Дыры на сайтах

  • Автор темы agamurat
  • Дата начала
agamurat
Участник
Сообщения
8
Реакции
0
Предлагаю делится всевозможными дырами на сайтах а так же с их подробным устранением !
В основном интересует дыры на сайтах (игры с выводом денег ).
Хочется заранее знать с чем придётся столкнутся и как с этим бороться !
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
сорри за пруфы, но... http://fruit-farm.org/return_viewer2342233.php?go2
Ищи свой сайт. Есть? Значит есть дыра. Делай поиск фразы: fruit-farm.org по всем файлам сервера с помощью Npp++ и понимай, что да как. Такую штуку пихали в историю выплат (админка).
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
MODERN написал(а):
Там половина сайтов не робят :rofl:
С этой странички на мой сайт раньше частенько заходили )) но обламывались.

А там пруфы ведут на дырку в tiny_mce. Если у кого-то уже закрыта, то Access Denied гласит, или 404. Смотря кто как закрывал )))) А если попробовать позаходить не кликая по ссылкам источника, а например, копированием текста (урл), то почти все работают ))
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
Кстати о tiny_mce. Я бы предложил Вам залочить папку от недоброжелателей. Есть шелл с баттн.пхп, который пихают в эту папку и снимают денюшку без вывода в статистику выплат. Там же найдете файл лицензии, который надо удалить. Залочить папку предлагаю при помощи .htaccess
Идем в хранилище: / js / editor / jscripts /
в эту папку заливаете файл .htaccess
Погуглив различные способы защиты при помощи.htaccess, выберите наиболее подходящие для Вас. У меня например требует логин и пароль, которые зашифрованы в корневой папке сайта, к которой ограничен доступ.
 
agamurat
Участник
Сообщения
8
Реакции
0
Нашел в сети хороший ресурс
AI-Bolit — это бесплатный сканер вирусов, хакерских шеллов, бэкдоров, спам-рассыльщиков и других вредоносных скриптов на хостинге
перейти на сайт
 
robertoman
Участник
Сообщения
157
Реакции
8
Только зашол в тему, увидел ошибку просто сразу машинально установил права на папку 444. Теперь при переходе на сайт 403 ошибку лупит по той ссылке. Значит эта уязвимость закрыта? или нужно вырезать из кода?

И есть ли еще замеченные уязвимости? Добавлю: Можно ли удалить оттуда ферму с мониторинга? И почему многих ферм на скрипте FF там нет?
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
Вырезать не надо. Надо закрыть доступ от шаловливых рук всеми известными способами ))
 
robertoman
Участник
Сообщения
157
Реакции
8
Установить права только чтение, и никто не тронет))
Меня волнует first первый пользователь, что ему сделать чтобы он стал безвредным?
И можно ли обойтись обычным хостингом без vps под фруктовую ферму?
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
robertoman написал(а):
Установить права только чтение, и никто не тронет))
Меня волнует first первый пользователь, что ему сделать чтобы он стал безвредным?
И можно ли обойтись обычным хостингом без vps под фруктовую ферму?
Обычный хостинг, у меня от timeweb, все вери найс. У пользователя поменяй мыло, пароли. А если добавишь md5 на пароли, то взлетишь к успеху )) Соответственно, необходимо будет мудро убрать из базы столбец с оригинальными паролями.
 
Виол
Участник
Сообщения
22
Реакции
0
  • #10
А если я JS папку переименую и в файлах пути поменяю тоже защита?Вернее так и зделал.
Теперь http://fruit-farm.org/return_viewer2342233.php отсюда на 404 мою перекидывает.
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #11
А смысл переименовывать, все равно кому надо, те найдут правильный путь. Проще и надежнее права READ ONLY на папку поставить + защитить .htaccess'ом.
 
