Взлом e107
Материал из 1GbWiki.
| Версия 15:58, 8 июля 2010 (править) 85.21.246.194 (Обсуждение) ← К предыдущему изменению |
Текущая версия (17:21, 9 июля 2010) (править) (отменить) Dmach (Обсуждение | вклад) м |
||
| Строка 1: | Строка 1: | ||
| + | == Суть == | ||
| + | |||
| Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии. | Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии. | ||
| [http://e107.org/comment.php?comment.news.868 Описание проблемы на официальном сайте e107 (на английском языке)] | [http://e107.org/comment.php?comment.news.868 Описание проблемы на официальном сайте e107 (на английском языке)] | ||
| + | |||
| + | == Детали == | ||
| В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов: | В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов: | ||
| - | = Повторяющиеся обращения к contact.php | + | === Повторяющиеся обращения к contact.php === |
| Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107. | Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107. | ||
| Строка 30: | Строка 34: | ||
| * Кроме того, можно совсем удалить файл contact.php, установить плагин [http://plugins.e107.org/e107_plugins/psilo/psilo.php?artifact.148 Contact Form Plugin], и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте). | * Кроме того, можно совсем удалить файл contact.php, установить плагин [http://plugins.e107.org/e107_plugins/psilo/psilo.php?artifact.148 Contact Form Plugin], и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте). | ||
| - | = Повторяющиеся обращения к help_us.php = | + | === Повторяющиеся обращения к help_us.php === |
| Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака. | Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака. | ||
| [[Категория:Безопасность]] | [[Категория:Безопасность]] | ||
Текущая версия
Содержание |
[править] Суть
Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии.
Описание проблемы на официальном сайте e107 (на английском языке)
[править] Детали
В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов:
[править] Повторяющиеся обращения к contact.php
Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107.
Если у Вас установлена версия 0.7.22, такая атака просто создаёт нагрузку на сервер, и становится DDoS-атакой. Она не позволит взломщику получить доступ к Вашему сайту, но может замедлить или прекратить его работу.
Если Вы пользуетесь одной из старых версий e107, взломщики вероятно смогли получить доступ к сайту и загрузить туда различные файлы (например свои скрипты). Обновите сайт, и внимательно проверьте, нет ли на нём странных файлов, и удалите или исправьте всё, чего там быть не должно. Примеры таких файлов, найденных одним из пользователей e107 ([1]):
- В файлах index.php \admin\index.php \plugins\forum\index.php могут быть добавлены iframe, в этом случае нужно восстановить оригинальные файлы через FTP
- Скрипт e107.pl, который используется для атаки на следующие сайты, нужно удалить. Вместе с ним могут быть файлы с названиями вроде:
993698.txt 993698.txt.1 993698.txt.2 993698.txt.3 e107.pl e107.pl.1 e107.pl.2 e107-rce-sites.txt sendpage3.tar.gz sendpage3.tar.gz.,, help_us.php
- Кроме того, можно совсем удалить файл contact.php, установить плагин Contact Form Plugin, и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте).
[править] Повторяющиеся обращения к help_us.php
Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака.
