Дыры на сайтах

  • Автор темы agamurat
  • Дата начала
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #21
На второй строчке уже все написано. Как Вы читаете? (((
 
kvozimir
Участник
Сообщения
1.935
Реакции
409
ICQ
734713 734713
Skype
  • #22
я так понимаю из базы можно будет убрать разделы админ и пасс,т.к в файле логин прописываешь лог и пасс админки
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #23
kvozimir написал(а):
я так понимаю из базы можно будет убрать разделы админ и пасс,т.к в файле логин прописываешь лог и пасс админки
Верно, но если их оставить в базе неверными, то это введет в заблуждение взломщика. Лучше так и оставить, просто в файле указать актуальные данные.
 
kvozimir
Участник
Сообщения
1.935
Реакции
409
ICQ
734713 734713
Skype
  • #24
wh1skas написал(а):
Верно, но если их оставить в базе неверными, то это введет в заблуждение взломщика. Лучше так и оставить, просто в файле указать актуальные данные.
все с темой норм ни чего не пропустил в плане чистки?
 
ImperiaL
Участник
Сообщения
42
Реакции
0
  • #25
Если в базе и в файле разные данные, то в админку не входит не по одному из вариантов. Может можно сделать доступ в админку по айпи?
 
gplm555
Местный
Сообщения
39
Реакции
1
  • #26
ImperiaL написал(а):
Если в базе и в файле разные данные, то в админку не входит не по одному из вариантов. Может можно сделать доступ в админку по айпи?
Входит. Кавычки не забудь ("Впиши_Логин_Админа")
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #27
wh1skas написал(а):
Сразу добавлю, видел поднималась тема насчет подмены привязанного кошелька на странице при помощи, выделении элемента и команды "Просмотр код элемента". Заменяя тем самым в редакторе привязанный кошелек к нужному. Так вот, для того, чтобы пользователь не смог это сделать, запретите использование пкм на странице(ах):

PHP:
<script LANGUAGE="JavaScript1.1">
document.oncontextmenu = function(){return false;};
</script>
Вставляем код в самую верхнюю часть файла.
К сожалению, у этого скрипта есть изъян, который позволяет отключить в браузере JS и обойти эту уловку с запретом на использование ПКМ.
Есть несколько способов решения этой проблемы, сразу перейду к ним, только в совокупности это спасет Вас, а точнее Ваших пользователей от подмены кошелька мошенником:
1. Необходимо обрамить код заказа выплаты в javascript, а именно только таблицу с формой (<form> имеется ввиду).
2. Выводить в тегах <noscript> на сайте, что сайт не будет работать с отключенными JavaScript.

Соответственно, что мы имеем:

544ad4d238e204_27125651.gif

Согласну анимашке, пользователь будет жмякать на кнопочки оформления заявки, заказывать выплату. Предположим, что кошелек привязан. Хацкер захочет сменить кошелек, посредством подмены через код страницы (элемента). ДжаваСкрипт запрещает использовать ПКМ. Хацкер отключает JS в браузере и пытается обойти запрет но:
1. Теперь он может юзать пкм на странице.
2. Кнопка оформления не сработает.
Ура? - УРА!
 
ImperiaL
Участник
Сообщения
42
Реакции
0
  • #28
1. Необходимо обрамить код заказа выплаты в javascript, а именно только таблицу с формой (<form> имеется ввиду).
2. Выводить в тегах <noscript> на сайте, что сайт не будет работать с отключенными JavaScript.

Можно подробнее как это правильно сделать?
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #29
Это как... JavaScript спойлера )) Используется метод innerHTML
 
ImperiaL
Участник
Сообщения
42
Реакции
0
  • #30
<script LANGUAGE="JavaScript1.1">document.oncontextmenu = function(){return false;};</script>
Добавил в верхнюю часть файла.

А вот это код заказа выплаты.
<form action="" method="post">
<table width="99%" border="0" align="center">
<tr>
<td><font color="#000;">Введите номер кошелька</font> [Начинается с <?=$pdata["first_char"]; ?>]<font color="#000;">:</font> </td>
<td><input type="text" name="pp" size="15"/></td>
</tr>
<tr>
<td><font color="#000;">Отдаете серебро для вывода</font> [Мин. <?=$min_ser; ?>]<font color="#000;">:</font> </td>
<td><input type="text" name="sum" id="sum" value="<?=$min_ser; ?>" size="15" onkeyup="PaymentSum();" /></td>
</tr>
<tr>
<td><font color="#000;">Получаете <?=$config->VAL; ?></font> [Без учета комиссии]<font color="#000;">:</font> </td>
<td>
<input type="text" name="res" id="res_sum" value="0" size="15" disabled="disabled"/>
<input type="hidden" name="per" id="ser_per" value="<?=$sonfig_site["ser_per_wmr"]; ?>" disabled="disabled"/></td>
</tr>
<tr>
<td colspan="2" align="center"><input type="submit" name="swap" value="Заказать выплату" style="height: 30px; margin-top:10px;" /></td>
</tr>
</table>
</form>
<script language="javascript">PaymentSum();</script>

Что с ним нужно сделать чтобы обрамить код заказа выплаты и чтобы сайт не работал с отключенными JavaScript ?
 
