Форумы портала PHP.SU » » Вопросы новичков » Не удается найти уязвимость в сайте

Страниц (1): [1]
 

1. Gerd - 18 Апреля, 2018 - 22:55:55 - перейти к сообщению
Мужики, выручайте.

Написал сайт, его постоянно взламывают и заливают вредоносные php скрипты
https://arg-master[dot]ru/

Помогите найти уязвимость в сайте, спс.

https://arglass[dot]ru/
2. andrewkard - 19 Апреля, 2018 - 10:52:11 - перейти к сообщению
Попробуйте так:
1) Измените пароли в админку, пользователям ftp, mysql, обратите внимание на права пользователя mysql, сервер СУБД не должен быть доступен извне
2) Ищем поиском по файлам на предмет eval, shell_exec, и иже с ними, а также подозрительный код, обфусцированный код.
3) Закрываем дыры, анализируем обработчики форм, перед приемом в работу все поля приводим к правильному типу, число можно просто (int)$num, строковые данные проверяем по регулярке.
4) Используем подготовленные выражения

Может кто то еще что то добавит
3. Raziel - 19 Апреля, 2018 - 18:47:40 - перейти к сообщению
Попробуйте перенести на другой хостинг сервис, желательно на VPS. У меня были проблемы такого рода на HTS.RU, перенес на OVH.IE проблем нет уже года 2-3. По поводу firstvds ничего не могу сказать, но если ничего не поможет попробуйте на ovh перенести
4. Vladimir Kheifets - 20 Апреля, 2018 - 09:32:34 - перейти к сообщению
Gerd пишет:
Мужики, выручайте.
Написал сайт, его постоянно взламывают и заливают вредоносные php скрипты
https://arg-master[dot]ru/
Помогите найти уязвимость в сайте, спс.
https://arglass.ru/

Добрый день!
Согласен с тем, что Вам посоветовали коллеги.
Желательно не только изменить пароли, но и по возможности их не кому не показывать.
Начать нужно с проверки Вашего компьютера и смены пароля на нём.
Нужно проверить изменяется ли код динамически (через eval и.т.п) или перезаписывается на сервере.
Если код изменяется на сервере, нужно проверить log-файлы.
Сайт сомописный или Вы используете CMS и/или какие-либо библиотеки (Plugins)?
Удачи!
5. Vinyl - 20 Апреля, 2018 - 12:11:14 - перейти к сообщению
Проделайте то, что рекомендовали вам ребята выше. Затем, очистите все доступные вам логи.

Если сервер, изучите /var/log/auth.log на предмет входа в систему не с ваших IP. Если ломают извне и проблема в движке, изучите access.log на предмет подозрительной активности. Вероятна SQL-инъекция через форму. Мне однажды помог такой метод: в самом начале скрипта добавляете:

PHP:
скопировать код в буфер обмена
  1.  
  2. file_put_contents('/path/to/logs/'.date('Y-m-d').'.log', json_encode(array('ip'=>$_SERVER['REMOTE_ADDR'],'data'=>$_REQUEST))."\r\n", FILE_APPEND);
  3. //код на память пишу, точного содержания не помню, но смысл такой же
  4.  

У меня в тот же день попался. Актуально при единой точке входа и закрытом доступе на уровне сервера к остальным скриптам. Не стоит пользоваться при высокой посещаемости.

 

Powered by ExBB FM 1.0 RC1