Новая тема   Ответить

 LemonS
Если у кого-то есть файлы типа db.php.tt и прочее, вообщем с расширениями которые вроде как не выполнимые то имеет смысл чекнуть на наличие .htaccess и в нем что-то вроде AddHandler php

Кроме того, если у вас есть другие пхп файлы доступные на запись апачем, но можно положить условно db.php.tt куда угодно, а потом в этот пхп файл записать include(......db.php.tt)

Поэтому если по какой-то причине у вас есть файлы пхп в которые может писать апач - лучше их проверить тоже.

 LemonS
Спросили откуда могут быть пхп открытые на запись.

По дефолту в смарте таких нет. Все файлы смарта по дефолту создаются от имени юзера и подменить их если нет юзерского доступа невозможно.

Но из опыта ситуация следующая: человек ставит скрипт от юзера1.
потом по какой-то причине решает провести обновление от юзера2.
Скрипт пишет что нет пермишенов и это логично. Вместо того что б сделать нормально, человек ставит на файл 666. Обновление идет дальше, но уже следующий файл не может переписать. Человеку это надоедает и он ставит 666 на все файлы в скрипте и радостно проводит апдейт до конца. Файлы при этом доступны на запись апачем и можно в комон например дописать инклуд описанный выше.

 nosf
наши ребята нашли бяку
во все файлы common.php одного из наших клиентов был вставленый инклуд стремного кода.
проверяйтесь

 A.Brain
nosferatu писал:

мля, есть на одном домене =(
/scj/cgi/common.php
common.php в корне чист
бяка выглядит вот так
@include('/tmp/qc.tmp');

 LemonS
думаю хорошее решение будет почисить везде папку /tmp

я уже выкладываю чекер

 JM
CRC файлов лучше проверять т.к. могут евалом дальше прифигарить...
в /tmp много гавна кидают... но там и рабочие куски бывают не вариант...

у товарища @include_once('/tmp/awwstat');

 LemonS
первое решение по более менее массовой проверке

1. очистите /tmp каталог на серваке (не hoem/user/scj/tmp или /domain/tmp или еще что-то, а конкретно /tmp сервака)
2. скачиваем http://smartcj.com/checker/check_scj.php
3. кладем его в home каталог юзера от которого стоят скрипты и запускаем

for i in *; do php check_scj.php path=./$i/htdocs/scj/ ; done

где htdocs/scj/ может у вас не совпадать смотря какие пути на серваке. Надо просто подумать или попросить это сделать админа.

общий смысл

php check_scj.php path=ПУТЬ_ДО_SCJ_КАТАЛОГА

проверяет php файлы, пермишены и наличие левых файлов.
Есть 2 дополнительных парамтера для более параноидальной проверки.

check_cache=true
check_thumbs=true

которые проверяют соовтетственно каталог с кешем и каталог с тумбами. Причем проверяют не просто так, а смотрят что б в кеше был кеш, а в тумбах были именно тумбы. Поскольку процесс это не быстрый, тк обычно тумб не одна и не две, то по дефолту эти опции выключены.

пока идет работа над более полной проверкой , соответственно файл будет обновляться.

Последний раз редактировалось: LemonS (18/10/12 в 21:01), всего редактировалось 1 раз

 LemonS
JM: crc файлов проверить нереально тк существует по крайней мере пара сотен версий каждого из файлов, тк они меняются при каждой сборке апдейта.

 JM
LemonS: ну вот, а если локально у себя какойнить скрипт сделай который перед выходом версии делайет файло с crc файла+секретный_ключь и кладет это все в папку апдейта?
Для старых версий работать не будет, но для новых... решит проблему изменения файла (если на него кто 666 поставил), ну проблему не решит, но мониторинг будет...
К томуже вдруг поломают не через сам скрипт...

 LemonS
JM: давай в личку, сейчас обсуждать это не лучший момент. важные сообщения едут дальше по форуму.

PS если ты знаешь пример когда в /tmp есть что-то чего нельзя удалить без последствий - расскажи плз.

Последний раз редактировалось: LemonS (18/10/12 в 22:51), всего редактировалось 1 раз

 LemonS
По чекеру:

в данный момент он проверяет те проблемы о которых известно.
Если у вас чекер не нашел ничего, а вы знаете что вот тут то бяка - дайте знать плз что б можно было эту проверку внести в чекер так же.

