Я прогаю на пхп уже год, но не понял, как они сломали его ?

[alienzzzz]

Я прогаю на пхп уже год, но не понял, как они сломали его ?

Страно :
1. вот у меня скрипт.
2. классы и все такое
3. каким образом можно его посмотреть ????
4. Это же не возможно.
5. Если руки у тебя правильно растут, то ты уберешь все CGI с сайта, поставишь в инклуде путь в /usr/local/php_classes . и права наставишь только чтение только для апача. Ах да еще скажешь в пхп.ини =) не использовать глобалы! и сесии не в куках хранить а только в файлах и переменую PHPID переделать в MY_ID (хотя это лишнее =) ).

У меня линукс мандрайк, пхп последний 423 помоему и апач 2, и мускл(рута без пароля исключил =)).

Так раскажите мне, каким образом можно посмотреть содержимое моего скрипта !!!!!!

 

[ONK]

1. Найти дыру аплоада, залить тебе скриптец небольшой, и с помощью него выкачать все скрипты с твоего сайта...
2. Найти среди твоих скриптов тот который вышлет всё содержимое твоего сайта.
3. Скачать содержимоетвоего сайта в раздела download (раздел сайта )
4. Воспользоваться ftp,ssh идр видом доступа к твоему сайту (подразумевается что параметры доступа укзаны на главной странице твоего сайта)

Остально из области колдовства. -)

 

[alienzzzz]

Автор оригинала: ONK
1. Найти дыру аплоада, залить тебе скриптец небольшой, и с помощью него выкачать все скрипты с твоего сайта...

У меня нет аплоада !

2. Найти среди твоих скриптов тот который вышлет всё содержимое твоего сайта.
Это как ?

3. Скачать содержимоетвоего сайта в раздела download (раздел сайта )
мммда интересно

4. Воспользоваться ftp,ssh идр видом доступа к твоему сайту (подразумевается что параметры доступа укзаны на главной странице твоего сайта)
Я их постоянно обновляю . а типа на сайте писать зайди ssh вот мой логин и пароль =))))))
Остально из области колдовства. -)

 

[Varg]

как они сломали его

так "ОНИ" "ЕГО" уже сломали? Или ещё нет?

 

[alienzzzz]

как я понял они скрипт с сайта
может я чего не понял

 

[Макс]

а ссылку на свой скрипт сюда кинь

 

[alienzzzz]

www.krv.ru

 

[RomikChef]

даже не глядя я могу сказать - сайт сделал по супер-крутой методике index.php?include=news

 

[Sirius]

io не хватает, где io - не input/output а krivo.ru

А про хостинг ты что можешь сказать...??? Вот Димыной прогой мона всё, что хошь смотреть на дырявых хостингах!

 

[alienzzzz]

Автор оригинала: RomikChef
даже не глядя я могу сказать - сайт сделал по супер-крутой методике index.php?include=news

Ты блин на что смотришь, А ?
Ты мне исходник покажи на например object_work.php !

 

[Alien]

А сайт живой? Или уже доломали?

У меня по http он не виден ни из сети mtu ни из сети комкора.

 

[Varg]

Или уже доломали?

Похоже на то. Мне тоже не дали доступ.

 

[Crazy]

Hint: сделай traceroute. Ломатели, блин...

 

[alienzzzz]

Просто некоторые ..... (провайдеры), а именно www.starlink.ru мне поменяли ИП адрес.
Сори. обещали сделать сегодня завтра !

 

[BlackWidow]

1. Найти дыру аплоада, залить тебе скриптец небольшой, и с помощью него выкачать все скрипты с твоего сайта...

Прости, нельзя ли конкретнее, как эти дыры выглядят?

 

[alienzzzz]

Я не знаю как выглядят дыры =).
но вот у меня было такое :
1. У меня редактор vim , так вот он мне делал в том-же каталоге темп файлы с расширением *.php~ и поэтому некто мог просто набрать в браузере, например, index.php~, а браузер не был настроен на такое расхирение, поэтому показывает просто текст скрипта.
---
2. Нам сайт сначала делал "дизайнер", так вот он мне сделал, что в MYSQL мог войти любой под именем root =)))), т.е. можно посмотреть структуру таблиц, посмотреть какой контекст выводиться и вставить свой и т.д. и т.п.
---
Это конечено все уже пофиксенно, но факт есть факт.
Наверно так и выглядят дырки. =)
---
Что еще было замечено : Что если все своими руками прогать(т.е. без всяких Dreamweaver, FrontPage и .т.д.) то намного скрипт чище получается ! ===)))))) хотя это и так ясно =)

 

[Crazy]

Автор оригинала: alienzzzz
Я не знаю как выглядят дыры =).
но вот у меня было такое :
1. У меня редактор vim , так вот он мне делал в том-же каталоге темп файлы с расширением *.php~ и поэтому некто мог просто набрать в браузере, например, index.php~, а браузер не был настроен на такое расхирение, поэтому показывает просто текст скрипта.

Ты не познал ДАО инструкции backupdir. Кроме того, править по живому -- очень дурной тон.

 

[alienzzzz]

Автор оригинала: Crazy
Ты не познал ДАО инструкции backupdir. Кроме того, править по живому -- очень дурной тон.

Не спорю. но теперь познал
править по живому плохо, зато скорость отладки повышается !

 

[Crazy]

Второе хорошее правило -- запретить веб-серверу раздавать резервные копии исходников.

 

[alienzzzz]

угу . Я так все и сделал =)