Частный случай спама в гостевую

[Asar]

Частный случай спама в гостевую

Спамят гостевую книжку. Все бы ладно, почитал, в частности, на этом сайте про всяческие защиты от инъекций и т. п. Но, если я правильно понимаю, для того, чтобы инъекция прошла, мой РНР-код должен использовать какие-либо ГЕТ-параметры в запросах к БД. Я уже в своих экспериментах дошел до того, что вообще удалил использование единственного ГЕТ-параметра в запросе. И все же, спам продолжается.

К примеру:

Со страницы http://www.mysite.ru/feedback/guestbook.php?page=1&&DI=13&
IG=64afadae4e224616ba9425df120be15d&POS=3&CM=WPU&CE=3&CS=AWP&SR=3&a

Спамомашинка ползет на www.mysite.ru/feedback/guestbook.php?page=1&&DI=13&IG=64afadae4e224616ba9425df120be15d&
POS=3&CM=WPU&CE=3&CS=AWP&SR=3&a

В результате имеем заспамленную таблицу гостевой.
Ранее я использовал параметр ?page, потому и ссылки такие. Но, в последней версии РНР-кода, как я уже говорил, я его не использую для ради эксперимента.

Вопрос: почему спам идет даже когда в РНР-коде не используется ГЕТ-запрос?

 

[HEm]

Для того чтобы спам прошел достаточно иметь форму, через которыую передается запись в гостевую книгу, каким способом передаются данные значения не имеет

 

[Vallar_ultra]

2Asar
Сделай отправку сообщения по валидационной картинке (когода генереный код выходит на img) и пущай пользователи его вводят

 

[Asar]

Если я правильно понимаю ответ, то злодеи должны использовать код запихивания данных из формы в БД?

Я проставил, что не забивать в БД данные, если они совпадают по фильтру, кроме того, если хотя бы частично используется мой запрос, в нем проставлено запихивание единицы в спецполе. В спамовских же сообщениях ставится по умолчанию ноль, и фильтрованные фразы они содержат. Отсюда я делаю вывод, что этот запрос не используется.

Или я здесь не прав?

-~{}~ 19.12.06 18:11:

Vallar_ultra
Спасибо, об этом тоже подумал, но, опять же, создается ощущение, что мой запрос добавки в БД вообще не используется. Потому и мозг кипит уже...

 

[HEm]

Asar
Можно поподробнее? А то ты говоришь о вещах, которые понимаешь только ты

 

[Asar]

HEm
Хорошо, тогда пошагово:
Правильно ли мое предположение, что, для успешного спама нужно воспользоваться моим запросом к БД, предварительно его изменив?

 

[Winnie Pooh]

Asar, нет.
достаточно отослать твоему скрипту, твою же форму.

зы. а вообще плохо понятно, что ты имеешь ввиду..

запости кусок формы и кусок кода отвечающий за вставку в БД...
только не очень большой кусок

 

[HEm]

Верно предположение, что робот может проделать те же действия с формой (или проэмулировать эти действия), что и человек, если при этом не потребуется особых усилий (например распознать образ на капче). Например, отправить сообщение в гостевую книгу.

Предположение, сформулированное тобой, мягко говоря, звучит непонятно.

 

[Asar]

Ладно, сейчас еще пару экспериментов поставлю, может, мне понятнее станет...

-~{}~ 19.12.06 19:11:

Гм. В общем, я полностью снес саму форму и код обработки получаемых с нее данных.

Через некоторое время в гостевуху залетело новое спамерское сообщение. При этом не было обращения к файлу гостевой книги (правда, смотрел не логами, а пхп-скриптом, который кидает в БД данные обращающегося к этой странице).

Что же это тогда еще может быть?

 

[hermit_refined]

Самые основы. Как работает PHP.

 

[Asar]

hermit_refined
Ууу, я смотрю, Вы предпочитаете классику?..

 

[donflash]

 

[Vallar_ultra]

2Asar
) А всё-таки, что КОНКРЕТНО происходит..... КАКИМ ОБРАЗОМ информация от спамеров попадает в БД????

 

[HEm]

значит, не то снес

 

[Asar]

Vallar_ultra
Вот и я хочу это узнать.
Единственное обращение к БД, которое осталось -- это
SELECT * FROM guest WHERE Cens = 1 ORDER BY Id DESC LIMIT 25

Все жестко прописано, никаких переменных. Формы тоже теперь нет, повторяюсь.

Что-ли спамера есть доступ к БД в обход гостевухи? Что-ли у него пароли все нужные имеются, значит?
Или я преувеличиваю?

З.Ы. Правда, частота стала меньше спама. Всего одно сообщение за полтора часа.

 

[Vallar_ultra]

Проверься на наличие бэкдоров и поменяй после все парроли....

 

[Asar]

Vallar_ultra
Сорри, а вот "провериться на бэкдоры" -- эт как? :--)

 

[hermit_refined]

Asar
поверьте, вам бы не мешало почитать. судя по вашему посту, дело серьёзное.
ну и потом - если посмотрите логи апача, i think, тоже многое прояснится.

 

[Vallar_ultra]

Вот тебе книжка по этой теме

ftp://files.zipsites.ru/programming/linuxbegin/

а бэкдор - это такая программка например, которая позволяет кому-нить без твоего ведома лазать на машине с админскими например правами. Посмотри списки пользователей, логи.... Может обнаружишь что-нить необычное.

 

[Asar]

Примерно ясно.
Быть может, заодно кто-нить подскажет, что прописать в .htaccess, чтоб доступ к файлам в папке был только у скриптов данного сайта, а никак не снаружи? Или ссылкой полезной на тему бросит, а то рыть-рою, но все никак.
hermit_refined
Верю, конечно, Вы абсолютно правы.