1

Тема: Общее обсуждение проблемы безопасности

Просьба в этом топике описывать все проблемы в безопасности, которые Вы заметили для ImageCMS.

Насчет безопасности система протестирована хорошо, но если вдруг что-то заметите - пишите, будем незамедлительно исправлять!!!

https://github.com/imagecms/ImageCMS - ночные сборки корпорейта
https://scrutinizer-ci.com/g/imagecms/ImageCMS/badges/quality-score.png?b=development https://codeclimate.com/github/imagecms/ImageCMS/badges/gpa.svg

Thumbs up Thumbs down

2

Re: Общее обсуждение проблемы безопасности

Жуки запрятались?

C ув. Adm7

Thumbs up Thumbs down

3

Re: Общее обсуждение проблемы безопасности

Такс уже неоднократно лечу сайт клиента от вируса js пишеться во все файлы сразу . Скорее всего xss гдето! sad

Наша группа 666team .
I am 400kg

4

Re: Общее обсуждение проблемы безопасности

А аксес логи слабо посмотреть? Что то мне подсказывает, что клиент использует незащищенный фтп, пароли которого скомпрометированы.

Профессиональное создание сайтов любой сложности, аудит, продвижение, а также поддержка вашего интернет ресурса - web2life.ru

TIMEWEB > Всегда больше, чем просто хостинг для ImageCMS!

5

Re: Общее обсуждение проблемы безопасности

smile К логам доступа не имею , так бы даже и не писал .  cool А так мое дело предупредить ...

Наша группа 666team .
I am 400kg

6 Отредактировано simplacms (23-12-2011 01:22:45)

Re: Общее обсуждение проблемы безопасности

Не уверен что это полноценная уязвимость, но штука неприятная:
http://demoshop.imagecms.net/shop/categ … 5D%5B%5D=3

(только если не залогинен под админом)

И вот заодно
http://demoshop.imagecms.net/shop/search?text%5B%5D=e

Thumbs up Thumbs down

7 Отредактировано 2val2 (16-03-2012 04:29:06)

Re: Общее обсуждение проблемы безопасности

Использую ваш движок на двух сайтах и от пользователей начали приходить сообщения, что сайт заражен вирусом. Проверил, действительно, у меня авира ругается на следующие вирусы:
JS/Redirector.PM.8
JS/Redirector.PY.1
каждый раз символы после редиректор меняются. Примите меры.

Кстати, админка перестала грузиться после этого.

Thumbs up Thumbs down

8 Отредактировано cutter (16-03-2012 09:40:37)

Re: Общее обсуждение проблемы безопасности

опишите подробнее,
какой хостинг,
какие файлы были заражены,
какие права на эти файлы стоят

чтобы принять меры, нужно узнать откуда ноги растут. крайне заинтересован в рассмотрении данного вопроса подробнее

Thumbs up Thumbs down

9

Re: Общее обсуждение проблемы безопасности

один сайт на хостинге www.r01.ru, другой сайт на хостинге университета www.s-vfu.ru
какие файлы я пока не понял..., еще не лазил по исходникам.
права на все php: 644
на папки: 755

Thumbs up Thumbs down

10

Re: Общее обсуждение проблемы безопасности

Использую ваш движок на двух сайтах и от пользователей начали приходить сообщения, что сайт заражен вирусом.

Скорее всего скомпрометированы пароли на ftp. Каким клиентом пользуетесь?

А вот более насущная проблема - стало приходить много спамерских комментариев. Премодерация спасает, но это не выход... Похоже даже капчу распознают. Нужно будет поработать над этим компонентом.

Профессиональное создание сайтов любой сложности, аудит, продвижение, а также поддержка вашего интернет ресурса - web2life.ru

TIMEWEB > Всегда больше, чем просто хостинг для ImageCMS!

11

Re: Общее обсуждение проблемы безопасности

Скорее всего скомпрометированы пароли на ftp. Каким клиентом пользуетесь?

