Взлом e107
Материал из 1GbWiki.
| Версия 13:16, 8 июля 2010 (править) Renton (Обсуждение | вклад) ← К предыдущему изменению |
Версия 15:58, 8 июля 2010 (править) (отменить) 85.21.246.194 (Обсуждение) К следующему изменению → |
||
| Строка 1: | Строка 1: | ||
| Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии. | Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии. | ||
| - | [http://e107.org/comment.php?comment.news.868 Описание проблемы] | + | [http://e107.org/comment.php?comment.news.868 Описание проблемы на официальном сайте e107 (на английском языке)] |
| + | |||
| + | В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов: | ||
| + | |||
| + | = Повторяющиеся обращения к contact.php. = | ||
| + | |||
| + | Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107. | ||
| + | |||
| + | Если у Вас установлена версия 0.7.22, такая атака просто создаёт нагрузку на сервер, и становится [http://ru.wikipedia.org/wiki/DDoS DDoS-атакой]. Она не позволит взломщику получить доступ к Вашему сайту, но может замедлить или прекратить его работу. | ||
| + | |||
| + | Если Вы пользуетесь одной из старых версий e107, взломщики вероятно смогли получить доступ к сайту и загрузить туда различные файлы (например свои скрипты). Обновите сайт, и внимательно проверьте, нет ли на нём странных файлов, и удалите или исправьте всё, чего там быть не должно. Примеры таких файлов, найденных одним из пользователей e107 ([http://e107.org/e107_plugins/forum/forum_viewtopic.php?198317]): | ||
| + | |||
| + | * В файлах index.php \admin\index.php \plugins\forum\index.php могут быть добавлены iframe, в этом случае нужно восстановить оригинальные файлы через FTP | ||
| + | |||
| + | * Скрипт e107.pl, который используется для атаки на следующие сайты, нужно удалить. Вместе с ним могут быть файлы с названиями вроде: | ||
| + | 993698.txt | ||
| + | 993698.txt.1 | ||
| + | 993698.txt.2 | ||
| + | 993698.txt.3 | ||
| + | e107.pl | ||
| + | e107.pl.1 | ||
| + | e107.pl.2 | ||
| + | e107-rce-sites.txt | ||
| + | sendpage3.tar.gz | ||
| + | sendpage3.tar.gz.,, | ||
| + | help_us.php | ||
| + | |||
| + | * Кроме того, можно совсем удалить файл contact.php, установить плагин [http://plugins.e107.org/e107_plugins/psilo/psilo.php?artifact.148 Contact Form Plugin], и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте). | ||
| + | |||
| + | = Повторяющиеся обращения к help_us.php = | ||
| + | |||
| + | Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака. | ||
| [[Категория:Безопасность]] | [[Категория:Безопасность]] | ||
Версия 15:58, 8 июля 2010
Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии.
Описание проблемы на официальном сайте e107 (на английском языке)
В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов:
Повторяющиеся обращения к contact.php.
Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107.
Если у Вас установлена версия 0.7.22, такая атака просто создаёт нагрузку на сервер, и становится DDoS-атакой. Она не позволит взломщику получить доступ к Вашему сайту, но может замедлить или прекратить его работу.
Если Вы пользуетесь одной из старых версий e107, взломщики вероятно смогли получить доступ к сайту и загрузить туда различные файлы (например свои скрипты). Обновите сайт, и внимательно проверьте, нет ли на нём странных файлов, и удалите или исправьте всё, чего там быть не должно. Примеры таких файлов, найденных одним из пользователей e107 ([1]):
- В файлах index.php \admin\index.php \plugins\forum\index.php могут быть добавлены iframe, в этом случае нужно восстановить оригинальные файлы через FTP
- Скрипт e107.pl, который используется для атаки на следующие сайты, нужно удалить. Вместе с ним могут быть файлы с названиями вроде:
993698.txt 993698.txt.1 993698.txt.2 993698.txt.3 e107.pl e107.pl.1 e107.pl.2 e107-rce-sites.txt sendpage3.tar.gz sendpage3.tar.gz.,, help_us.php
- Кроме того, можно совсем удалить файл contact.php, установить плагин Contact Form Plugin, и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте).
Повторяющиеся обращения к help_us.php
Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака.
