Меню
Что нового?

взломали сайт

glam

Новичок
взломали сайт

Всем привет.
Недавно заметил глюки в бд. Подумал - взломали что ли? Не думаю, что за глупости, наверное сам что-нибудь накосячил.
И смотрю, какие-то подозрительные файлы лежат... Елки-палки. В корне файл fm.php, дающий обзор всей файловой системы на сервере. Злоумышленником снят дамп базы, дамп тоже в корне лежит. Хорошо, что злоумышленник не снес вообще все...
Текущая конфига на сервере (сервер - дедикэйтед): nginx + mysql + php fast cgi

Вопросы:
1) как взломали?
2) что делать (как избежать повторного взлома)?

мне на ум приходит 2 версии:
1) как-то через cgi - только я вообще не знаю что это такое :(
2) троян запомнил пароль для ssh или стибрил пароль ftp, запомненный программой GlobalScape FTP
 
grigori

grigori

( ͡° ͜ʖ ͡°)
Команда форума
> 1) как взломали?
методов влома слишком много, чтобы угадать
может, у тебя пакет с дыркой стоит вроде старого phpbb

> 2) что делать (как избежать повторного взлома)?
выключить сайт, провериться на тряны, сменить пароли и нанять специалиста
 

glam

Новичок
1) в принципе понятно, что обширная область. phpbb нет, код полностью самописный
2) сайт не выключу, бакап на всяк случай сниму
пароли сменю

Я сейчас обнаружил, что в одном месте на странице поиска печаталось содержимое переменной $_GET['query'] без всякой очистки (очень печальная небрежность). Вопрос: можно ли залить файл php на сервер через http GET запрос, если в html печатается полностью текст из запроса? Могла эта дыра использоваться?
 
Wicked

Wicked

Новичок
Вопрос: можно ли залить файл php на сервер через http GET запрос, если в html печатается полностью текст из запроса? Могла эта дыра использоваться?
Нажмите для раскрытия...
нет. Нужен механизм, который именно позволяет сохранять файлы на сервера: фтп, ссх, кривой аплоад, кривой файловый кэш, ...

Сейчас имхо наиболее распространен именно этот механизм:
2) троян ... стибрил пароль ftp...
Нажмите для раскрытия...
 

glam

Новичок
Почему сомневаетесь в инъекции? Я вот склоняюсь больше к ней...
 
zerkms

zerkms

TDD infected
Команда форума
glam
напиши на тнт, там есть "шоу экстрасенсов". думаю получится чудесный выпуск
 

nerezus

Вселенский отказник
Я сейчас обнаружил, что в одном месте на странице поиска печаталось содержимое переменной $_GET['query'] без всякой очистки (очень печальная небрежность). Вопрос: можно ли залить файл php на сервер через http GET запрос, если в html печатается полностью текст из запроса? Могла эта дыра использоваться?
Нажмите для раскрытия...
Ну вот поэтоу и взломали, что не разбираешься в этом, но уже сам пишешь.

Ты сказал про XSS(Cross Site Scripting), с него можно дать ссылку админу и получить его куки, к примеру. Но это наверняка не оно.
Но я 100% уверен, что это не единственная твоя ошибка. Почему см. выше.

Почему сомневаетесь в инъекции? Я вот склоняюсь больше к ней...
Нажмите для раскрытия...
Потому что чтобы ее(php-inj) допустить, надо вообще мозгов не иметь, а раз ты написал что-то большое и управляешь дедиком, то они наверняка есть ;)
 
Войдите или зарегистрируйтесь для ответа.
Сверху