Форум PHP

Здравствуйте. У меня вопрос. Как пользователь мог изменить значение того поля, которое можно изменить только в админцентре? Админцентр защищен с помощью .htpasswd.

нашел уязвимость, с помощью нее закинул скрипт на форум и выполнил его, а этот скрипт и изменил параметр.
или взломал пароль?
больше ничего в голову не приходит.

Это не форум. И никакого скрипта не закидывал. Все файлы скрипта целы и не были модифицированы.

Поле находится в базе данных?

>Поле находится в базе данных?
Да.

Такое может быть, но скорее всего он просто украл пароль... а SQL-дамп базы данных у вас нигде не валяется?

Как он мог украсть пароль, если пароль хранится в зашифрованном виде, т.е. админцентр защищён с помощью htpasswd.
Может кто знает дыры такого скрипта, это скрипт системы раскрутки IPNOW. Данный злоумышленник начислил себе на счёт несколько тысяч у.е. Не знаю даже, может накрутил как-то. Я решил на другой скрипт перенести систему, на таких скриптах работают очень много систем, как наших, так и зарубежных и вроде никто их не взламывает, по крайней мере я ни разу не видел и не читал об этом.

Он мог украсть его из друго места, например из вашей почты (вы храните почту на сервере или загружаете её), но это действительно маловероятно.

Из почты никак, ибо почта не связана никак с данными. Ни по какой почте эти данные не отправлялись. И если бы он получил доступ к админцентру, то наверно уж не ограничился бы только изменением своего баланса.

а какой сайт? давай я тоже его хакну ;), а потом вам скажу о дырках :))

Очень просто... можно стартануть скрипт с локальной машины атакующего с передачей параметров на полный путь вашего сайта. Вы вообще уверены, что значения поля(полей) пришли с вашей же страницы которую атакующий загрузил с вашего сайта. Поэтому никаких следов естественно нет. Помимо этого есть много вариантов.
Дайте адрес ресурса.. или скинте в аттач ваш блок (запрос/ответ), через котрый это сделали. И/или желательно подробное описание.(что должно было быть и что стало). А так это разовор не предметный.

Такие уязвимости имеет абсолютно любые скрипты?
Случайно нашёл программу для взлома, вот её описание:
Это файл-менеджер через www-броузер, "специально сделанный" для взлома интернет серверов
как платных хостингов так и бесплатных.
Особенности:
* + управление локальными и удаленными (ftp, samba *) файлами/папками, сортировка
* закачивание скачивание файлов и папок
* (предворительно упаковывается/распаковывается через tar *)
* продвинутый поиск (возможен внутри файлов)
* modify-time и access-time у файлов не меняются при редактировании файлов (выкл./вкл. параметром $filestealth)
* + продвинутый SQL-менеджер не уступающий phpmyadmin,
просмотр/создание/редактирование БД/таблиц, просмотр файлов через брешь в mysql
* + управление процессами unix-машины (возможна сортировка), и "прибивание" процесса.
* + удобное (иногда графическое) выполнение shell-команд (много алиасов, можно легко добавлять/удалять алиасы)
* + выполнение произвольного PHP-кода
* + быстрый локальный анализ безопасности ОС
* + быстрое ftp-сканирование на связки login;login из /etc/passwd (обычно дает доступ к 1/100 аккаунтов)
* постраничный вывод, сортировка, групповые операции над БД/таблицами, управление процессами SQL)
* + скрипт "любит" include: автоматически ищет переменные с дескрипторами и вставляет их в ссылки (опциально)
также можно изменить $surl (базовый путь) как через конфигурацию (принудительно) так и через cookie "c99sh_surl",
идет авто-установка содержания $set_surl
* + возможность "забиндить" /bin/bash на определенный порт с произвольным паролем,
* или сделать back connect (производится тестирование соеденения, и выводятся параметры для запуска NetCat).
* + возможность быстрого само-удаления скрипта
______________
С помощью этой программы можно взломать любой сайт, так получается? Или это ложная информация, просто хотят, чтобы купили непонятно что?

Чтобы воспользоваться таким скриптом его сначала нужно закинуть на хост через дыру, кроме того, такого добра и бесплатно полно в сети.

Здесь речь, судя по описаниям, идет о "c99shell". Сама по себе эта програма в тупую точно ничего не взломает, а вот в руках оператора, который нашел способ закинуть этот Sell к вам - да. Кроме того этот аспект безопасности должен регулироваться в основном владельцами хоста. Обычно хостеры перекрывают доступ к базе из вне. (То есть вы не можете напрямую обратится на сервер MySql...к примеру с локального или другого хоста).

>Такие уязвимости имеет абсолютно любые скрипты?
Да если слепо доверять всему тому что получает в качестве переданных параметров ваш скрипт.

Если вопрос еще стоит, необходимо более подробно описать ситуацию.

Я закачал файл. Какие он уязвимости может иметь?

Что именно пострадало? Что должно было быть и что стало?

Я нашел ваш сайт (или аналогичный). Попробую посмотреть. Но все равно было бы не плохо если б написали, что именно сделал хацкер.

Он накрутил или зачислил каким-то образом несколько тысяч у.е. на свой счёт. А это поле - баланс, можно изменить только в админцентре. Но есть какая-то дыра.

1. Я бы поискал среди тех, то имеет доступ к вашему компьютеру. (пароль можно получить в 1 сек даже не заметишь).

2. На счет дыр не силен, но похоже, хоть и можно менять пораметр из админки, то вероятнее существует его какая то альтернатива. Как в monster toplist, вместо логина и пароля, просто ставим 1 в логин и ахтунг.