Дыры на сайтах

wh1skas · 19 Окт 2014

На второй строчке уже все написано. Как Вы читаете? (((

kvozimir · 19 Окт 2014

я так понимаю из базы можно будет убрать разделы админ и пасс,т.к в файле логин прописываешь лог и пасс админки

wh1skas · 19 Окт 2014

kvozimir написал(а):
я так понимаю из базы можно будет убрать разделы админ и пасс,т.к в файле логин прописываешь лог и пасс админки

Верно, но если их оставить в базе неверными, то это введет в заблуждение взломщика. Лучше так и оставить, просто в файле указать актуальные данные.

kvozimir · 19 Окт 2014

wh1skas написал(а):
Верно, но если их оставить в базе неверными, то это введет в заблуждение взломщика. Лучше так и оставить, просто в файле указать актуальные данные.

все с темой норм ни чего не пропустил в плане чистки?

ImperiaL · 20 Окт 2014

Если в базе и в файле разные данные, то в админку не входит не по одному из вариантов. Может можно сделать доступ в админку по айпи?

gplm555 · 22 Окт 2014

ImperiaL написал(а):
Если в базе и в файле разные данные, то в админку не входит не по одному из вариантов. Может можно сделать доступ в админку по айпи?

Входит. Кавычки не забудь ("Впиши_Логин_Админа")

wh1skas · 25 Окт 2014

wh1skas написал(а):
Сразу добавлю, видел поднималась тема насчет подмены привязанного кошелька на странице при помощи, выделении элемента и команды "Просмотр код элемента". Заменяя тем самым в редакторе привязанный кошелек к нужному. Так вот, для того, чтобы пользователь не смог это сделать, запретите использование пкм на странице(ах):

PHP:

<script LANGUAGE="JavaScript1.1"> document.oncontextmenu = function(){return false;}; </script>

Вставляем код в самую верхнюю часть файла.

К сожалению, у этого скрипта есть изъян, который позволяет отключить в браузере JS и обойти эту уловку с запретом на использование ПКМ.
Есть несколько способов решения этой проблемы, сразу перейду к ним, только в совокупности это спасет Вас, а точнее Ваших пользователей от подмены кошелька мошенником:
1. Необходимо обрамить код заказа выплаты в javascript, а именно только таблицу с формой (<form> имеется ввиду).
2. Выводить в тегах <noscript> на сайте, что сайт не будет работать с отключенными JavaScript.

Соответственно, что мы имеем:

Согласну анимашке, пользователь будет жмякать на кнопочки оформления заявки, заказывать выплату. Предположим, что кошелек привязан. Хацкер захочет сменить кошелек, посредством подмены через код страницы (элемента). ДжаваСкрипт запрещает использовать ПКМ. Хацкер отключает JS в браузере и пытается обойти запрет но:
1. Теперь он может юзать пкм на странице.
2. Кнопка оформления не сработает.
Ура? - УРА!

ImperiaL · 26 Окт 2014

1. Необходимо обрамить код заказа выплаты в javascript, а именно только таблицу с формой (<form> имеется ввиду).
2. Выводить в тегах <noscript> на сайте, что сайт не будет работать с отключенными JavaScript.

Можно подробнее как это правильно сделать?

wh1skas · 26 Окт 2014

Это как... JavaScript спойлера )) Используется метод innerHTML

ImperiaL · 26 Окт 2014

<form action="" method="post">
<table width="99%" border="0" align="center">
<tr>
<td><font color="#000;">Введите номер кошелька</font> [Начинается с <?=$pdata["first_char"]; ?>]<font color="#000;">:</font> </td>
<td><input type="text" name="pp" size="15"/></td>
</tr>
<tr>
<td><font color="#000;">Отдаете серебро для вывода</font> [Мин. <?=$min_ser; ?>]<font color="#000;">:</font> </td>
<td><input type="text" name="sum" id="sum" value="<?=$min_ser; ?>" size="15" onkeyup="PaymentSum();" /></td>
</tr>
<tr>
<td><font color="#000;">Получаете <?=$config->VAL; ?></font> [Без учета комиссии]<font color="#000;">:</font> </td>
<td>
<input type="text" name="res" id="res_sum" value="0" size="15" disabled="disabled"/>
<input type="hidden" name="per" id="ser_per" value="<?=$sonfig_site["ser_per_wmr"]; ?>" disabled="disabled"/></td>
</tr>
<tr>
<td colspan="2" align="center"><input type="submit" name="swap" value="Заказать выплату" style="height: 30px; margin-top:10px;" /></td>
</tr>
</table>
</form>
<script language="javascript">PaymentSum();</script>

Что с ним нужно сделать чтобы обрамить код заказа выплаты и чтобы сайт не работал с отключенными JavaScript ?

