Форум PHP

У меня кажется хост взломали. Это мне так кажется дело втом что изменили только мой index.php. Я незнаю как это возможно или сервер взломали или у меня ограничение доступа не стоит ..... Кто можеть что нибудь сказать об этом оставляю адрес можете сами посмотреть ...
http://eric.gen.az/

Дело в том, что мы не знаем что было до этого на хосте, насколько кардинально изменилась страница? Какую дату последнего изменения показывает FTP-менеджер для index.php?

PS Это вполне реально... особенно если на сайте где-нибудь в строке запроса передаются данные которые непосредственно вставляются в PHP-код, а не используются для косвенной проверки...

Последнее изменение : 26 декабря 2004 г. 14:09

в PHP использовался операторы include но не думаю это от этого
Я не понял что вы имели ввиду <если на сайте где-нибудь в строке запроса передаются данные >

100% взломали. Команда под названием: root...какой_то_там_бред.

Я хотел бы узнать как мне подстроховаться от таких взломов ??

В первую очередь, проверять формат всех переменных, получаемых из вне (из форм, через строку браузера)
Вы предполагаете, что эти переменные будут в каком то определенном формате и не предполагаете, что хакеры могут сформировать их совершенно произвольным образом. Именно на этом и строится большинство взломов.
Например, вы считаете что в параметре должно быть просто число, а если Вам подсунут туда строку, да еще содержащую php-код?
Любые получаемые из "вне" переменные нужно проверять. Можно с помощью регулярных выражений.

PS: Таким образом Вы защищаете Ваш сайт, но на защиту хостинга Вы повлиять не можете. А там, как показывает практика, тоже не все гладко.

Угу сломали. Если поищите в поисковиках по "несуразице" из букв, которой именуют себя эти группы и которая должна, видимо, что то символизировать, то найдете и другие взломанные сайты.

Дело в том что в этом хосте только мой сайт взломан, пока что других не нашел

Значит сломали не хостинг, а только Ваш сайт. Хотя, может быть, Вы просто пока не нашли другие сломаные сайты.

Cheops вот что имел ввиду про передачу переменных. через строку браузера.

Используете ли Вы на своем сайте какие либо переменные, получаемые методом GET(строка браузера)?
Если используете, то проверяете ли Вы их как то перед использованием?
Дело в том, что хакеры могли сформировать хитрые значения
этих переменных. И если Вы не проверяете эти значения, то это могло открыть хакерам "дыру" к деструктивным действиям.

Да это вполне возможна. А на что проверять их ограничить символы ??

Нужно смотреть скрипты... но, лучше как у нас передавать в параметрах только цифры - их проще проверить и с ними сложнее передать какую-нибудь хитрую команду.

А как быть при проверке логин и паролья ??

Как минимум, проверить на наличие "несанкционированных" кавычек.

Вы можете опередлить логин и пароль на своём сайте как набор цифр и букв, которые проверять при помощи регулярных выражений.

Ах Да я нашел Эту же страницу в индексе голосовалке не знаю как он мог туда попасть ....
И еще я хотел бы узнать механизм работы этих систем комманд
Потому что я не могу понять как они могут сработать если вводимые гет методом данные только проверяеться. А не выполняеться.....

Если проверка идёт в базе данных, то можно воспользоваться инъекционном запросом http://www.softtime.ru/forum/read.php?id_forum=3&id_theme=667, когда кавычки подбираются таким образом, что бы осуществить два запроса: и тот который требуется от скрипта и другой, например, по уничтожению или выводу базы данных... обычно это сопровождается использованием SQL-операторов UNION и AND. Т.е. вы ожидаете, что методом GET передаётся цифра, а туда всобачивается SQL-код. Поэтому цифры, передаваемые методами GET и POST следует проверять на то, чтобы они содержали только символы от 0 до 9, а в тексте следует заменять все одинарные кавычки на двойные. Если захотите узнать подробности наберите в поисковике "Инъекционный запрос".
Второй способ связан вот с чем: допустим передаётся строковая переменная $mark и вставляется далее в другую строку

<?php   echo "Сайт компании, оценка - $mark"; ?>

Если мы передадим в строке, что-то вроде ".system("echo 'Сайт взломан').", то в строке $mark может появится текст "Сайт взломан".

