Üdv Mindenkinek!
Van egy oldal, 6.20 minden modul a legfrisebb (stabil), kivéve a Google Analytics, de már ez is a 3.1-es (febr.7én jelent meg a 3.2). Tegnap kaptam egy levelet noreply kukac googlepont com feladóval, hogy "Phishing notification", mely szerint felfedeztek pár oldalt mely lehetséges támadás adathalászattal.
Be is linkelte még pedig olyan formában, hogy a domain név plusz egy szóközzel a következő:
~kava/paypal/us/webscr.php
meg még egy ilyen link. Amint kipróbáltam a FF is jelzett, hogy ez bejelentett támadówebhely, de ha megnyitom akkor egy a paypal-es loginbox (milliméter pontosan, de a fogadó url már pay-pal.... Beírtam egy [email protected] emilcímet hozzá a jelszót és arra dobott egy "hibaüzenetet". Aztán tegnap nem tudtam vele foglalkozni, gondoltam majd holnap körbejárom.
Megnéztem a szervert - és a /sites/default/files mappában találtam egy .htaccess fájlt amit még nem láttam - de ezenkívül semmit nem látok. A mappa 775.
Viszont most ismét megnéztem azt a linket és most egy "Account suspended" oldal fogad, a domainem végén cgi-sys/suspendedpage.cgi?cmd=_login-run ezzel. A head részbe betolva egy css elég alapos és sok mindenre kiterjedő formázásokkal, - tegnap ezt nem is néztem - de egy Transitional DTD-vel. tehát ez tuti kívülről jött.
A kérdésem, hogyan lehet és mi lehet ez?
Ja, majd elfeledtem, a report/status oldalon a Néhány modul adatbázis séma frissítéseket igényel. warning van egyedül.
Ez izgi. Mi is az az
Ez izgi.
Mi is az az ismeretlen .htaccess? Mi van benne? Milyen modulokat ír ki, hogy frissíts? Az adatbázus séma frissítés = update.php, az megvolt?
Annyira nem vágom ezeket a biztonsági témákat, de logikusan az következik, hogy valami irdatlan sechole van a gépezetben.
Tudtommal: A drupal filerendszerét nem lehet írni
1. csak a drupalon keresztül (php)
2. ftp-n keresztül
3. más egyéb olyan módon, amit a szolgáltatód lehetővég tesz, akarva vagy akaratlanul (értsd: akár a szolgáltatód rendszere is lehet seclikas).
Ha frissek a modulok, illetve nincs lemaradt sec update, valamint nincs anonim ftp hozzáférés engedélyezve, erős a gyanúm, hogy a hármas lesz a nyerő, vagy pedig sikerült egy olyan critical secholet fognod valamilyen egzotikus modulban, amit még a maintainerek fel sem fedeztek, de valakik már kihasználják - erre azért csekély az esély.
----
Rájöttem, miért kérdezek olyan ritkán a drupal.hu-n. Amíg szedem össze az infokat a kérdéshez, mindig rájövök a megoldásra.
itt vannak az
itt vannak az infók:
http://img710.imageshack.us/g/statusv.png/
annak a htaccessnek pedig ez a tartalma:
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006 Options None Options +FollowSymLinks
Az update.php a legutóbbi frissítéskor megvolt, most nem nyomtam rá, (addig amíg nem archiválom az adatbázist)
Igazából nem nagyon értem mi volt ezzel a cél, mert linket sehol nem látok ahonnan elérhető lenne ez a kis vicces login. hacsak nem maga az emil ami a google címről érkezett, de ennyire naív már csak nem lehet :)
Szóval hogyan kell egy ilyennek a végére járni szakszerűen?
Régen nálam
iframe-be rejtették az ilyen dolgokat a page.tpl.php és társaiban. Sajnos ez csak úgy lehetett, ha kikerült az FTP login. Ezt egy Malware végezte valakinek a gépén (mivel nem én voltam az egyedüli admin)
pl. a TotalCommanderben a mentett FTP accountok kinyerése a wcx_ftp.ini-ből... soha ne mentsd ezeket
Változtass FTP és MySQL jelszót!
Aztán mentés után megnézném a fájlok utolsó módosítási dátumát, ha már a modulok jónak tűnnek. Lehet, hogy ott a gyökere a dudvának.
Állapot jelentés
Sziasztok!
A segítségeteket szeretném kérni!
Ezt a hibaüzenetet kapom az állapotjelentésben:
Néhány modul adatbázis séma frissítéseket igényel. Az adatbázis frissítést azonnal le kell futtatni.
Az adatbázis frissítésre kattintásnál azt kapom, hogy az oldal nem található. A domain nevem után /update.php ír ki ilyenkor.
Meg tudjátok mondani mit bénáztam el?
Üdv:Erika