У меня была попытка взлома сайта. Ломали загружая сюда images/uploads/dur/shell.txt файлик под видом картинки. Файлик, если поменять расширение на .php, будет весьма вреден. Остались логи, если кому интересно.

Вопрос — кого еще ломали, насколько успешно, через какие дыры?

Меня на другом сайте сломали стырив ftp-пароль трояном у одной из сотрудниц с писишного компа (у меня все на Маках) — но эту лавочку админ быстро прикрыл. У вас как было?

И каким образом можно после загрузки переименовать файл/расширение без доступа к сайту? Я к тому, что закачать-то можно и что дальше? вводишь имя файла с новым расширением и что - ничего...

Если конечно после этого использовать ftp-е логины и пароли, то смысл закачки этого файла...

не ну так можно дорассуждаться и до конструкции “пока я спал кто-то зашел в квартиру, но ничего не унес, не смог”.

совершенно нет! если злоумышленник загрузил какой-то файл и не может им воспользоваться, то это не равно взлому т.е. “не зашел в квартиру, ключ не подошел”

а вот смысл загрузки такого файла под txt, может быть весьма простым...
обычно злоумышленники вылевают эксплоиты на сторонние сервера, чтоб потом их подключать при взломе других сайтов (типа вводят в заблуждение) - такое было на моем серваке.

Gyrga - 27 Август 2009 10:01 P.M.

не ну так можно дорассуждаться и до конструкции “пока я спал кто-то зашел в квартиру, но ничего не унес, не смог”.

Плохая аналогия. Если хотите что бы никто не заходил, пока вы спите, отключите ф-цию загрузки изображений пользователями. Тут больше подходит аналогия “У меня проходной двор, и пока я спал, кто-то зашел, но ничего не унес”.
А вообще, на своем веку я перепробывал очень много различных cms, и просто восхищаюсь защищенностью ee.

Ну, думаю стоит всех успокоить, сказав, что в том, что загрузился shell.txt виноват точно не ЕЕ...

А вообще, на своем веку я перепробывал очень много различных cms, и просто восхищаюсь защищенностью ee.
это один из факторов почему я спокойно жду 2.0 - знаю, что в итоге мне предоставят законченный продукт с незначительными безопасными бакфиксами, а не дырявое решето...

господа, речь о другом. Я цел, слава EE. Вопрос дальше — кого и почему все же сломали?

Gyrga - 27 Август 2009 07:25 P.M.

У меня была попытка взлома сайта. Ломали загружая сюда images/uploads/dur/shell.txt файлик под видом картинки. Файлик, если поменять расширение на .php, будет весьма вреден. Остались логи, если кому интересно....

ну а вних, через что именно файл загружался?

Аккуратнее надо быть с визуальными редакторами WYSIWYG

точнее аккуратнее надо быть с файл-менеджерами под эти редакторы.  Многие просто ставят FM от TinyMCE, TinyBrowser и вырубают стандартную защиту (а где-то ее вообще нет). В результате получается разного степени риск. Но чаще всего, все заканчивается у топик-стартера - в нормально FM даже с возможностью не авторизованной закачки, по умолчанию нет способов в дальнейшем воспользоваться закачанным файлом. К примеру мы TinyBrowser уже достаточно сильно в этом смысле переписали - пришлось добавлять XID на формы (для защиты от кросс-сайт скриптов) + чистку _Get и _Post.

ну это и спасло

Calm - 29 Август 2009 09:39 A.M.

TinyBrowser уже достаточно сильно в этом смысле переписали - пришлось добавлять XID на формы (для защиты от кросс-сайт скриптов) + чистку _Get и _Post.

Имеется ввиду TinyMCE в SAEF?

других историй нет?

Не знаю, как насчёт взлома, но на локальном словил 9 червей (в 1й день запуска сайта) пришлось усилить защиту.

? как словил, каких червей?

??! Сам не понял. Каспер отключили и залетели. Надеюсь через почту (какой-то завистливый участник письмо прислал). )) Червей сразу удалил, потому “каких” сказать не могу.