 LemonS
Интересный момент - какой был пароль на вебшел, и соответвтенно что делали.
Если у вас не сильно нагружены винты попросите админов поставить дамп всех ПОСТ запросов обязательно вместе с хедерами. Наверняка будут еще пытаться постить и можно будет найти что-то интерестное.

Заранее спасибо всем присоединившимся.

 LemonS
У кого было чего в /tmp сервака , плз скиньте мне в асю для исследования.

 Mоrgan
Прошелся чекером.. Только на одном СЖДее почти 3к подозрительных файлов.. Все в кеше..
scj/cache/7/a/2/5/7a256869b854963abd560d45a552e5f8
Итс реал? Или чекер мог ошибиться? Если всеже не ошибся, то как их удалять то? Если просто кеш весь грохнуть, СЖ восстановит все из темплейтов? Кустом галеры и статистика не потеряются?

 A.Brain


Проверь темплейты, может туда записало заразу

 LemonS
Mоrgan: чекер ошибается малек
надо допилить его немного
но по началу было "лучше больше чем меньше"

 LemonS
Я конечно выступаю в роли КО, но все же напишу.


Надо

1. провести апдейты. У кого меньше 48 - апдейтить до 48, у кого 48 - можно провести или апдейт просто ...update.php и оно проапдейит до 49, или сделать update.php 48 что б провело еще раз ап 48, если по какой то причине вы не хотите 49. Если 49 - просто update.php. Если вы не знаете как провести апдейт см тут

2. проверить чекером который описан тут

3. да, левые файлы надо удалять. А какие варианты есть еще ?

 LemonS
Вышел новый check_scj.php который поменьше ругается на кеш + проверяет htaccess на всякий случай.

 kort


можно уточнить для тех кто без админов сам админит?

if (!$_REQUEST['path']) die("Script expects PATH to scj folder as argument (ie php scj_check.php path=/home/mycj.com/scj/
other params:
check_cache=true
check_thumbs=true
");


Эту часть /home/mycj.com заменить на свою и все? Запускать с браузера или из шела?

 LemonS
запускать в шеле

php scj_check.php path=/home/mycj.com/scj/

 kort




if (!$_REQUEST['path']) die("Script expects PATH to scj folder as argument (ie php scj_check.php path=/home/mycj.com/scj/
other params:
check_cache=true
check_thumbs=true
");


вписал свой путь, запустил:
Could not open input file: scj_check.php

 fish_ka
что я могу написать в этой ситуации = люди которые не дружат с шелом и командой файнд - ВАМ ПИЗДЕТЦ

а хакеры оказались несдержанные

если как тут отписали уже коммон пхп редактируют = значит имеют права юзера, если конечно на нем не 666

единственый вариант это сделить за логами апача на предмет ПОСТ и чекать файлы которые были заюзаны - так быстро можно найти список файлов + список айпи ублюдков


но бывают сложные ситуации когда например кроме простых сиджев там еще были например блоги или какие другие проекты - то считай дело пропало

одним словом все хотят сказать спасибо лемону за красные глаза и оперативную работу

могут любой темплейт поправить и вставить простую команду fopen и потом записть нужной блевотни уже откуда угодно куда угодно - могут просто бекконект перлом подымать -

лекарство запретить в пхп ини исполнение всех фукнций на исполнение файлов и евал - гзипдекоде и басе64 декоде ну и пхп инфо - пусть мучаются хакеры

а вобше я представляю панику чуваков у которых по 1000 сайтов на смарт сиджее - они наверно обрадовались - а возможно еще и не знают что кто то подкрался незаметно

хакеры должны быть повержены

 LemonS
kort: скажи плз как ты админишь сервак если не знаешь как перейти в каталог с файлом ?

fish_ka: чекер проверяет темпелйты на предмет таких конструкций, так что достаточно его запустить. Если блоги то да, имеет смысл проверить там темпелйты, но на данный момент ниодного поправленного темпелйта я не видел и никто мне не сообщал.

 kort
fish_ka: все ломается, не только смарт.

 Alexandur
Главный вопрос - уязвимость найдена или нет? Обычно в таких случаях пишут, про критическую необходимость обновлений, а тут как-то вялотекуще.