Добрый вечер, прихожу сегодня на работу и на стол летит пачка листов узеров хеш паролями на страниц 40+ и задача найти: устранить уязвимость, воссоздать и самое мерзкое написать отчет для бумагалюбов  
Проект написан на Yii + файлов куча это переработка c 2006 года.
С чего начать помимо проверки запросов на уязвимость, форм загрузок + багов самого Yii



Это сообщение отредактировал(а) Sanchezzz - 26.9.2012, 17:58

Sanchezzz, Хеши паролей касаются только проекта? Может сам сервер ломанули? Бякап базы слили?

ksnk, хеши паролей узеров даны как демонстрация "что я вытащил пароли ой какой я молодец" и помимо него есть еще список таблиц. Лучше бы указал где и как я это сделал на какой странице. Ищи теперь эту иголку в стогу сена. Взлом сервера тоже возможен подобрали пароль и нужный порт от SSH и пошло поехало.

Сижу от нефига делания ищу как поломать сервер, да выписываю длинный список в текстовый файл чего нужно проверить.


Это сообщение отредактировал(а) Sanchezzz - 26.9.2012, 18:57

Ищи SQL запросы, которые были сформированы в обход конструктора запросов или CActiveRecord, строка запроса чистым текстом передавалась в методы актив рекорда. Насколько я помню они там не обрабатывают параметры.
Так же по всем правилам прошерстить параметры под атрибутом "safe" как в CActiveRecord так и CFormModel.

Sanchezzz, Первым делом стоит проверить, что нет возможности для юзера загрузить исполняемый файл на сервер. То есть в каталогах для `upload` не исполняются php или еще какие скриптовые файлы (pl, asp, ...) - лечится htaccess'ом. На таком скрипте несложно организовать файловый менеджер и скачать конфигурацию с настройками базы и слить ее. Возможно, остались следы - файл взломщика.
Нужно проверить, что в web-пространство невозможно подгрузить файл со стороны, иначе чем в upload.

Можно проанализировать лог доступа за последние дни (неделю?). Странная активность по адресам в админке с непонятными параметрами может оказаться следом. 

Ну и , конечно, сменить пароли админки, базы и сервера. Делать это максимально часто, пока не обнаружился баг.

Так проверь логи доступа и посмотри этот запрос, который сделал тот кто "молодец".
Проанализируй логи "молодца" 

ksnk, Sentox , Спасибо за советы/

Ещё стоит посмотреть на index.php. Проверить, нет ли там define('YII_DEBUG', true). Если есть, удалить. Это режим отладки, может светить SQL.

YII_DEBUG точно отрублен это первое что было проверенно)

может есть дружественные проекты на сервере, стоит и их проверить.
по логам что?

Само ядро фрейма в защищённом каталоге? В идеале его положить выше корня сайта.

О, ещё если деплой идёт из svn или другой системы контроля версий, может быть засада http://rmcreative.ru/blog/post/byli-poluch...ternet-proektov

там две машина один сайт, фреймворк в отдельной папке как есть в корне директории. Реально используется только одна машина 
MoLeX,  по логам смотреть уже поздно дня 3 прошло.  И я сомневаюсь что что ведется.

Будем долго искать раз не передали через что поломали и не указали на дырку в сайте) видимо это платная услуга на которую хозяева пойти не могут и пытаются обойтись дешевым вариантом: напрячь разработчиков что бы искати и устраняли. 

Если это какой то баг фреймворка обязательно поделюсь в этой теме.

хм, речь идет об СУБД, но нет слово про файлы/архитектуру проекта. Можно подумать, что на сервере есть бажная версия phpMyAdmin'a

MoLeX, в отчете который нам передали был еще исходный код index.php все остальные листы были забиты распечаткой БД.
phpMyAdmin на сервере есть, кажется обновлен до последней версии там все редактируется через еще ajax..  Насчет баженый он или нет этого я не знаю.



Это сообщение отредактировал(а) Sanchezzz - 27.9.2012, 12:33