уязвимость SQL-inj

[Server Kubedinov 0]

Приветствую,

на одном из магазинов vamshop случайно обнаружили дарвей, непонятно откуда он там и с какого времени.

но вопрос в другом.

защищен ли vamshop от SQL-inj?

некий доброжелатель написал нам, что в скриптах дыра и что пароль админа вытащитьсовсем нетрудно.

якобы уязвимость заключается в том, что программисты забыли ( или сделали специально) отфильтровать переменную sid в Cookie

это развод или действительно нужно закрывать уязвимость

[vikli 0]

Сегодня мне пришло письмо от провайдера.

"На Вашем сайте используется уязвимая версия cms osCommerce, через которую возможен взлом Вашего сайта, рассылка спама, а также полный доступ к файлам Вашего хостинга.

Так как данная уязвимость может привести к полной не работоспособности Вашего сайта, то Вам или Вашим программистам необходимо обновить версию osCommerce до последней версии или же установить какие либо патчи, подробнее на странице http://www.hts.ru/ru/events/news/?id=98 .

Просим Вас отреагировать в самое ближайшее время и прокомментировать ситуацию в письменном виде. В случае взлома Вашего сайта, мы будем вынуждены отключить Ваш сайт."

Интересно, это правда.

[YuraS 4]

уже обсуждалось

[YuraS 4]

некий доброжелатель написал нам, что в скриптах дыра и что пароль админа вытащитьсовсем нетрудно.

якобы уязвимость заключается в том, что программисты забыли ( или сделали специально) отфильтровать переменную sid в Cookie

ну так пусть выдерет и скажет.

на одном из магазинов vamshop случайно обнаружили дарвей, непонятно откуда он там и с какого времени.

мало данных для того, чтобы что-то гадать. вспоминайте, кому давали доступы, сведения о версии вамшопа не помешали бы, логи доступа, даты создания файлов этого дорвея, как дела с защитой от вирусов на компе. дофига чего может быть интересного.

[ABerezin 0]

ну так пусть выдерет и скажет.

Не стоит столь легкомысленно.

[YuraS 4]

Не стоит столь легкомысленно.

легкомысленно было бы, если бы его на юх послали ))

а надо поблагодарить доброжелателя и попросить уточнить, что и как можно вытащить.

[support 447]

SKM

А какая версия магазина была?!

Если старая, то, возможно, загрузили shell и через него уже всё что угодно с магазином можно сделать.

Нужно обязательно ставить обновления, в обновлениях в том числе и дырки закрываются.

В текущей версии, лично мне, неизвестны дырки.

[ABerezin 0]

В текущей версии, лично мне, неизвестны дырки.

уязвимость заключается в том, что программисты забыли ( или сделали специально) отфильтровать переменную sid в Cookie

[support 447]

А если в /includes/application_top.php добавить:

$_COOKIE = $InputFilter->process($_COOKIE);

[/code]

 

Или это не то?

[ABerezin 0]

Это конечно. Ещё и серверные переменные тоже хорошо-бы отфильтровать, особенно те, которые формируются на стороне клиента - USER_AGENT, HTTP_REFERER. Да и другие глобальные переменные тоже неплохо-бы проверить. Принцип один - не доверяй любым входным данным.

И одну версию нужно проверить.

[support 447]

Серверные, я так понимаю, это имеется в виду $_SERVER!?

[ABerezin 0]

Да

[support 447]

Понятно, спасибо.

Но как я понимаю главная опасность в SQL запросах в php файлах, там где не проверяются переменные, а вот как это массово всё проверить в тысячах файлах, что-то даже и не представляю.

[ABerezin 0]

Совершенно верно. Сложно, но другого выхода нет.

[Server Kubedinov 0]

версия магазина 1.55

за что отвечает каталог /media/ ?

как используется папка движком?

спрашиваю, потому как удалив вчера файлы о которых писал выше, они появились сегодня снова. при том, что

1. вчера были сменены пароли ftp

2. пароль базы данных

3. изменены пароли админа магазина

логи показывают, что по ftp небыло обращений в нее.