использую на всех рабочих станциях, с которых веду работу с сайтами, Far, раньше юзал total commander, но в нем пароли вообще в открытом виде хранятся..., да и пароли не такие уж простые.., не 123 или qwerty.
Система win 7 ultimate, которая постоянно обновляется через wsus.

Thumbs up Thumbs down

12

Re: Общее обсуждение проблемы безопасности

раньше юзал total commander, но в нем пароли вообще в открытом виде хранятся...

Ожидал услышать, что пользуетесь именно им, но всё верно - он хранит пароли в открытом виде. Если пароли хранятся в открытом виде, то количество символов и их сложность никак не повлияют. У 3 клиентов были случаи заражения именно через ftp! ftplog дал четкие показания smile

Процедура решения проблемы
1. Меняйте все пароли
2. Восстанавливайте сайты из бэкапа или чистите с помощью скрипта (или вручную)
3. Всем, кто потенциально может зайти на хостинг устанавливайте проверенные клиенты (сам пользуюсь FileZilla)
4*. Если это Вас не сильно стеснит в работе - используйте .ftpaccess, с помощью этого файла и директив Вы можете ограничить доступ к ftp с ip адресов или диапазона, не указанных в нем.

Профессиональное создание сайтов любой сложности, аудит, продвижение, а также поддержка вашего интернет ресурса - web2life.ru

TIMEWEB > Всегда больше, чем просто хостинг для ImageCMS!

13

Re: Общее обсуждение проблемы безопасности

supleader пишет:

раньше юзал total commander, но в нем пароли вообще в открытом виде хранятся...

Ожидал услышать, что пользуетесь именно им, но всё верно - он хранит пароли в открытом виде. Если пароли хранятся в открытом виде, то количество символов и их сложность никак не повлияют. У 3 клиентов были случаи заражения именно через ftp! ftplog дал четкие показания smile

Процедура решения проблемы
1. Меняйте все пароли
2. Восстанавливайте сайты из бэкапа или чистите с помощью скрипта (или вручную)
3. Всем, кто потенциально может зайти на хостинг устанавливайте проверенные клиенты (сам пользуюсь FileZilla)
4*. Если это Вас не сильно стеснит в работе - используйте .ftpaccess, с помощью этого файла и директив Вы можете ограничить доступ к ftp с ip адресов или диапазона, не указанных в нем.

Вот я и удивился, что как-то удалось заразить аж сразу два сайта. Раньше да, когда юзал TC у меня уводили пароли и система была дырявая. Сейчас же стабильно за всем слежу.
Кстати, могу добавить 5-м пунктом (для новичков) - не использовать Internet Explorer 6, его нужно обновить хотя бы до 8 версии, или снести вообще smile

Thumbs up Thumbs down

14 Отредактировано cutter (19-03-2012 14:09:22)

Re: Общее обсуждение проблемы безопасности

Кстати, могу добавить 5-м пунктом (для новичков) - не использовать Internet Explorer 6

я бы сказал иначе
(для всех) - не использовать Internet Explorer вообще. адская дрянь (любая версия)
его придумали, чтобы скачать opera или firefox.

Thumbs up Thumbs down

15 Отредактировано omen (12-06-2012 10:19:01)

Re: Общее обсуждение проблемы безопасности

cutter пишет:
Кстати, могу добавить 5-м пунктом (для новичков) - не использовать Internet Explorer 6

я бы сказал иначе
(для всех) - не использовать Internet Explorer вообще. адская дрянь (любая версия)
его придумали, чтобы скачать opera или firefox.

Да, только вот под масдай уже есть 64 розрядный IE по сравнению с другими браузерами! Вот в FF например есть под линукс (nightly), а под винду нет, есть на сервере ftp найтли у них релиз, если внимательно посмотреть, только находится на стадии бета тестирования. А на сайте нет у них пока что не выложено. IE используется больше чем тот же, допустим Safari!

