • Сообщений: 507
  • Авторитет: -141
  • Пол: Мужской
  • "Полож птичку!.." (С)
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #10 : 15 Декабрь 2011, 00:12:51 »
программисты!
отпишите, что это за баг?
Записан
Галерея http://forum.santafox.ru/index.php?topic=1175.135
Случайный показ баннеров http://forum.santafox.ru/index.php?topic=2756.msg17170#msg17170
SEO http://forum.santafox.ru/index.php?topic=3131

Оффлайн Oslix

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 2 440
  • Авторитет: 344
  • Пол: Мужской
    • Просмотр профиля
    • Santafox
Re: Взывая к помощи коллективного разума!
« Ответ #11 : 15 Декабрь 2011, 18:11:51 »
Други, видимо это дело в санте все-таки.
У меня просьба. У кого сохранились логи взлома (ну или просто логи и сайт до сих пор содержит вредоносный код, который может проанализировать санчез) - кеньте мне информацию на ilya@santafox.ru
Записан
Как лично Вы можете помочь Santafox?

Оффлайн arteshuk

  • Разработчики
  • Ветеран
  • *****
  • Сообщений: 1 214
  • Авторитет: 128
  • Пол: Мужской
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #12 : 16 Декабрь 2011, 16:57:41 »
Господа, раз у мы такие лопухи, и логов у нас нет, я предлагаю объединить усилия и выловить-таки эту гадость.

Что мы о ней знаем?

проникает на сайт и заливается в папки

/system  - в моем случае
/content - случай взлома сайта santafox и у Roman бяка сидела там же
/components - случай у Roman

как и когда попала туда эта шняги никто из нас не знает, я кинулся, когда был в топе яндекса по непонятным запросам, вплоть до порнухи....

Возможно я придумал не самый удачный способ, но на сегодняшний день никто других вариантов не предложил....

Да, сразу оговорюсь: это не патч латающий брешь в безопасности вашего сайта, от заражения он не спасет, но поможет отловить откуда бяка залезла. Это нужно нам всем. Многие из вас делают сайты на заказ. Когда через месяц после сдачи сайта заказчику, он, как бы случайно, обнаружит, что по запросу в яндексе "самые большие сиськи Бразилии" его сайт (который кстати не хухры-мухры, а консалтинговые услуги) на первом месте в поисковой выдаче, последствия для вас несложно себе представить......

Итак, суть способа такова:
Скрипт делает проверку папок на сервере, в случае если видит "не родную" папку, админ получает письмо в почту.
(тут мы убиваем еще одного зайца, знаем время взлома, проще будет ковырять логи)

В приложении к сообщению есть файл  virus_on_santafox.zip, скачиваем, открываем любым редактором (хоть блокнотом)
первая строка кода:

Код: [Выделить]
$email_admin = 'arteshuk@gmail.com'; // укажите свой емаил!!!!В ней пишите мыло, на которое получите уведомление в случае заражения.

Далее сохраняем файл и его надо залить в папку
/modules/evalmod/files/
Далее, через модуль "Произвольный код", создаем действие "выполнить код из файла", где указываем мой файлик.

Идем с шаблон главной страницы сайта, создаем (в любом удобном месте) метку, на которую выводим выше созданное действие.

Все!

Для тех кому лень настраивать модуль, в приложении файлик index.php. В нем надо изменить мыло на свое и залить в корень вместо имеющегося там файла index.php. Эффект будет тот же, что и при настройке модуля произвольного кода.

ВНИМАНИЕ!!! Не бойтесь этого делать, скрипт работает МОЛЧА, никаких изменений на сайте, ни на зараженном, ни на чистом вы не увидите!!!

Теперь поясню как это работает:

Как только, в известные нам папки попадет "левый" файлик, админ тут же получит на почту сообщение типа:

VIRUS on SantaFox
     от root@arteshuk.tk
site:arteshuk.tk on folder: system


где arteshuk.tk - это зараженный сайт, system - это папка в которой все это дело лежит

как только вы получили это сообщение, тут же пишем в эту тему, или Oslix, дальше мы расскажем что делать....

