дефэйс сайтов

saddat · 11.04.2007, 23:37

сегодня 4-м сайтам с различным хостингом и разными (не смс-ки) скриптами сделали дефэйс; единственное общее у всех - установленные коды ксап и сап.
разбираю логи в попытке понять через что влезли.
ксап, похоже, отпадает.

Часть ссылок от сап после восстановления висит в режиме ERROR - хотя все они показываются и работают.

SergVK · 12.04.2007, 09:34

Сегодня нашел в заявках на размещение вот такую ссылку:

Цитата:

http://www.***.ru/spages.php?ac=tag&...D0%B5+%D0%B8+% D0%B8%D0%B7%D0%BC%D0%B5%D0%BB%D1%8C%D1%87%D0%B5%D0 %BD%D0%B8%D0%B5

На самом деле там написано "Дробление и измельчение", но вполне мог быть експлоит.

Avelon · 12.04.2007, 10:53

Цитата:

Сообщение от saddat

сегодня 4-м сайтам с различным хостингом и разными (не смс-ки) скриптами сделали дефэйс; единственное общее у всех - установленные коды ксап и сап.
разбираю логи в попытке понять через что влезли.
ксап, похоже, отпадает.

Часть ссылок от сап после восстановления висит в режиме ERROR - хотя все они показываются и работают.

а почему ксап отпадает? давайте конкретные факты уязвимостей. А так это только слова.

кроме вас еще никто нам на это не жаловался.

msk01 · 12.04.2007, 11:05

SergVK, будь добр, продемонстрируй как туда можно вставить експлойт, с помощью которого можно сделать дефэйс?

msk01 · 12.04.2007, 11:07

SergVK, будь добр, продемонстрируй как туда можно вставить експлойт, с помощью которого можно сделать дефэйс?

SergVK · 12.04.2007, 14:13

Я просто порассуждаю, никоим образом не воспринимайте это как руководство к действию или советом по хаку всех 9000 сайтов в сапе.

Любой эксплоит ищет способ быть отображенным на атакуемой странице. А здесь вебмастер "по собственной воле" размещает ваш текст и текст ссылки на собственной странице.

Предположим, мы смогли передать ссылку в которой содержится примерно следующее:

Код:

.$_GET('a')

ссылки выводятся через echo.

тогда обратившись к странице, которую мы кстати знаем точно, но добавив в конце адреса

Код:

 &a=<script> #### </script>

Все, скрипт ### сидит в старнице, с сайтом можно сделать что заблагорассудится.........
Это самый простой случай. Не забывайте, ссылку даете вы!

msk01 · 12.04.2007, 14:45

Цитата:

Предположим, мы смогли передать ссылку в которой содержится примерно следующее:

Что за "предположим"? Продемонстрируйте!

SergVK · 12.04.2007, 15:30

Цитата:

Сообщение от msk01

Что за "предположим"? Продемонстрируйте!

дайте ID вашего ресурса..... невзлавымаемых сайтов не бывает.

saddat · 12.04.2007, 15:36

Avelon, я не утверждаю, что причина в вашем коде, нет.
но коды - это одно общее, что было на всех сайтах. только это.
В разборе логов не мастак, но от одного (пока одного) хакнутого сайта хостинг их предоставил - разберусь - отпишусь здесь обязательно.
всего доброго.

Avelon · 12.04.2007, 16:11

Цитата:

Сообщение от saddat

Avelon, я не утверждаю, что причина в вашем коде, нет.
но коды - это одно общее, что было на всех сайтах. только это.
В разборе логов не мастак, но от одного (пока одного) хакнутого сайта хостинг их предоставил - разберусь - отпишусь здесь обязательно.
всего доброго.

конечно, но лучше подробности в личку. если есть реально уязвимость - светить всем ее не надо

SergVK, то что ты написал исключено - такая ссылка не добавится.

11.04.2007, 23:37	#1
saddat Новичок Регистрация: 09.03.2007 Сообщений: 54 Вес репутации: 0	дефэйс сайтов сегодня 4-м сайтам с различным хостингом и разными (не смс-ки) скриптами сделали дефэйс; единственное общее у всех - установленные коды ксап и сап. разбираю логи в попытке понять через что влезли. ксап, похоже, отпадает. Часть ссылок от сап после восстановления висит в режиме ERROR - хотя все они показываются и работают.

12.04.2007, 14:13	#6
SergVK Специалист Регистрация: 25.01.2007 Сообщений: 345 Вес репутации: 218	Я просто порассуждаю, никоим образом не воспринимайте это как руководство к действию или советом по хаку всех 9000 сайтов в сапе. Любой эксплоит ищет способ быть отображенным на атакуемой странице. А здесь вебмастер "по собственной воле" размещает ваш текст и текст ссылки на собственной странице. Предположим, мы смогли передать ссылку в которой содержится примерно следующее: Код: .$_GET('a') ссылки выводятся через echo. тогда обратившись к странице, которую мы кстати знаем точно, но добавив в конце адреса Код: &a=<script> #### </script> Все, скрипт ### сидит в старнице, с сайтом можно сделать что заблагорассудится......... Это самый простой случай. Не забывайте, ссылку даете вы!

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Бан сайтов?	Rigor	Яндекс	9	09.05.2008 17:53
мало сайтов...	Rotten2	Вопросы по работе системы	4	12.03.2008 21:14
Приём сайтов	Zifrit	Вопросы по работе системы	9	03.01.2008 22:47
Пессимизация сайтов из-за...	MaulNet	Яндекс	17	06.07.2007 19:50

12.04.2007, 11:05	#4
msk01 Специалист Регистрация: 26.01.2007 Сообщений: 334 Вес репутации: 228	SergVK, будь добр, продемонстрируй как туда можно вставить експлойт, с помощью которого можно сделать дефэйс?

12.04.2007, 11:07	#5
msk01 Специалист Регистрация: 26.01.2007 Сообщений: 334 Вес репутации: 228	SergVK, будь добр, продемонстрируй как туда можно вставить експлойт, с помощью которого можно сделать дефэйс?

12.04.2007, 15:36	#9
saddat Новичок Регистрация: 09.03.2007 Сообщений: 54 Вес репутации: 0	Avelon, я не утверждаю, что причина в вашем коде, нет. но коды - это одно общее, что было на всех сайтах. только это. В разборе логов не мастак, но от одного (пока одного) хакнутого сайта хостинг их предоставил - разберусь - отпишусь здесь обязательно. всего доброго.