Взлом e107
Материал из 1GbWiki.
Версия 17:21, 9 июля 2010 (править) Dmach (Обсуждение | вклад) м ← К предыдущему изменению |
Текущая версия (17:21, 9 июля 2010) (править) (отменить) Dmach (Обсуждение | вклад) м |
Текущая версия
Содержание |
[править] Суть
Происходит массовая атака на сайты построенные на CMS e107, для решения проблемы необходимо обновить CMS до последней версии.
Описание проблемы на официальном сайте e107 (на английском языке)
[править] Детали
В последние дни многие сайты, построенные на e107 (включая e107.org) были атакованы одним из двух способов:
[править] Повторяющиеся обращения к contact.php
Цель таких атак — взломать сайт через уязвимость, существовавшую в старых версиях e107.
Если у Вас установлена версия 0.7.22, такая атака просто создаёт нагрузку на сервер, и становится DDoS-атакой. Она не позволит взломщику получить доступ к Вашему сайту, но может замедлить или прекратить его работу.
Если Вы пользуетесь одной из старых версий e107, взломщики вероятно смогли получить доступ к сайту и загрузить туда различные файлы (например свои скрипты). Обновите сайт, и внимательно проверьте, нет ли на нём странных файлов, и удалите или исправьте всё, чего там быть не должно. Примеры таких файлов, найденных одним из пользователей e107 ([1]):
- В файлах index.php \admin\index.php \plugins\forum\index.php могут быть добавлены iframe, в этом случае нужно восстановить оригинальные файлы через FTP
- Скрипт e107.pl, который используется для атаки на следующие сайты, нужно удалить. Вместе с ним могут быть файлы с названиями вроде:
993698.txt 993698.txt.1 993698.txt.2 993698.txt.3 e107.pl e107.pl.1 e107.pl.2 e107-rce-sites.txt sendpage3.tar.gz sendpage3.tar.gz.,, help_us.php
- Кроме того, можно совсем удалить файл contact.php, установить плагин Contact Form Plugin, и заменить все ссылки на сайте на contact.php ссылками на этот плагин. Другой способ: переименовать contact.php (и тоже поправить все ссылки на него на сайте).
[править] Повторяющиеся обращения к help_us.php
Файл help_us.php может быть загружен в ходе атаки по первому сценарию. Обычно обращение к нему должно вызывать ошибку «page not found». В большинстве случаев при такой ошибке будет показана стандартная страница ошибки e107, что вызовет несколько запросов к базе данных и опять же замедлит работу сервера. Это тоже DDoS-атака.