Azt tapasztalom, hogy a drupaler.org beregisztrál az oldalamra rendszeresen felhasználót. A szerepkör alapján ezekhez fér hozzá:
Flag Node entities as Job bookmarks
Unflag Node entities as Job bookmarks
Resume: Edit own profile
Resume: View own profile
Resume init visible: Execute rules link
Resume set hidden: Execute rules link
Resume set visible: Execute rules link
Amit észrevettem, hogy a linkjeim teljesen más oldalakra mutatnak. Adminisztráció során is teljesen más oldalakra visznek a linkjeim.
Hogy tudnék ez ellen védekezni?
Tudna bárki segíteni?
Előre is kösz!
Drupal verzió:
Fórum:
Csatolmány | Méret |
---|---|
regisztrálás | 40.03 KB |
link felülírása | 189.2 KB |
más oldalra visz a link | 74.48 KB |
Én egy oldalamnál
Én egy oldalamnál tapasztaltam ugyanezt és a Honeypot sem akadályozta meg. Végül egy szabályt csináltam, amely az új felhasználó létrejötte után szövegösszahsonlítást végez az e-mail-ra és ha az e-mail tartalmazza a drupaler.org szöveget, akkor törli a felhasználót.
Egyébként ugyanígy kerültek be új felhasználók itregi.com tartományú címmel.
Mivel küldettem magamnak e-mailt ilyen esetben, így tudtam a próbálkozásokról. Kb. egy hónapja megszűntek ezek a spamregisztrációk, nem jött egy értesítés sem.
Viszont a jogosultságokat hogy állítja be, hiszen azok szerepkörhöz kötöttek?
A spam felhasználó sem lehet viszont tagja semmilyen külön csoportnak az azonosított felhasználón kívül, hacsak nem állítottál be valamilyen automatikus szerepkörbe sorolást.
Nálam semmilyen link felülírás nem történt, semmilyen hatással nem voltak az oldalra a spam felhasználók.
Csökönyi Ferenc
ez azert kicsit para, amit te
ez azert kicsit para, amit te mutatsz a harmadik screenshotban az mar az, hogy maga a beepitett site link, ami gondolom jobb esetben a fo domainra mutatna, az most masra mutat. ez viszont egyertelmuen azt jelenti, hogy feltortek az oldalt, igy vagy ugy jogosulatlan hozzaferes tortent. ehhez kellene neked egy profi review, vagy audit a rendszereden, mert eselyes, ha most torlod is a juzert, a rest amin keresztul a valtozas megtortent nem tomted be vele.
Egyetértek, ez sokkal inkább
Egyetértek, ez sokkal inkább a tárhely feltörésére utal.
Egyszer, régen egy másik tárhelyen egy másik CMS-be tapasztaltunk ilyet és ott kiderült, a szolgáltató tárhelyét törték fel és az érintett szerveren minden weboldalon hasonló jelenség volt: ha jól emlékszem, az összes index.html fájlt módosította valami az első könyvtárszintig. (Abban a rendszerben minden alkönyvtárban volt egy index.html).
Nézd meg a Menü adminban, hogy ott milyen url szerepel az útvonalnál. Ha ott rossz, akkor az adatbázisban, tehát a Drupalon keresztül törtek be. Ha ott viszont jók az url-ek, csak megjelenítéskor módosul, akkor a tárhely fájlrendszerét támadták meg.
Én belenéznék pl. a .htaccess fájlokba, illetve megnézném a fájlok dátumait, mi módosult az elmúlt napokban, aminek nem kellett volna. Valahol ott kell lennie az url-eket módosító kódnak.
De az is egy hibakeresési lehetőség, hogy megnézed az oldal forrását a böngészőben. Szinte biztos, hogy valamilyen rosszinulatú scriptet helyeztek el. A forráskódban valószínűleg megtalálod, hogy egyáltalán milyen script lehet lehet ez, utána ez alapján már könnyebb lehet a fájlok között keresni.
Sajnos tipikus betörési lehetőség a TotalCommander Ftp kapcsolata, ha nincs mesterjelszóval védve. Ha a lokális gépre kerül erre specializált féreg, az kiolvashatja az FTP kapcsolati adatokat - és már be is juthatnak.
Csökönyi Ferenc
Köszönöm az eddigi
Köszönöm az eddigi hozzászólásokat, első lépésben megkeresem a tárhelyszolgáltatómat, hogy másnál is jelentkezett-e ilyen. Aztán utána járok a dolognak. Amint tudok bővebbet - jelzek ide.
ggabor
A tárhely szolgáltató
A tárhely szolgáltató lefuttatott egy vírus és rootkit tisztítást az elszeparált virtuális környezetre, ami úgy tűnik megoldotta a problémát.
ggabor