1. Главная
  2. sibero

sibero: Комментарии

Главные вкладки

3 февраля 2017 в 13:22
1

1) Проверьте список модулей, возможно стоят модули https://www.drupal.org/project/yandex_metrics или https://www.drupal.org/project/google_analytics или аналогичные, возможно есть кастомный модуль, который выводит код.
2) Всё .tpl.php, template.php в теме сайта, я так понял вы уже проверили? Тогда можно поискать по коду всех .module и .inc

10 ноября 2015 в 11:48

За пол года, только два спам коммента. Открыт доступ для комментирования гостям, но посещаемость не очень большая, 200-400 человек в день.
Исправил проблему, не давало добавлять пользователей из админки. Новая версия в аттаче.
Мысли к следующей версии:
1) Сделать генерацию имени формы по крону и тянуть значение из переменных. Замучаются подстраиваться.
2) Менять по крону порядок форм (сдвигать выше-ниже, чтобы эмуляторы браузеров не подстраивались) и их описание (не значительно, но чтобы не было совпадения слово в слово).

29 апреля 2015 в 20:15

Если вы не занимаетесь системным администрированием сервера, то вопрос можно опускать и не париться. Ддос атака - это когда заваливают сервер запросами, забивают канал, и до сайта (php) там уже дело совсем не доходит. Если нужна защита от ботов, то капча, да. А лучше продвинутые безкапчевые варианты, к примеру honeypot. Боты в основном javascript не обрабатывают, и логикой не обладают (поэтому вариант поставьте галку здесь, если вы не бот, очень даже хорошо работает).

23 ноября 2014 в 18:05

Судя по отчету, провели проверку только используя maldet. Рекомендую проверить ещё используя http://www.revisium.com/ai/ . Ну и пройтись по пунктам чек листа - http://www.drupal.ru/node/113136

24 октября 2014 в 15:56

"orion76" wrote:
Наверное Вы хотели сказать: нет опубликованной информации об обнаруженных уязвимостях..

Именно так. Иначе говоря нет доказательств, что в Drupal 7.32 есть уязвимости. Поэтому любые сообщения вида "это не единственная уязвимость друпала, их в нём много." бросание слов на ветер, не более.

23 октября 2014 в 19:46

"ttenz" wrote:
это не единственная уязвимость друпала, их в нём много.

Пруф будет? Уязвимости исправляют с выходом новых версий, в Drupal 7.32 пока нет обнаруженных уязвимостей.

22 октября 2014 в 16:19

"FORTIS" wrote:
запрос выводит пользователе с rid=3 -
это может быть любая роль, при минимальной установке друпала из коробки нет роли админ

Прошу прощения, ошибся, это при установке профиля standart, в профиле minimal группа не создается. Исправляю информацию

22 октября 2014 в 16:01

"FORTIS" wrote:
запрос выводит пользователе с rid=3 -
это может быть любая роль, при минимальной установке друпала из коробки нет роли админ

22 октября 2014 в 12:39

"Ch" wrote:

https://www.drupal.org/project/drupalgeddon

drupaldev уже проверяет там, мегаюзера пока нет.

Спасибо за информацию, хороший модуль. Кстати, судя по коду вижу проверяет. Правило в checks\bad_roles_check.inc
И список пользователей которых ищет, тоже вижу больше

22 октября 2014 в 0:32

update 8
Злоумышленники массово создавали пользователя с именем drupaldev и ролью megauser (с правами администратора), проверяйте свои сайты.
Проверить наличие в базе данных пользователя drupaldev и роли megauser, можно, к примеру, запросами в базу:
SELECT * FROM role WHERE name='megauser';

18 октября 2014 в 21:05

update 7.
Чеклист для проверки сайта
1) Проверяем не засунули ли трояна в menu_router (выглядит примерно так http://www.zoubi.me/sites/default/files/drupageddon_sql.png )
1 способ
делаем запрос в базу

18 октября 2014 в 19:58

Если в базе не нашли записи, это не ещё не значит, что сайт не взломан. Некоторые заметают следы, убирая записи из базы, после создания php shell

18 октября 2014 в 19:46

"Artu" wrote:
Интересны скрипты на эту тему.

Скрипт писал коллега и он заточен под особенности хостинга, его нет смысла выкладывать в том виде, в каком он есть. Но там по сути несколько строк на баше будет. Формируем список директорий в которых лежат сайты, а потом в цикле грепаем строку $data as $i => $value в файле includes/database/database.inc , если она есть, версия уязвима, тогда патчим, к примеру утилитой patch

18 октября 2014 в 19:37

В базе данных взломанных сайтов в таблице menu_router обнаруживается строка с access_arguments примерно следующего вида:

18 октября 2014 в 17:09

update 5.
Модуль https://www.drupal.org/project/site_audit показывает наличие троянов в menu_router, крайне желательно проверить свой сайт
Или сделайте дамп базы данных и grep '$form1=@$_COOKIE' мой_дамп.sql (для linux)

18 октября 2014 в 14:40

Обновление шапки топика:

update.
На хостинге it-patrol.ru наложили патч на все уязвимые сайты. Обновились только 5% сайтов, так что посовещавшись решили наложить патч сами на уязвимые сайты, чтобы защитить клиентов (по рассылке всех уведомили).

18 октября 2014 в 14:20

"FORTIS" wrote:
надо же было догадаться эксплоит к уязвимости вынести на главную страницу сообщества, на орге до такой дури не додумались, понятно почему?)

Ссылку размещал для администраторов и разработчиков, для понимания как происходит атака, но согласен с вами, убираю.

18 октября 2014 в 14:19

Quote:
Пароль имеет смысл менять для старого администратора? Новых не появилось.

Лучше поменять пароль, мало ли. И нужно проверить не поменяли ли email для админа

18 октября 2014 в 13:49

"ХулиGUN" wrote:
Шикардос... убрали типа... кому нужно типа ищите в редакциях?

Информация быстро гуглится и выложена уже на многих сайтах (даже готовые exploit на php).