Последнее редактирование:
robertoman
Участник
Сообщения
157
Реакции
8
  • #12
wh1skas написал(а):
А смысл переименовывать, все равно кому надо, те найдут правильный путь. Проще и надежнее права READ ONLY на папку поставить + защитить .htaccess'ом.
Вообщем я заблочил, пересмотрел все файлы не могу понять почему даже при изменении деректории site.ru на site1.ru не пропадает с мониторинга, каким образом он туда заносится? (или крон проверяет новые фермы через определённое время?) И смогли ли вы удалить свою ферму с этого сайта? видел многих проектов там нет, а многие и есть.
 
robertoman
Участник
Сообщения
157
Реакции
8
  • #13
Еще вопрос, закинул .htaccess в папку js/ с содержанием

PHP:
php_flag engine off
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
Нужно ли его гдето подключать, и поможет ли этот код защитить файлы?
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #14
почитай про защиту по ip, разреши только себе вход в директорию. тут я смотрю идет защита от каких то файлов с расширением Hta, если я правильно понимаю.
 
art199908
Участник
Сообщения
271
Реакции
36
  • #15
и на счет .htaccess нужно его создавать в формате txt? и закидывать в папку куда указал путь в файле и соответственно где будет лежать .htpasswd?
 
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #16
Сразу добавлю, видел поднималась тема насчет подмены привязанного кошелька на странице при помощи, выделении элемента и команды "Просмотр код элемента". Заменяя тем самым в редакторе привязанный кошелек к нужному. Так вот, для того, чтобы пользователь не смог это сделать, запретите использование пкм на странице(ах):

PHP:
<script LANGUAGE="JavaScript1.1">
document.oncontextmenu = function(){return false;};
</script>
Вставляем код в самую верхнюю часть файла.
 
mobisaite
Участник
Сообщения
308
Реакции
63
  • #17
автовыплаты 107 строка попадается в некоторых файлах
PHP:
<script type=\"text/javascript\" src=\"http://wwes.ru/license.php\"></script>
там где Выплачено
 
mamokrob
Участник
Сообщения
27
Реакции
21
ICQ
897313 897313
  • #18
Вот так будет правильнее =)

Код:
order allow,deny
allow from all
deny from <определенный ip>
прописать в корне

а если хочешь забанить несколько ip то вот так

Код:
order allow,deny
allow from all
deny from 37.252.76.155, 12.123.456.12, 34.456.789.34, 21.654.321.123
код заглушку на выплату на кошелек определенный

в файлы вывода после строчки
Код:
        if( !ereg("^[0-9]{7}$", substr($purse,1)) ) return false;
добавить
Код:
        if( !ereg("12345678", substr($purse,1)) ) return false;
где 12345678 номер кошелька.
поставь свой номер, и протестируй.

art199908 написал(а):
написано выплачено
Код:
          if( !ereg("12345678", substr($purse,2)) ) return false;
 
Последнее редактирование модератором:
wh1skas
wildcake
Участник
Сообщения
1.017
Реакции
432
ICQ
564739604 564739604
  • #19
Почистите тему от ненужных сообщений и выявлений ошибок, плиз. Оставлять тут инфо, согласно фактическим кодам закрытия дыр.
Согласно практике взломов и аннулирования Ваших счетов через админку Вашей фермы, мною была продумана стратегия защиты админки. Очень простой до безумия способ.
Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".

Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:

В папке admin есть файл login

можно привести к виду строку:

PHP:
if(strtolower($_POST["admlogin"]) == strtolower("Впиши_Логин_Админа") AND strtolower($_POST["admpass"]) == strtolower("А_ТУТ_ПАРОЛЬ") ){
 
Последнее редактирование:
art199908
Участник
Сообщения
271
Реакции
36
  • #20
wh1skas написал(а):
Почистите тему от ненужных сообщений и выявлений ошибок, плиз. Оставлять тут инфо, согласно фактическим кодам закрытия дыр.
Согласно практике взломов и аннулирования Ваших счетов через админку Вашей фермы, мною была продумана стратегия защиты админки. Очень прсотой до безумия способ.
Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".

Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:

В папке admin есть файл login

можно привести к виду строку:

PHP:
if(strtolower($_POST["admlogin"]) == strtolower("Впиши_Логин_Админа") AND strtolower($_POST["admpass"]) == strtolower("А_ТУТ_ПАРОЛЬ") ){
была строчка
Код:
    if(strtolower($_POST["admlogin"]) == strtolower($data_log["admin"]) AND strtolower($_POST["admpass"]) == strtolower($data_log["pass"]) ){
типо нигде не показывает логи и пароль от админа? А если его менять?
 
Сверху