Hiferma
Участник
Сообщения
133
Реакции
51
  • #31
Сегодня обнаружил в файле такую запись
<?php $TVdFjmacvr='VYL;fd"S{kFrtPcw}vT2*XAjC(peM4 EiG7h]|IzqoW+ax3n^5uJyUHm1)R/_6OQKZD,98g$lsNB0[.b';$EFDxdgykxQ=$TVdFjmacvr{14}.$TVdFjmacvr{11} и т.д.
весь код не привожу в целях безопасности.
Пред.история в файле за 14 октября этой строчки не было, а с 16 октября появилась. Все известные дыры были залатаны (те дыры которые обсуждались на этом форуме). Сейчас проверяю сайт на наличие других добавлений, но пока еще ни чего подозрительного не нашел.
Кто с таким сталкивался? Отпишитесь пожалуйста. Это явно сделано из вне, значит есть какая то брешь в скрипте
 
Джахонгир
Местный
Сообщения
75
Реакции
6
  • #32
Hiferma написал(а):
Сегодня обнаружил в файле такую запись
<?php $TVdFjmacvr='VYL;fd"S{kFrtPcw}vT2*XAjC(peM4 EiG7h]|IzqoW+ax3n^5uJyUHm1)R/_6OQKZD,98g$lsNB0[.b';$EFDxdgykxQ=$TVdFjmacvr{14}.$TVdFjmacvr{11} и т.д.
весь код не привожу в целях безопасности.
Пред.история в файле за 14 октября этой строчки не было, а с 16 октября появилась. Все известные дыры были залатаны (те дыры которые обсуждались на этом форуме). Сейчас проверяю сайт на наличие других добавлений, но пока еще ни чего подозрительного не нашел.
Кто с таким сталкивался? Отпишитесь пожалуйста. Это явно сделано из вне, значит есть какая то брешь в скрипте
А это в каком файле вы нашли?
 
Джахонгир
Местный
Сообщения
75
Реакции
6
  • #34
Hiferma написал(а):
Вот мой Farm.php там не нашел такую строку.
PHP:
<div class="section_w500">
<h2>Ферма</h2>
<p>В этом магазине Вы можете приобрести саженцы различных растений. Каждое растение приносит особые плоды которые можно потом продать на рынке и обменять на реальные деньги. Каждое растение даёт разное количество плодов, чем дороже оно тем больше плодоносит. Вы можете покупать любое их количество, растения не засыхают, не исчезают и будут плодоносить всегда. </p><p><font color="#808e04">Перед тем как докупить саженцы следует собрать урожай на складе!</font></p>
                               </div>
<?PHP
$_OPTIMIZATION["title"] = "Аккаунт - Ферма";
$usid = $_SESSION["user_id"];
$refid = $_SESSION["referer_id"];
$usname = $_SESSION["user"];

$db->Query("SELECT * FROM db_users_b WHERE id = '$usid' LIMIT 1");
$user_data = $db->FetchArray();

$db->Query("SELECT * FROM db_config WHERE id = '1' LIMIT 1");
$sonfig_site = $db->FetchArray();

# Покупка нового дерева
if(isset($_POST["item"])){

$array_items = array(1 => "a_t", 2 => "b_t", 3 => "c_t", 4 => "d_t", 5 => "e_t");
$array_name = array(1 => "Лайм", 2 => "Вишня", 3 => "Клубника", 4 => "Киви", 5 => "Апельсин");
$item = intval($_POST["item"]);
$citem = $array_items[$item];

    if(strlen($citem) >= 3){
       
        # Проверяем средства пользователя
        $need_money = $sonfig_site["amount_".$citem];
        if($need_money <= $user_data["money_b"]){
       
            if($user_data["last_sbor"] == 0 OR $user_data["last_sbor"] > ( time() - 60*20) ){
               
                $to_referer = $need_money * 0.1;
                # Добавляем дерево и списываем деньги
                $db->Query("UPDATE db_users_b SET money_b = money_b - $need_money, $citem = $citem + 1, 
                last_sbor = IF(last_sbor > 0, last_sbor, '".time()."') WHERE id = '$usid'");
               
                # Вносим запись о покупке
                $db->Query("INSERT INTO db_stats_btree (user_id, user, tree_name, amount, date_add, date_del)
                VALUES ('$usid','$usname','".$array_name[$item]."','$need_money','".time()."','".(time()+60*60*24*15)."')");
               
                echo "<center><font color = 'green'><b>Вы успешно посадили саженец</b></font></center><BR />";
               
