Вслед за уязвимостью в XML-RPC, недавно компанией Sektion Eins была найдена уязвимость, которой подвержены все версии 7 ветки. Она позволяет выполнить произвольный SQL-запрос в БД друпала не имея никаких прав в системе. Опасность определена как наивысшая. 15 октября вышло обновление ядра до версии 7.32, которое устраняет эту уязвимость. Разработчики настоятельно советуют обновить ядро немедленно. Обновление не займёт много времени, необходимо обновить только файл /includes/database/database.inc. Спасти сайты до обновления может только блокировка сайта, maintenance mode не поможет.

Уже давно были новости о том, что HTC договорилась с Dropbox-ом чтобы давать своим пользователям дополнительное бесплатное место. Правда озвучивались цифры от 3 до 5 бесплатных гигабайт для пользователя. На самом деле всё немного не так.

Я администратор одного не очень большого сайта. Хочу рассказать одну интересную историю.

Вчера наш сайт заразили. Хакер, используя эксплоит, залил скрипт-резидент и поприписывал к каждому исполняемому файлу код вызывающий его. Проблема была в галерее Coppermine старой версии — дырявый скрипт (mea culpa, не уследил). Хакер применил классический Google hacking, чтобы найти галерею.

Последовательность действий очень продумана и доказать преступление хакера сложно. С немецкого IP (217.20.118.150, по видимому арендованый сервер) была прощупана версия галереи, затем через дыру в скрипте заливается скрипт-загрузчик. С того же немецкого IP этот скрипт запрашивается по HTTP, что приводит к его исполнению на стороне нашего сайта. Исполняющийся скрипт-загрузчик подсасывает с сервера IP 78.157.140.3 скрипт-резидент (обращение происходит именно по IP) copper.txt, запаковывает / записывает его в одну из папок куда разрешена запись (уже в виде php) и прописывает в первой строке всех файлов php вызывающий его код (тоже упакованый). После этого скрипт-загрузчик самостирается (не знаю виден ли на немецком сервере этот скрипт из инета, копии на нашем сервере не осталось). Далее при открытии любой страницы где используется php происходит запуск скрипта-резидента, который запрашивает исполняемый код с сервера по адресу nomcen.biz (домен сейчас соответствует тому же IP 78.157.140.3). В скрипте-приписке в каждом файле была синтаксическая ошибка, поэтому сайт просто выдавал пустые страницы (сообщение об ошибке съедалось в результате применения ob_start-а). Не будь её — скрипт-резидент тихо отрабатывал бы нужное хакеру дело.
А теперь самое интересное: доказательств что заразили с немецкого сервера у меня мало (есть только две записи в логе, сам скрипт неизвестен и где его искать в сети разумеется не известно). С IP 78.157.140.3 исполняемый код брался именно нашим сервером (работал скрипт-загрузчик). Обращение к домену тоже было скриптом работающим на нашем сайте (работа скрипта-резидента). Регистратор домена принимает притензии только по поводу спама, по поводу распространения эксплоитов они рекомендуют обращаться к хостеру.

Итого: мы видим хакерскую технологию с определённой степенью защиты от уголовного преследования.

P.S.: Данный текст не претендует на новизну и написан не для поучения. Основная мысль с которой он писался «пусть полежит здесь, может кого-нибудь заинтересует».