gmixo Oct 7 2016 at 16:11

Про безопасность в phpBB

2 min

6.1K

*nix*Apache*Antivirus protection*

-4

Comments 18

Exabiche Oct 7 2016 at 16:59

Полез проверять год в календаре. Слава богу, не 2005.

ExplosiveZ Oct 7 2016 at 17:02

И почему я не удивлен? В форум даже система обновления встроена, чтобы такого не случалось.

Wedmer Oct 7 2016 at 18:45

Тот кто не следит за обновлениями — тот ССЗБ.

antage Oct 7 2016 at 21:18

Нужно было отследить по логам, как заливают вебшелл, найти уязвимость и убедиться, что она закрыта в обновленной версии форума. Вы же просто нашли шелл, удалили его, обновились и понадеялись, что снова его вам не зальют. Очень наивно.

gmixo Oct 8 2016 at 19:55

Я перемонтиролвал раздел /tmp с noexec. И если честно у меня есть сомнения что для 3.1.9 проблема решена, потому что до того как перемонтировал /tmp процессы так же появлялись. Насколько я понимаю критичен не шелл а то как он доставляется на сервер — как я понимаю это sql инъекция в большинстве случаев.

PaulAtreides Oct 8 2016 at 20:26

Не обязательно. Это бывает недостаточная проверка данных при аплоаде или при авторизации.

antage Oct 8 2016 at 21:39

Есть много способов. Можно, например, залить gif-картинку с php-кодом и через уязвимость вызвать этот код через include('имяфайла.gif').

SerafimArts Oct 8 2016 at 01:21

Git? Не, не слышал +)

gmixo Oct 8 2016 at 19:51

да про git хорошая мысль — просто фактически для форума никаких правок не делалось вот и не было необходимости.

SerafimArts Oct 9 2016 at 03:49

Да всё равно путь любого проекта в 2016ом году:
1) Развернуть локально (опционально докер\вагрант)
2) Протестить
3) Залить в репу
4) Задеполить на серваке (git checkout -f + git pull если по-минимуму)

Я уж не помню когда последний раз заливал всё по ftp, даже совсем мелкие одноразовые проекты, гит уже привычнее как-то.

nazarpc Oct 8 2016 at 01:27

Статья о том, что вы не обновляете ПО, я всё правильно понял? А при чем здесь безопасность неактуальных версий PhpBB?

KIBIs Oct 8 2016 at 09:17

Было как то дело, обратились за помощью при проблеме с сайтами. Хостер часто блокировал сайты из за большого количества рассылок. Оказалось шелл спамбота буквально повсюду себя запихал. Десяток сайтов на modx 5 летней давности, хотя обновления и исправления безопасности выходили для него. Мораль, нужно следить за обновлениями и хотя бы раз в пол года обновляться. Таких проблем бы не случилось.

PaulAtreides Oct 8 2016 at 19:56

А к admin чего — пароль набрутфорсили?

gmixo Oct 8 2016 at 19:59

Это мне тоже было бы интересно выяснить — какой доступ фактически был получен. Сомневаюсь что пароль реально был использован. Иначе думаю что активность была бы совсем другая.

PaulAtreides Oct 8 2016 at 20:05

Выглядит так, как будто доступ был получен.
Ребут из под www-data, знаете ли, не самая тривиальная задача.
Не хотелось бы вас расстраивать, но я боюсь, что ваш сервер с аптаймом почти в год скомпрометирован целиком.

kamtec1 Oct 8 2016 at 20:03

Я бы не стал надеяться на чистку после апдета. Желательно прогнать греп на base64/shell_exec/eval… на весь форум и прогнать скан типо shelldetector.
Я вас должны быть логи откуда был залит файл или хотя бы посмотреть с какого IP был залит и посмотреть кто заходил на форму с этого же IP ну и так дали…
Апдет поможет если он закраивает дырки но все же есть проблема :( могут найти другие дырки.
Я бы посоветовал закрыть опасные PHP функции .

gmixo Oct 8 2016 at 20:05

Спасибо попробую. По поводу файла повторюсь, имхо это sql инъекция скорее всего и врятли там можно зааплоадить файл в корень форума.

KIBIs Oct 9 2016 at 11:52

Кстати, есть же еще и Манул от Яндекс, попробуйте проверить и им тоже.