Взлом e107

Материал из 1GbWiki.

Версия от 17:21, 9 июля 2010; Dmach (Обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Содержание

[править] Суть

Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии.

Описание проблемы на официальном сайте e107 (на английском языке)

[править] Детали

В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов:

[править] Повторяющиеся обращения к contact.php

Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107.

Если у Вас установлена версия 0.7.22, такая атака просто создаёт нагрузку на сервер, и становится DDoS-атакой. Она не позволит взломщику получить доступ к Вашему сайту, но может замедлить или прекратить его работу.

Если Вы пользуетесь одной из старых версий e107, взломщики вероятно смогли получить доступ к сайту и загрузить туда различные файлы (например свои скрипты). Обновите сайт, и внимательно проверьте, нет ли на нём странных файлов, и удалите или исправьте всё, чего там быть не должно. Примеры таких файлов, найденных одним из пользователей e107 ([1]):

  • В файлах index.php \admin\index.php \plugins\forum\index.php могут быть добавлены iframe, в этом случае нужно восстановить оригинальные файлы через FTP
  • Скрипт e107.pl, который используется для атаки на следующие сайты, нужно удалить. Вместе с ним могут быть файлы с названиями вроде:

993698.txt 993698.txt.1 993698.txt.2 993698.txt.3 e107.pl e107.pl.1 e107.pl.2 e107-rce-sites.txt sendpage3.tar.gz sendpage3.tar.gz.,, help_us.php

  • Кроме того, можно совсем удалить файл contact.php, установить плагин Contact Form Plugin, и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте).

[править] Повторяющиеся обращения к help_us.php

Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака.

Личные инструменты