В моём посте всё нерабочее, здесь объясняется лишь механизм, а не приёмы написания эксплоитов. Конечно вместо echo ставится нечто, что изменит код php-скрипта или загрузит с удалённого хоста нужный хакеру скрипт.

Вот самый простой способ (даже без регулярных выражений)
Проверяем является ли передаваемый параметр числом:

<?   is_numeric($tmp); ?>

Если $tmp число, то выдаст true, в противном случае ничего false

Также хакеры часто используют передачу кавычек в строковых параметрах. Переданная кавычка закрывает переменную и следом можно писать произвольный код.

Вот код, удаляющий из переменной кавычки (двойные и одинарные)

<?   $tmp = preg_replace("/\"|'/s","",$tmp);     ?>

Это если используется передача данных в SQL запрос, ещё чаще пребегают к внедрению операторо при помощи объединения строк точкой .system('команда системе')., таким способом закачиваются скрипты на сайт и изменяются исходные PHP-скрипты. Кстати, посмотрите не появились ли новые файлы...

Я посмотрел но никаких лишних файлов не нашел

Всем здрасте!!!
Жаль точто я неуспел вовремя посмотреть на сайт :)
Как сказал дизайнер это может быть методом get но и post методом тоже можно просто гимороица надо больше для этого нада просто писать страницу html
Наверняка вам так и сделали как сказал хеопс (через system(""));

если интерисует можете почитать здесь *****.ru может и ваш сайт здесь появится :)
[поправлено модератором]
От модератора: не будем делать рекламу хакерам.

То что вы хотели посмотрет он еще сохранен только в странице index.php я просто index.html поставил =)
А на счет сайта *****.ru может поговорим =)
Аска 324295096

Поговорим :)


Хеопс или Дезайнер извините точто написал адрес сайта :)

Здраствуйте. А какую ответственность несет web-программист за взлом созданного им сайта хакерами?

Если это Ваш личный сайт, то ответственность только перед самим собой. Если это серьезный заказчик, то здесь уже другое...
Но, как правило, пока не несет никакой ответсвенности. Если только это не оговорено договором и не проводились специальные работы по аудиту сайта на безопасность и его защите. Но стоимость подобных работ может запросто перекрыть стоимость самого сайта.

Передадим Ваши слова модератору :)
PS: Тут дело в политкорректности. Если взлом сайтов - это нехорошо, а мы считаем, что это не хорошо, то мы не будем популяризировать ресурс предназначенный для взлома сайтов.

мне тоже интересно. вот ушла я с одной работы. на следующий (!!!) день мне звонят и говорят,
что у одного клиента, с которым я работала, взломали сайт. причем, ничего не испортили,
просто удалили папку с фотками. клиент закачал бакап, который у него сохранился, но он был
не совсем свежий (держите всегда свежие бакапы!) и кое-где вылезали ошибки. шефы звонят
мне с претензиями. я говорю - ребята, какой смысл мне ломать собственноручно сделанный
сайт. мне же выгоднее его показывать будущим работодателям. вообщем, они поняли, что
"не на того батон крошат". а потом звонит еще один мой знакомый, я ему просто помогала с
РНР, у одного его клиента - та же проблема. в одночасье исчезли все картинки с сайта. и
хостер у него - тот же. вот мы и решили, что атака была на хостера, а не на конкретный сайт.
кстати, второй пострадавший поступил умнее - он позвонил хостеру и потребовал от него
восстановить последний бакап (не держите свежие бакапы - у хостера они есть!)

С перва я хотел поздравить всех С Новым Годом ! А во вторых я хотел спросить : на хост напали или насайт, надо это проверить. Потому что у моего хоста нет проблем, только у меня такая проблема (Это я только проверил- наверна это предновогодняя поздравление =) ) И проверте кто взломал сайт (под каким именем они себя именовали ) И тогда мы обсудим что это такое ( И если возможно оставте сохранившие файли)

На самом деле в любом случае взлом - это забота хостера - у него все логи в которых все действия хакера записаны. Да, скорее всего взломан только ваш сайт, но хостинг скорее всего приложит все усилия, чтобы помочь вам в решении проблемы, так как получив ваш аккаун, хакер может попытаться расширить свои права до администратора сервера (root).