ТЕПЕРЬ ВНИМАНИЕ!

1. Данный скрипт правильно работает на версиях от 2.05 и старше!!! (младше я пока не проверял)
Если кто-то хочет поставить себе такую ловушку на другие версии, пишите мне, я напишу под любую имеющуюся.


Мои опасения оказались напрасны, смело ставьте на любую версию санты, но смотрим пункт 2!!!

2. В корне сайта, у вас не должно быть "левых папок", т.е. должен быть стандартный набор папок из дистрибутива санты. Если кто хранит в корне сайта кучу всяких "левых" папок, так же пишите, я расскажу как сделать так что бы и у вас работало.


Заранее спасибо всем, кто поможет поймать бяку....ну и тем кто дочитал до конца.

Чтоб не флудить в теме, вопросы типа а как? а где, а почему а зачем, давайте в личку аську или почту :) 
« Последнее редактирование: 16 Декабрь 2011, 17:58:46 от arteshuk »
Записан

Оффлайн Roman

  • Старый лис
  • *****
  • Сообщений: 507
  • Авторитет: -141
  • Пол: Мужской
  • "Полож птичку!.." (С)
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #13 : 16 Декабрь 2011, 18:37:51 »
кому лень настраивать модуль, можно в index.php вставить перед последним ?>

и самое главное $email_admin = 'mail@gmail.com';// почта ИЗМЕНИТЕ НА СВОЮ

Код: [Выделить]
$email_admin = 'mail@gmail.com';// почта ИЗМЕНИТЕ НА СВОЮ
$santa = array('','admin', 'backup', 'cache', 'components', 'content', 'include', 'modules','upload','design'); // ЕСЛИ ЕСТЬ НЕ СИСТЕМНЫЕ ПАПКИ СВОИ -- ДОБАВЬТЕ В СПИСОК
$target = './';
$weeds = array('.', '..');
$directories = array_diff(scandir('./'), $weeds);
$string = '';
$folder = '';
foreach($directories as $value)
{ if(is_dir($target.$value)) {$string .= ' '.$value;}}
$arr_santa = explode (' ', $string);
$result = array_diff($arr_santa, $santa);
if($result){
foreach($result as $folder) {
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: '.$folder.'');}}
$content = array_diff(scandir('./content'), $weeds);
$result_c = count($content);
if ($result_c !=3)
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: /content');
$components = array_diff(scandir('./components'), $weeds);
$result_comp = count($components);
if ($result_comp !=6)
mail($email_admin, 'VIRUS on SantaFox', 'site:'.$_SERVER['HTTP_HOST'].' on folder: /components');
« Последнее редактирование: 16 Декабрь 2011, 19:45:55 от Roman »
Записан
Галерея http://forum.santafox.ru/index.php?topic=1175.135
Случайный показ баннеров http://forum.santafox.ru/index.php?topic=2756.msg17170#msg17170
SEO http://forum.santafox.ru/index.php?topic=3131

Оффлайн sanchez

  • Разработчики
  • Молодой лис
  • *****
  • Сообщений: 80
  • Авторитет: 21
    • Просмотр профиля
Re: Взывая к помощи коллективного разума!
« Ответ #14 : 16 Декабрь 2011, 18:47:51 »
ужасное решение
1) проверка только папок
2) проверка при КАЖДОМ обращении к сайту
3) чтобы узнать время появления новых файлов-папок на сервере, достаточно посмотреть время их создания, емейлы тут ни к чему
Записан

  • Печать
Страницы: [1] 2 3 4 5
« предыдущая тема следующая тема »
  • Система управления контентом SantaFox »
  • Работа с SantaFox »
  • Безопасность »
  • Взывая к помощи коллективного разума!
  • Показать непрочитанные сообщения
 

SMF 2.0.11 | SMF © 2011, Simple Machines
Flatline Theme Made By: NBK*Twitch
Go To Top