вывод?

где то сидит скрипт который создает папку и заливает туда содержимое?

или дырка которой пользуются

хелп

[support 447]

SKM

Довольно старая версия.

В ней точно есть не закрытые дырки.

Если не ставите обновления, то хотя бы удалите /affiliate_show_banner.php

Возьмите из архива с текущей версией файл /images/.htaccess и положите его к себе.

Так же положите его и в другие папки, в тот же /media

/pub

Удалите папку /admin/includes/javascript/tiny_mce/plugins/tinybrowser/

И вообще, я б ещё всю папку /admin закрыл паролем через .htaccess .htpasswd

Со времени 1.55 были закрыты и другие дырки, но это самые основные, которые используют для загрузки shell

[Server Kubedinov 0]

сейчас нет возможности быстро обновить магазин,

пока выполнил ваши рекомендации.

и все же, почему именно в папку /media

не ответили на вопрос, какой функционал у этой папки?

[ABerezin 0]

Потому что она доступна на запись и доступна по http снаружи. Поэтому загрузив туда что-либо можно им воспользоваться.

Смотрите серверные логи доступа.

[support 447]

SKM

/media папка используется модулем информационные страницы.

Для подключения файлов, php файлов и т.д.

[Rodan 0]

Понятно, спасибо.

Но как я понимаю главная опасность в SQL запросах в php файлах, там где не проверяются переменные, а вот как это массово всё проверить в тысячах файлах, что-то даже и не представляю.

А будет проведена данная работа? Хотя в самых критичных местах?

[support 447]

Так она постоянно и проводится.

Проверить все 100% кода и сразу не представляется возможным, только постепенно.

[ABerezin 0]

Интересно, а какие места не критичные?

На самом деле всё не так уж и страшно. В основной своей массе данные фильтруются при sql-запросах. И таких уж всемирно известных дыр как в старом osc здесь нет. Поэтому чтобы найти подобную брешь, нужно сидеть и долго копаться в коде. Провести тот самый аудит, о котором Саша говорит. А вот после обнаружения нужно потестировать эту брешь - позагонять туда sql-запросы. В 99,9(9)% такие тесты вызывают ошибки БД. И если эти ошибки отслеживать, а не игнорировать, как делает подавляющее большинство, то можно вовремя обнаружить и саму атаку и атакующего и, соответственно, брешь, сообщить об этом Саше, который своевременно выпустит патч.

Так что спасение утопающих - дело рук самих утопающих.

Хочу заметить, что ошибки есть везде. Например почитайте про дыры на блоге Касперского.

[YuraS 4]

сегодня заглянул в австатс на своем вамшопе. нашел кучу интересностей, которые меня привели на _http://forum.antichat.ru/showthread.php?t=222922

в папке images каких только эксплоитов не нашел.

только вот спрашивается, зачем все это??? ))

[ABerezin 0]

в папке images каких только эксплоитов не нашел.

Точно эксплоиты? Не шеллы, не встраиваемый код, а именно эксплоиты? Странно. Сколько сайтов вылечил, но ни разу не видел залитые эксплоиты.

только вот спрашивается, зачем все это ??? ))

Если это эксплоиты - то не знаю, даже придумать не могу.

Если это шеллы или встраиваемый код, то обычно для денег.

P.S. А папку images и ей подобные нужно закрывать через .htaccess.

[YuraS 4]

Точно эксплоиты? Не шеллы, не встраиваемый код, а именно эксплоиты?

я не копенгаген в хакерских терминах, но эту тему на античате нашел поиском именно по названию файлов, обнаруженных в папке images: enlightenment.tgz, exploit.c, 2009-wunderbar_emporium.tgz, 2009-proto_ops.tgz и проч.

папку images и ей подобные нужно закрывать через .htaccess.

а ней лежит файлик htaccess следующего содержания:

<FilesMatch ".(php|php3|phtml|inc|c|htm|html|pl|cgi)$">

Order Allow,Deny

Deny from all

</FilesMatch>

[/CODE]