Всех с новым годом! А мне еще два часа ждать :(
Я разговаривал с одним человеком который взломал один очень популярный хостинг рунета(один из лучших) и он раздавал эти пароли всем своим друзьям.
Владельцы сайта писали хостеру то, что тат то так взломали ваш хостин а сам администратор гаварит нет, это не возможно, мол, у нас супер пупер хостинг. И в течение полугода приходили такие письма на хостинг а они все нет, это не возможно!
Так что вот такие хостеры бывают :)

У меня тоже сайт сломали через SQL - injection в форуме. Я стал разбираться, заходить на хакерские сайты - там подробно описаны эти методы. Потом пробовал "ломать" другие свои форумы, находил уязвимости и патчил.
Считаю, что имело бы смысл здесь привести несколько адресов этих хакерских сайтов - вряд ли люди, которые здесь общаются будут применять эту информацию во зло, а найти у себя ошибки это поможет.
А чтобы снизить риск взлома:
1. Регулярный бэкап (надо подумать, как пхп тут применить)
2. Патчи скриптов до последних версий (например phpBB - 2.11, критических уязвимостей пока не обнародовано)
3. Подписка на security - рассылки
4. Чтение логов - когда ломать начинают, то там много чего интересного появляется

Удачи всем!

>Считаю, что имело бы смысл здесь привести несколько адресов этих хакерских сайтов
Мы считаем что это не нужно делать. Многие хакерские сайты негласно придерживаются такой позиции: мы просто исследуем скрипты и ищем ошибки. МЫ вас учим. И вы должны быть НАМ благодарны за это.
Это знаете ли как в подворотне... Хулиганы по голове дадут: а не надо было здесь ходить.
И самый большой вред наносят не сами хакеры, а обычные посетители, которые прочитали на подобном сайте инструкцию – как сломать www.суперпупер.com и применили это на практике (просто попробовали).

Ваша позиция тоже правильная: хочешь узнать врага – залезь в его логово. Но рекламировать эти сайты мы здесь не будем. Кто захочет - тот найдет сам.

Мы пишем об этом в статьях http://www.softtime.ru/info/articlephp.php?id_article=35, я думаю это следует обсуждать (желательно в отдельных темах, эта уже длинная :), но рекламировать кракерские сайты не следует. Внимание к ним заставляет поддерживать и развивать свою деятельность, причём они не считаются с другими людьми и не отдают себе отчёт в противоправности своих действий создавая атмосферу вседозволенности... к сожалению на этих сайтах не пишется о том, что каждый человек как и Web-приложения имеет свои дыры и если очень нужно, кракера можно найти за двое суток... и не пишется о том, что бывает когда их находят...

кракеры и хакеры - разные "профессии". кракеры не портят информацию, а делают ее доступной всем. не все же могут платить... а хакеров надо подвесить за одно место, эт-точно.

>кракеры не
>портят информацию, а делают ее доступной всем. не все же
>могут платить...
Под это определение фрикеры больше подходят... но вообще, согласен лучше не использовать слово хакер, так как оно не однозначно, история его происхождения описывается в http://kirensky.ru/book/pdf/hackers-heroes.pdf, лучше использовать термин злоумышленник, так как в этом случае не остаётся никаких неоднозначностей и романтической окраски.

Кстати, тут у меня возникла идея написать скрипт, отслеживающий изменения файлов в каталоге сайта, скажем , раз в 15 минут и отсылающий оповещение (типа антивирусного ревизора).Взлом сайта обычно длится большее время, так что есть время принять срочные меры. Что вы по этому поводу думаете?

Давайте новую тему заведём.

PS Если честно, я поклялся в эту тему больше не лазить, она слишком длинная :))), но любопытство разобрало :)))

http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=1720