Как отловить спамера на ларавели?

Question

[maiskiykot]

Есть тестовая сборка ларавеля. В ней отовсюду по лоскуту. Проект чисто для себя - для набития руки, какгвртся. И происходит постоянный взлом почтового ящика. Т.е. единственный ящик сервера каким-то образом становится доступен спамеру. Естественно, кроме файла .env я нигде пароль от ящика не указываю. Отсюда вопрос: как эта сволочь узнает пароль? Была подозрительная учетка, которая осталась от какого-то компонента ларавель- удалил. Однако спам возобновился. В логах нет активности каких-либо юзеров вообще. Хостер божится, что почта вообще отправляется не с сервера. Т.е. чел как-то попадает на хостинг, вытаскивает пароль из .env и кидает свой спам. Как его отловить? Спасибо!

Comments

[Антон]

Я, на самом деле, обожаю эту дырку. Скиньте адрес пациента

[maiskiykot]

Антон, На почту написал

[Максим Власов]

Антон, а остальным написать? Не? Вера не позволила?

[Максим Власов]

Не скрыты переменные в .env. Спамер вызывает ошибку и при включенном дебаге лара показывает все переменные из .env

[maiskiykot]

Максим Власов, Прокомментируйте плиз что значит не скрыты? Я проблему обнаружил, но, может, ещё что-то подскажете?

[Максим Власов]

maiskiykot, раз обнаружили так может поделитесь с обществом? Вот тут еще почитать

[maiskiykot]

Я полелюсь, но хотел бы вашу версию услышать. ЧТобы потом зря на себя пуху не накидывать.

[Максим Власов]

maiskiykot, так я написал. Не хорошо так делать. Нашли решение - озвучьте, что бы люди не допкскали ваших ошибок.

[maiskiykot]

Я из вашего коммента не понял связи между .env и действиями спамера. Я напишу решение - не беспокойтесь. Просто получается, что все пока ларавельщики сами для себя существуют - вся поддержка от иностранных коллег. У меня этот проект тестовый, а кабы рабочий был.

[Максим Власов]

maiskiykot, в env показывается все переменные в момент ошибки. Т.е. можно посмотреть все содержимое файла. И из него узнать пароль.

[maiskiykot]

Максим Власов, пруф?

[Максим Власов]

maiskiykot, в документации все написано. Я оставлял ссылку.

[maiskiykot]

Максим Власов, там не написано: каким образом вызывается данная ошибка. Конечно, у меня дебаг включен, но я нигде не нашел метода взлома через дебаг

[Максим Власов]

maiskiykot, скиньте адрес. И мб я напишу содержимое.

[maiskiykot]

Максим Власов, Я в открытом виде не могу выложить адрес

Answer 1

[maiskiykot]

Как и обещал - выкладываю решение проблемы. Сам в шоке был - вроде так все просто и в то же время нелепо. Оказывается у большинства сайтов на ларавели просто открывается в браузере страница site.com/.env! Кто бы мог подумать, что такая надёжная система не имеет по умолчанию защиты собственных системных файлов! Соответственно, после добавления двух строчек в .htaccess спамеры пошли нахуторбабочекловить!

Comments

[leon0399]

Это не "система не имеет защиты", а кто-то читать мануал не умеет. Нельзя просто кинуть проект Laravel в public_html на shared хостинге. Либо настроить веб-сервер смотреть в public_html/public, либо на крайний случай склонировать проект в соседнюю с public_html директорию и сделать симлинк /public_html => /Laravel/public

[maiskiykot]

leon0399, Это о чем вообще?

[leon0399]

О том, почему dotenv доступен извне, и что это ошибка тех кто настраивает, а не уязвимость фреймворка

[Максим Власов]

maiskiykot, он прав. У тебя просто криво установлен ларавель. Сам ларавель должен лежать в той же директории, что и public_html

[Максим Власов]

В вот про скрытие переменных из .env почитай

[maiskiykot]

Я так и думал, что щас академики потянутся. Все у меня настроено по мануалу. Чел, который взорвал эту уязвимость нашел навскидку 76000 сайтов. 76000!

[Максим Власов]

maiskiykot, ну вот как по мануалу на скрине я показал. Просто тогда из папки public нельзя будет подняться выше по запросам и файл .env недоступен - выдает 404.

[maiskiykot]

В одном только месте нашел мануал по установке ларавель выше папки www. Однако посмотрел недавние проекты, в которых ковырялся - такая же шняга - весь ларавель в папках www, так что начинающим ларавельщикам на заметку пригодится мой опыт.

[Barmunk]

maiskiykot, а ведь достаточно не ходить по сомнительным туториалам и зайти на официальную доку, где черному по белому написано как его ставить

[maiskiykot]

Barmunk, Ага. Кому черным а кому и белым. Никогда не занимался установкой - только правки. Ещё раз повторюсь - пробежался по предыдущим проектам, где правки вносил - ларавель в корне валяется. И .env доступен для хацкеров

[Barmunk]

maiskiykot, вот этим ребятам много лет твердили про пароль для MongoDB. Пока кто-то не написал зловреда. Похоже у ларавел будет такая же участь.

[Дмитрий]

maiskiykot, это значит что в мире не менее 76000 идиотов, причем для большинства из них английский - родной.
Проверил "баг" на своих сайтах - как и полагается 404.

Я, кстати, иногда еще на .env ставлю права 660, чтобы левый ssh-пользователь не подсмотрел пароли.

[maiskiykot]

Идиотов значительно больше. Увы.

Answer 2

[P747]

Привет. Залей на Github сайт, у них есть расширение которое уязвимости известные находит в сборках. У меня сайт визитка на Symfony без всяких форм, тоже несколько раз вламывали через уязвимости