Взломан сайт. Как найти дыру?

[AlexDreamer]

Взломан сайт. Как найти дыру?

Сразу прошу прощения, если обращаюсь не по адресу. Если кто знает, где нужно задавать такой вопрос, подскажите.

Итак, взломан сайт. Никакого ущерба, просто была изменена главная страница и удалены логи. сайт на 99% состоит из html страничек + несколько php скриптов для подписки на рассылку и самой рассылки. скрипты используют текстовый файл (через fopen) для хранения данных о подписчиках. На хостинге установлен analog 5.22 и webalizer 2.01. О том, чтобы вычислить взломавшего речи не идет, главное найти дыру.

Спасибо, Алексей.

 

[Кром]

AlexDreamer
Дыру найти, не видя сайта или исходников, затруднительно

 

[AlexDreamer]

www.040.us
скрипты могу выслать.

 

[Altex]

Хостинг чей? (;

 

[AlexDreamer]

американовский, www.maxxxhosting.com

 

[Altex]

Проверь наличие уязвимости посредством PhpRemoteView

 

[Frenk]

Хм. Апач логи ведет какие-нить?

 

[Ashotovich]

Хм. Странно. Скрипткидди, вроде, развернуться особо негде - форма единственная - подписка на рассылку, после нее все обрабатывается, явно, htmlspecialchars... Возможно и впрямь, атаку произвели с другого аккаунта на том же сервере.

 

[Ashotovich]

Может быть, была теоретическая возможность передать через POST какую-нибудь дрянь скрипту maillist.php. Я попробовал заменить (в сохраненном файле тип select на text для объекта country и ввести туда phpinfo() - скрипт выдал просто скобки... Может, можно подобрать какую-нибудь дрянь? Свой select сляпать с "битыми" value для каких-нибудь option и пр... Короче, жаль, что бежать пора... А то бы поэкспериментировал.

 

[AlexDreamer]

Автор оригинала: Frenk
Хм. Апач логи ведет какие-нить?

Логи были удалены

 

[Ashotovich]

Да, немного поковырял еще. В скрипте maillist.php не проверяется, что было введено в переменной "штат" на предыдущей странице. Допустим, если я вставляю вместо AL - "BLABLABLA", скрипт послушно показывает: Америка(BLABLABLA).

 

[Кром]

Ashotovich
В этих скриптах дыр нет. А то что ты раскопал, это проверка вводимых значений. Взломать таким образом ничего нельзя.

 

[Alex2003]

Троян на твоем компе? И ушли пароли куда надо....

 

[Ashotovich]

2 Krom:

Нет - так нет. Я же исходников не видел (хотя видно, что вывод кода штата проходит не через htmlspecialchars, просто стоит addslashes или включены magic quotes - попробуйте туда ввести какие-нибудь теги вроде <br> и т. п., так что все же поковыряться стоит). Просто я показал, что раз есть такие недочеты, то могут быть и более серьезные.
А версия о трояне или сниффере в локальной сети (ежели таковая есть), конечно, вполне правдоподобна.

 

[Кром]

Ashotovich
Я скрипты смотрел, ошибок в защите там нет.

По поводу того, куда копать, AlexDreamer уже проинформирован.

 

[AlexDreamer]

Подскажие что-нибудь для поиска эти троянов и снифферов и/или защиты от них

 

[KostyaCat]

в гугл - firewall

 

[jo]

Re: Взломан сайт. Как найти дыру?

Автор оригинала: AlexDreamer
Итак, взломан сайт. главное найти дыру.

Прочитай может поможет чем то
http://rst.void.ru/texts/secure_php.html
особенно конец статьи.