| |
 975 байт |
|
| | От неизвестного лица пришло предложение разместить его рекламу на всех страницах одного из моих сайтов. Для этого надо в папке с правами доступа 777 разместить рнр файл, находящийся в Приложении.
И я вот думаю: а не может ли этот файл помимо размещения рекламы осуществить и какие-либо вредоносные действия? Типа кражи паролей доступа к серверу, записи троянов на сервер или чего-то в этом роде.
Что скажут опытные люди? | |
| |
|
|
| |
|
|
| |
для: Владимир55
(08.09.2010 в 21:30)
| | | всё, что может сделать скрипт, написанный владельцем сайта, сможет сделать и рекламатор.
Конкретно этот файл обеспечивает два действия - вывод phpinfo() и/или создание другого файла с произвольным скриптом, содержимое которого динамически определяется рекламатором. | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.09.2010 в 22:18)
| | | Самый натуральный shell. Владелец скрипта может создать у вас на сервере абсолютно любой скрипт и не факт что он будет рекламным.
Я бы точно у себя такое не размещал. Для открутки рекламы вовсе необязательно создавать новые скрипты. Вполне достаточно обычного file_get_contents | |
| |
|
|
| |
|
|
| |
для: Axxil
(08.09.2010 в 22:26)
| | | А вот кстати, если средствами .htaccess , к примеру, запретить php-интерпретацию файла smart.php в текущем каталоге?
B выдавать его прям как text/plain :) | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.09.2010 в 22:39)
| | | Рекламодатель, думаю, будет разочарован излишней грамотностью партнёра :) | |
| |
|
|
| |
|
|
| |
для: Axxil
(08.09.2010 в 22:52)
| | | А по моему это отличный способ поиздеваться над злодеем. я бы поприкалывался, настроение себе поднял, злодей же наверняка снова отпишется, мол проблемы с установкой... лечить бы начали))) | |
| |
|
|
| |
|
|
| |
для: Axxil
(08.09.2010 в 22:52)
| | | Рекламодателю стоит предложить установить аналогичный скрипт у себя.
И послушать реакцию. | |
| |
|
|
| |
|
|
| |
для: Trianon
(09.09.2010 в 00:09)
| | | Угу :) Обмен ссылками - прошлый век. Даёшь обмен скриптами! Мега батл - кто кого быстрей сломает :) | |
| |
|
|
| |
|
|
| |
для: Trianon
(08.09.2010 в 22:39)
| | | Файл должен быть установлен в папку с именем se и правами 777. А на каждой странице ставится код
<?
echo require_once($_SERVER['DOCUMENT_ROOT']."/se/smart.php");
?>
|
Если в .htaccess запретить php-интерпретацию файла smart.php в каталоге se, то ведь он не сможет выдать рекламу на страницах? | |
| |
|
|
| |
|
|
| |
для: Владимир55
(08.09.2010 в 23:44)
| | | Ну народ совсем обнаглел ,хоть бы этот шелл закодировал, чтоб так явно в глаза не бросался | |
| |
|
|
| |
|
|
| |
для: Владимир55
(08.09.2010 в 23:44)
| | | Сможет, если там будет реклама.
htaccess не влияет на подключение файлов локальной файловой системы.
Но в этом случае (require из живого скрипта) )опасность исполнения вредноносного кода полностью сохраняется. | |
| |
|
|
| |
|
|
| |
для: Владимир55
(08.09.2010 в 21:30)
| | | Дык вы спросите зачем нужен именно такой скрипт? что дальше он собирается делать) | |
| |
|
|