Сори за оффтоп

Thumbs up Thumbs down

16

Re: Общее обсуждение проблемы безопасности

"IE используется больше" только за счёт незнания этого "большинства" о более совершенных браузерах. сейчас началось в России "движение" сягоко гос.ПО -кривые постоянно зависающие приложения работающие на NetFrameWork. по мимо всего прочего дающие приличный нежелательный траф.

Thumbs up Thumbs down

17

Re: Общее обсуждение проблемы безопасности

supleader пишет:

3. Всем, кто потенциально может зайти на хостинг устанавливайте проверенные клиенты (сам пользуюсь FileZilla)

От надежный клиент! Будто он не в открытом виде хранит пароли....

18

Re: Общее обсуждение проблемы безопасности

Ну никто не заставляет их запоминать, тогда и в xml файле их не увидите  big_smile

Профессиональное создание сайтов любой сложности, аудит, продвижение, а также поддержка вашего интернет ресурса - web2life.ru

TIMEWEB > Всегда больше, чем просто хостинг для ImageCMS!

19 Отредактировано SergusNET (04-01-2013 22:33:11)

Re: Общее обсуждение проблемы безопасности

Насколько я знаю, Файлзилла не дает возможности не сохранять пароли. Если вводишь пароль, он, собака, все равно запоминается и присутствует в упомянутом вами файле. Я спрыгнул с этого менеджера на другой после заражения сайтов. И скрипт накатал, 2 раза в день запускается кроном, проверяет файлы на вредный код. Пока все нормалек...

20

Re: Общее обсуждение проблемы безопасности

cutter пишет:
Кстати, могу добавить 5-м пунктом (для новичков) - не использовать Internet Explorer 6

я бы сказал иначе
(для всех) - не использовать Internet Explorer вообще. адская дрянь (любая версия)
его придумали, чтобы скачать opera или firefox.

Зря вы так. В свое время у него была такая DHTML модель, что опера и все остальные, включая DOM, просто отдыхали. Хотя я сейчас сижу на лисе и не понимаю, как можно на Експлорере работать. Но что было, то было, рулил он  когда-то...

21

Re: Общее обсуждение проблемы безопасности

Насколько я знаю, Файлзилла не дает возможности не сохранять пароли.

При добавлении сайта в Менеджере файлов выберите в селекте Тип входа Запросить пароль или Интерактивный. И будет вам счастье  cool 
Сейчас большинство зловредов ориентированы на TotalCommander!

Профессиональное создание сайтов любой сложности, аудит, продвижение, а также поддержка вашего интернет ресурса - web2life.ru

TIMEWEB > Всегда больше, чем просто хостинг для ImageCMS!

22 Отредактировано SergusNET (05-01-2013 01:19:00)

Re: Общее обсуждение проблемы безопасности

supleader пишет:

При добавлении сайта в Менеджере файлов выберите в селекте Тип входа Запросить пароль или Интерактивный. И будет вам счастье  cool

Точно! Вот блин, протупил, никак найти не мог... sad  Но все равно уже ушел на WinSCP, там хоть кодирование паролей и они в системном реестре хранятся. Понятно, что не шифрование, но все же надежней. Хотя, я слышал, и оттуда тырят...

23

Re: Общее обсуждение проблемы безопасности

нашел дыры в  админке
например  sql инъекция в админ панели, при поиске в шапке http://i.imgur.com/0xZAV.png

Thumbs up Thumbs down

24

Re: Общее обсуждение проблемы безопасности

Когда нашли? Только выпустили патч, все такого рода ошибки закрыты.

https://github.com/imagecms/ImageCMS - ночные сборки корпорейта
https://scrutinizer-ci.com/g/imagecms/ImageCMS/badges/quality-score.png?b=development https://codeclimate.com/github/imagecms/ImageCMS/badges/gpa.svg

Thumbs up Thumbs down

25

Re: Общее обсуждение проблемы безопасности

вот еще на сайте http://boutique-ekaterinasmolina.ru http://i.imgur.com/BNxNFVX.png уж не знаю какая там версия у них стои

Thumbs up Thumbs down