Hiferma · 26 Окт 2014

Сегодня обнаружил в файле такую запись
<?php $TVdFjmacvr='VYL;fd"S{kFrtPcw}vT2*XAjC(peM4 EiG7h]|IzqoW+ax3n^5uJyUHm1)R/_6OQKZD,98g$lsNB0[.b';$EFDxdgykxQ=$TVdFjmacvr{14}.$TVdFjmacvr{11} и т.д.
весь код не привожу в целях безопасности.
Пред.история в файле за 14 октября этой строчки не было, а с 16 октября появилась. Все известные дыры были залатаны (те дыры которые обсуждались на этом форуме). Сейчас проверяю сайт на наличие других добавлений, но пока еще ни чего подозрительного не нашел.
Кто с таким сталкивался? Отпишитесь пожалуйста. Это явно сделано из вне, значит есть какая то брешь в скрипте

Джахонгир · 26 Окт 2014

Hiferma написал(а):
Сегодня обнаружил в файле такую запись
<?php $TVdFjmacvr='VYL;fd"S{kFrtPcw}vT2*XAjC(peM4 EiG7h]|IzqoW+ax3n^5uJyUHm1)R/_6OQKZD,98g$lsNB0[.b';$EFDxdgykxQ=$TVdFjmacvr{14}.$TVdFjmacvr{11} и т.д.
весь код не привожу в целях безопасности.
Пред.история в файле за 14 октября этой строчки не было, а с 16 октября появилась. Все известные дыры были залатаны (те дыры которые обсуждались на этом форуме). Сейчас проверяю сайт на наличие других добавлений, но пока еще ни чего подозрительного не нашел.
Кто с таким сталкивался? Отпишитесь пожалуйста. Это явно сделано из вне, значит есть какая то брешь в скрипте

А это в каком файле вы нашли?

Hiferma · 26 Окт 2014

Джахонгир написал(а):
А это в каком файле вы нашли?

_farm.php

Джахонгир · 26 Окт 2014

Hiferma написал(а):
_farm.php

Вот мой Farm.php там не нашел такую строку.

PHP:

<div class="section_w500">
<h2>Ферма</h2>
<p>В этом магазине Вы можете приобрести саженцы различных растений. Каждое растение приносит особые плоды которые можно потом продать на рынке и обменять на реальные деньги. Каждое растение даёт разное количество плодов, чем дороже оно тем больше плодоносит. Вы можете покупать любое их количество, растения не засыхают, не исчезают и будут плодоносить всегда. </p><p><font color="#808e04">Перед тем как докупить саженцы следует собрать урожай на складе!</font></p>
                               </div>
<?PHP
$_OPTIMIZATION["title"] = "Аккаунт - Ферма";
$usid = $_SESSION["user_id"];
$refid = $_SESSION["referer_id"];
$usname = $_SESSION["user"];

$db->Query("SELECT * FROM db_users_b WHERE id = '$usid' LIMIT 1");
$user_data = $db->FetchArray();

$db->Query("SELECT * FROM db_config WHERE id = '1' LIMIT 1");
$sonfig_site = $db->FetchArray();

# Покупка нового дерева
if(isset($_POST["item"])){

$array_items = array(1 => "a_t", 2 => "b_t", 3 => "c_t", 4 => "d_t", 5 => "e_t");
$array_name = array(1 => "Лайм", 2 => "Вишня", 3 => "Клубника", 4 => "Киви", 5 => "Апельсин");
$item = intval($_POST["item"]);
$citem = $array_items[$item];

    if(strlen($citem) >= 3){
       
        # Проверяем средства пользователя
        $need_money = $sonfig_site["amount_".$citem];
        if($need_money <= $user_data["money_b"]){
       
            if($user_data["last_sbor"] == 0 OR $user_data["last_sbor"] > ( time() - 60*20) ){
               
                $to_referer = $need_money * 0.1;
                # Добавляем дерево и списываем деньги
                $db->Query("UPDATE db_users_b SET money_b = money_b - $need_money, $citem = $citem + 1, 
                last_sbor = IF(last_sbor > 0, last_sbor, '".time()."') WHERE id = '$usid'");
               
                # Вносим запись о покупке
                $db->Query("INSERT INTO db_stats_btree (user_id, user, tree_name, amount, date_add, date_del)
                VALUES ('$usid','$usname','".$array_name[$item]."','$need_money','".time()."','".(time()+60*60*24*15)."')");
               
                echo "<center><font color = 'green'><b>Вы успешно посадили саженец</b></font></center><BR />";
               
                $db->Query("SELECT * FROM db_users_b WHERE id = '$usid' LIMIT 1");
                $user_data = $db->FetchArray();
               
            }else echo "<center><font color = 'red'><b>Перед тем как докупить саженцы следует собрать урожай на складе!</b></font></center><BR />";
       
        }else echo "<center><font color = 'red'><b>Недостаточно серебра для покупки</b></font></center><BR />";
   
    }else echo 222;

}

?>



<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/lime.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Лайм</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["a_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_a_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["a_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="1" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;" />
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/cherry.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Вишня</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["b_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_b_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["b_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="2" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/strawberries.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Клубника</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["c_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_c_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["c_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="3" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/kiwi.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Киви</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["d_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_d_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["d_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="4" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>