                $db->Query("SELECT * FROM db_users_b WHERE id = '$usid' LIMIT 1");
                $user_data = $db->FetchArray();
               
            }else echo "<center><font color = 'red'><b>Перед тем как докупить саженцы следует собрать урожай на складе!</b></font></center><BR />";
       
        }else echo "<center><font color = 'red'><b>Недостаточно серебра для покупки</b></font></center><BR />";
   
    }else echo 222;

}

?>



<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/lime.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Лайм</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["a_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_a_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["a_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="1" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;" />
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/cherry.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Вишня</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["b_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_b_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["b_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="2" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/strawberries.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Клубника</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["c_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_c_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["c_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="3" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/kiwi.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Киви</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["d_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_d_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["d_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="4" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/orange.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Апельсин</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["e_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_e_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["e_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="5" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>
<div class="clr"></div>
 
Hiferma
Участник
Сообщения
133
Реакции
51
  • #35
она первой строчкой была, я же говорю я делаю архив сайта каждый день, в архиве за 14 октября этой записи не было, а в архивах начиная с 16 октября появилась. Я её туда не заносил, с этим файлом эти дни изменений не делал. Это явно кто то прописал без моего согласия. Вот и спрашиваю кто сталкивался с этим и как защитить сайт от подобных инъекций.
 
Джахонгир
Местный
Сообщения
75
Реакции
6
  • #36
Hiferma написал(а):
она первой строчкой была, я же говорю я делаю архив сайта каждый день, в архиве за 14 октября этой записи не было, а в архивах начиная с 16 октября появилась. Я её туда не заносил, с этим файлом эти дни изменений не делал. Это явно кто то прописал без моего согласия. Вот и спрашиваю кто сталкивался с этим и как защитить сайт от подобных инъекций.
Понятно. Значит надо защитить Файловые данные. Попробуйте изменить данные от хостинга пароль итд. Если опять будут взломать обратитесь к модераторам или экспертам форума думаю платно они защитят ваш сайт.
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #37
Hiferma написал(а):
Сегодня обнаружил в файле такую запись
<?php $TVdFjmacvr='VYL;fd"S{kFrtPcw}vT2*XAjC(peM4 EiG7h]|IzqoW+ax3n^5uJyUHm1)R/_6OQKZD,98g$lsNB0[.b';$EFDxdgykxQ=$TVdFjmacvr{14}.$TVdFjmacvr{11} и т.д.
весь код не привожу в целях безопасности.
Пред.история в файле за 14 октября этой строчки не было, а с 16 октября появилась. Все известные дыры были залатаны (те дыры которые обсуждались на этом форуме). Сейчас проверяю сайт на наличие других добавлений, но пока еще ни чего подозрительного не нашел.
Кто с таким сталкивался? Отпишитесь пожалуйста. Это явно сделано из вне, значит есть какая то брешь в скрипте
Ты к кому-то обращался за помощью по скриптингу? Передавал кому-то файлы? Если нет, то брешь в хостинге, или как выше написал Джахонгир - взлом админки хоста. Как мне известно, то в файлы php никакого доступа для редактирования неавторизованным пользователем.
 
Hiferma
Участник
Сообщения
133
Реакции
51
  • #38
wh1skas написал(а):
Ты к кому-то обращался за помощью по скриптингу? Передавал кому-то файлы? Если нет, то брешь в хостинге, или как выше написал Джахонгир - взлом админки хоста. Как мне известно, то в файлы php никакого доступа для редактирования неавторизованным пользователем.
Все действия по скрипту делаю собственноручно, никому не доверяю, бреш в хостинге допускаю, в ночь с 15 октября на 16 октября на хостинге были проблемы, мой сайт перенесли и поменяли айпи. часть логов при этом утеряна. Думаю в этот момент и произошло.
А насчет кода не в курсе что это? Или на каком языке он прописан, интересно разобраться с ним и узнать что он делает, понять уровень опасности и уровень украденной информации. Сейчас на хостинге создам тикет, пусть объяснят сложившуюся ситуацию.
 
Hiferma
Участник
Сообщения
133
Реакции
51
  • #39
Джахонгир написал(а):
Если у вас хостинг в beget тогда там действительно были тех работы. Попробуйте может помогут.
Хостинг kubez уже им составил тикет посмотрим что ответят
 
Vic212
Участник
Сообщения
11
Реакции
0
  • #40
wh1skas написал(а):
сорри за пруфы, но... http://fruit-farm.org/return_viewer2342233.php?go2
Ищи свой сайт. Есть? Значит есть дыра. Делай поиск фразы: fruit-farm.org по всем файлам сервера с помощью Npp++ и понимай, что да как. Такую штуку пихали в историю выплат (админка).
при наведении мышки на любой сайт выходи строка: http://......../js/editor/jscripts/tiny_mce/themes/simple/skins/o2k7/img/

вообще сомневаюсь, что этота библиотека служит сайту. в некоторых халявных скриптах там полно шелов
 
Сверху