#1 2014-10-01 23:23

anton_slim
Пользователь

Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

Ребят, сегодня позорно взломали мой магазин на Webasyst, покопавшись в логах обнаружил одну неприятную вещь.
Суть банальна: т.к. у меня нет Apache, то файлы .htaccess внутри некоторых каталогов не работали, и получается файлы в этих каталогах были доступны для скачивания, собственно через один скачанный файл меня и хакнули.

Проверить подвержены ли вы опасности, можно вбив в адресную строку ссылку: http://ваш_магазин/temp/.changelog.xml или http://ваш_магазин//temp/.changelog.xml (да да два слеша). В целях безопасности от недохакеров, не буду сюда публиковать ссылку на тот самый файл.

Хакер получивший доступ к одному из этих файлов получает полные админские права, и может закачивать любые дыры в ваши скрипты.
Так один из них слил у меня всю базу, получил админский доступ и решил попробовать скачать с меня денег, за то что расскажет как хакнул.
В итоге были быстро найдены его логи и дыра прикрыта.

Закрыть уязвимость можно в nginx, в вашем конфиге в секции server {} следующим образом:

Код:

   server {

        location ~ /(kernel|data|dblist|temp|includes|system)/ {
            deny all;
        }

        location ~ /published/SC/html/scripts/(templates|classes|temp|products_files|cfg|includes|core_functions|modules|)/ {
            deny all;
        }

        location ~ /published/wbsadmin/html/scripts/sql/ {
            deny all;
        }

        location ~ /published/SC/html/scripts/modules/payment/payflow_pro/ {
            deny all;
        }

p.s. прошу админов прикрепить тему

p.p.s. если вас все же взломали и вам нужно поменять все пароли, обращайтесь ко мне в skype, объясню как и где обнуляются все пароли.

Отредактировано anton_slim (2014-10-14 12:02)

Неактивен

 

#2 2014-10-02 10:37

sergfes
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

Если по пробным ссылкам выводит 403, то можно расслабиться?

Неактивен

 

#3 2014-10-05 11:42

anton_slim
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

Да значит все нормально.
Ко мне уже обратился человек у которого эта дыра была открыта, ребята проверьте внимательно, по сети гуляет этот недохакер и сканирует движки вэбасист на проверку дыры, далее он взламывает и начинает вымагать деньги, но даже если до этого дело дошло, все еще можно исправить.

Неактивен

 

#4 2014-10-17 15:48

loader
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

Помню "чистил" cashe и удалил вместе с ним .htaccess в tmp папке, вспомнил не сразу -))
Без него до базы легко добраться...

Неактивен

 

#5 2014-10-21 22:04

tsups
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

раскажите пожалуйста поподробней где находится nginx,где это надо прописывать.
Спасибо

Неактивен

 

#6 2014-11-21 15:09

max_paine
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

anton_slim написал:

Ребят, сегодня позорно взломали мой магазин на Webasyst, покопавшись в логах обнаружил одну неприятную вещь.
Суть банальна: т.к. у меня нет Apache, то файлы .htaccess внутри некоторых каталогов не работали, и получается файлы в этих каталогах были доступны для скачивания, собственно через один скачанный файл меня и хакнули.

Проверить подвержены ли вы опасности, можно вбив в адресную строку ссылку: http://ваш_магазин/temp/.changelog.xml или http://ваш_магазин//temp/.changelog.xml (да да два слеша). В целях безопасности от недохакеров, не буду сюда публиковать ссылку на тот самый файл.

Хакер получивший доступ к одному из этих файлов получает полные админские права, и может закачивать любые дыры в ваши скрипты.
Так один из них слил у меня всю базу, получил админский доступ и решил попробовать скачать с меня денег, за то что расскажет как хакнул.
В итоге были быстро найдены его логи и дыра прикрыта.

Закрыть уязвимость можно в nginx, в вашем конфиге в секции server {} следующим образом:

Код:

   server {

        location ~ /(kernel|data|dblist|temp|includes|system)/ {
            deny all;
        }

        location ~ /published/SC/html/scripts/(templates|classes|temp|products_files|cfg|includes|core_functions|modules|)/ {
            deny all;
        }

        location ~ /published/wbsadmin/html/scripts/sql/ {
            deny all;
        }

        location ~ /published/SC/html/scripts/modules/payment/payflow_pro/ {
            deny all;
        }

p.s. прошу админов прикрепить тему

p.p.s. если вас все же взломали и вам нужно поменять все пароли, обращайтесь ко мне в skype, объясню как и где обнуляются все пароли.

А не могли бы написать эти правила для htaccess для апатча. Заранее большое спасибо

Неактивен

 

#7 2014-11-29 21:38

Bensence
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

anton_slim написал:

Да значит все нормально.
Ко мне уже обратился человек у которого эта дыра была открыта, ребята проверьте внимательно, по сети гуляет этот недохакер и сканирует движки вэбасист на проверку дыры, далее он взламывает и начинает вымагать деньги, но даже если до этого дело дошло, все еще можно исправить.

При ошибке 403 все равно взломали - получили доступ к сайту, движок на Apache.

Отредактировано Bensence (2014-11-29 21:52)

Неактивен

 

#8 2014-12-29 02:07

anton_slim
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

Bensence написал:

При ошибке 403 все равно взломали - получили доступ к сайту, движок на Apache.

Фигово что могу сказать...нужно смотреть логи и изучать откуда взлом пошел.../installer/ у вас открыт был ? Скорее всего через него...

Для Apache правила простые: те папки что нужно закрыть, создаете в них файл .htaccess и прописываете

Код:

Deny from all

Но вроде как в движке вэбасист это по умолчанию уже сделано, однако я рекомендую закрыть таким же способом папку /installer/ и /published/wbsadmin/

Неактивен

 

#9 2014-12-30 21:17

nailek
Пользователь

Re: Внимание ! Найдена уязвимость, подвержены все nginx+php-fpm хостинги

не надо все папки закрывать.
достаточно этих:
/dblist/
/data/
/kernel/

при переходе 2 года назад на php-fpm учел это и закрыл.
Вот только разарбы почему-то об этом нигде не писали для серверов на базе nginx+php-fpm.
А в папке temp и других не хранится ничего сверх секретного.

Отредактировано nailek (2014-12-30 21:19)

Неактивен

 

Board footer

Powered by PunBB