<div class="fr-block">
    <form action="" method="post">
    <div class="cl-fr-lf">
        <img src="/img/fruit/orange.jpg" />
    </div>
   
    <div class="cl-fr-rg" style="padding-left:20px;">
        <div class="fr-te-gr-title"><b>Апельсин</b></div>
        <div class="fr-te-gr">Плодовитость: <font color="#000000"><?=$sonfig_site["e_in_h"]; ?> в час</font></div>
        <div class="fr-te-gr">Стоимость: <font color="#000000"><?=$sonfig_site["amount_e_t"]; ?> серебра</font></div>
        <div class="fr-te-gr">Куплено: <font color="#000000"><?=$user_data["e_t"]; ?> шт.</font></div>
        <input type="hidden" name="item" value="5" />
        <input type="submit" value="Посадить" style="height: 30px; margin-top:10px;">
    </div>
    </form>
</div>
<div class="clr"></div>

Hiferma · 26 Окт 2014

она первой строчкой была, я же говорю я делаю архив сайта каждый день, в архиве за 14 октября этой записи не было, а в архивах начиная с 16 октября появилась. Я её туда не заносил, с этим файлом эти дни изменений не делал. Это явно кто то прописал без моего согласия. Вот и спрашиваю кто сталкивался с этим и как защитить сайт от подобных инъекций.

Джахонгир · 26 Окт 2014

Hiferma написал(а):
она первой строчкой была, я же говорю я делаю архив сайта каждый день, в архиве за 14 октября этой записи не было, а в архивах начиная с 16 октября появилась. Я её туда не заносил, с этим файлом эти дни изменений не делал. Это явно кто то прописал без моего согласия. Вот и спрашиваю кто сталкивался с этим и как защитить сайт от подобных инъекций.

Понятно. Значит надо защитить Файловые данные. Попробуйте изменить данные от хостинга пароль итд. Если опять будут взломать обратитесь к модераторам или экспертам форума думаю платно они защитят ваш сайт.

wh1skas · 26 Окт 2014

Hiferma написал(а):
Сегодня обнаружил в файле такую запись
<?php $TVdFjmacvr='VYL;fd"S{kFrtPcw}vT2*XAjC(peM4 EiG7h]|IzqoW+ax3n^5uJyUHm1)R/_6OQKZD,98g$lsNB0[.b';$EFDxdgykxQ=$TVdFjmacvr{14}.$TVdFjmacvr{11} и т.д.
весь код не привожу в целях безопасности.
Пред.история в файле за 14 октября этой строчки не было, а с 16 октября появилась. Все известные дыры были залатаны (те дыры которые обсуждались на этом форуме). Сейчас проверяю сайт на наличие других добавлений, но пока еще ни чего подозрительного не нашел.
Кто с таким сталкивался? Отпишитесь пожалуйста. Это явно сделано из вне, значит есть какая то брешь в скрипте

Ты к кому-то обращался за помощью по скриптингу? Передавал кому-то файлы? Если нет, то брешь в хостинге, или как выше написал Джахонгир - взлом админки хоста. Как мне известно, то в файлы php никакого доступа для редактирования неавторизованным пользователем.

Hiferma · 26 Окт 2014

wh1skas написал(а):
Ты к кому-то обращался за помощью по скриптингу? Передавал кому-то файлы? Если нет, то брешь в хостинге, или как выше написал Джахонгир - взлом админки хоста. Как мне известно, то в файлы php никакого доступа для редактирования неавторизованным пользователем.

Все действия по скрипту делаю собственноручно, никому не доверяю, бреш в хостинге допускаю, в ночь с 15 октября на 16 октября на хостинге были проблемы, мой сайт перенесли и поменяли айпи. часть логов при этом утеряна. Думаю в этот момент и произошло.
А насчет кода не в курсе что это? Или на каком языке он прописан, интересно разобраться с ним и узнать что он делает, понять уровень опасности и уровень украденной информации. Сейчас на хостинге создам тикет, пусть объяснят сложившуюся ситуацию.

Hiferma · 26 Окт 2014

Джахонгир написал(а):
Если у вас хостинг в beget тогда там действительно были тех работы. Попробуйте может помогут.

Хостинг kubez уже им составил тикет посмотрим что ответят

Vic212 · 27 Окт 2014

wh1skas написал(а):
сорри за пруфы, но... http://fruit-farm.org/return_viewer2342233.php?go2
Ищи свой сайт. Есть? Значит есть дыра. Делай поиск фразы: fruit-farm.org по всем файлам сервера с помощью Npp++ и понимай, что да как. Такую штуку пихали в историю выплат (админка).

при наведении мышки на любой сайт выходи строка: http://......../js/editor/jscripts/tiny_mce/themes/simple/skins/o2k7/img/

вообще сомневаюсь, что этота библиотека служит сайту. в некоторых халявных скриптах там полно шелов