- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
тоже идут запросы в user agent, подставляет
<?php eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59)); ?>
и в GET параметры подставляет
<?php+eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59));+?>
так и не понял что этот код делает, первый код после выполнения выдает "17I530VAu4" и что он им дает???
так и не понял что этот код делает, первый код после выполнения выдает "17I530VAu4" и что он им дает???
Это проверка. Если верстка полученной страницы сильно отличается или вообще не отдалась - это выполнилась функция die . Значит можно исполнять другой код php. Вот то, что будут выполнять потом может уже навредить конкретнее.
так и не понял что этот код делает, первый код после выполнения выдает "17I530VAu4" и что он им дает???
Это поиск RCE уязвимости. Если при выполнении запроса в результирующей странице будет "17I530VAu4", значит код успешно выполнился и уязвимость присутствует. И вместо безобидного echo "...." начнут засылать что-нибудь недоброе (эксплуатировать уязвимость).
netwind, gregzem, спасибо за ответы, буду теперь знать и вовремя реагировать если что)
и вовремя реагировать если что)
Не надо реагировать - такое надо отстреливать на подлёте.
Это то понятно :) Любопытно было с одной подсети идет спам или с разных) (просто как-то в 1 день спам, у нас у самих инъекции с разницей в 4 дня с одной и тойже подсети были). Накидал в abuse хостеру откуда ноги Время взлома и IPшники, может пожурят или возьмут на заметку)) Заодно и подсеть их прикрыл от греха.
Такие же запросы недавно обнаружились:
188.225.16.116 - - [14/May/2016:20:17:34 +0300] "POST /?object=login HTTP/1.1" 404 - "-" "agrofish eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59));"
188.225.16.116 - - [14/May/2016:20:17:34 +0300] "POST /?object=login HTTP/1.1" 404 - "-" "agrofish <?php eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59)); ?>"
IP TimeWeb'а:
inetnum: 188.225.16.0 - 188.225.23.255
netname: TMWB-SECTOR-3
descr: co-location service infrastructure [datacenter]
country: RU
admin-c: TMWB-RIPE
tech-c: TMWB-RIPE
status: ASSIGNED PA
mnt-by: TMWB-NCC-MNT
mnt-lower: TMWB-NCC-MNT
mnt-routes: TMWB-NCC-MNT
mnt-domains: TMWB-NCC-MNT
created: 2013-01-21T16:18:57Z
last-modified: 2013-11-06T06:56:19Z
source: RIPE
role: TimeWeb Co. Ltd. Role Account
address: 22A,Zastavskaya str.
address: 196084, Saint-Petersburg
address: Russia
phone: +7 812 2441081
phone: +7 495 6041081
phone: +8 800 3331081
abuse-mailbox: abuse@timeweb.ru
admin-c: AAB215-RIPE
tech-c: AAB215-RIPE
tech-c: NARR-RIPE
tech-c: IM3126-RIPE
tech-c: VP13151-RIPE
nic-hdl: TMWB-RIPE
mnt-by: TIMEWEB-MNT
created: 2008-03-18T10:36:42Z
last-modified: 2016-01-13T08:39:23Z
source: RIPE # Filtered
Тоже с недавних пор на один сайт начало такое приходить раз в несколько дней через форму быстрого заказа:
Только с другого IP: 91.201.52.58
Предлагаю как я набисать абузы хостерам на соответствующие инциденты с просьбой закрыть такие аккаунты.
Указываются: Время+Дата инцидента, IP абузера, сам запрос и IP вашего хостинга/сайт
Хотя мне такой хостер (SWEB) ответил - "будем выяснять и если потребуется свяжемся с вами".
Кстати, раз пошла такая пьянка, может у кого затесались рекомендуемые XSS-clearing функции?
Мне кажется что жаловаться хостерам это пустая трата времени. Типа если его выпрут из хостинга он перестанет этим заниматься и пойдет работать на завод? Он просто найдет другой хостинг, абузоустойчивый, или купит прокси за пару долларов.
Лучше потратить это время на безопасность своего сайта и по закрывать возможные дыры.
День добрый!
Новый сайт. Кто в курсе, для чего такие заявки отправляют? Автоматом или вручную кто-то что-то сделать пытается? Или просто у меня скрипт отправки заявки такой корявый (хотя часть заявок нормальные приходят)
agrofish{${eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59))}}
Если злоумышленники обращаются к конкретным файлам, поставьте ВЫ ТЗ, скиньте этот код админу / программеру сайта, лучше хорошему знакомому).
и поставьте ТЗ:
Вмонтировать в header (шапку) сайта или index, первой строкой проверку на то, что указано в Юзер-Агенте $_SERVER["HTTP_USER_AGENT"] или там куда это код пытаются вписать.
И если в Юзер-Агенте есть eval или chr, это делается по preg_match например, то выключаем наш скрипт сайта вообще делая die; либо показываем пустую страницу, либо редиректим куда угодно (это уже на собственное усмотрение).
+если preg_match поймал запрещённое сочетание символов, то логируем все данные в текстовой файл, например log_hack.txt:
IP того кто это делает: $_SERVER["REMOTE_ADDR"]
URL которое запрашивает: $_SERVER["REQUEST_URI"]
Реферер, откуда пришли: $_SERVER["HTTP_REFERER"]
Юзер-агент: $_SERVER["HTTP_USER_AGENT"]
Так можно будет посмотреть конкретно кто делал подозрительные вещи, и делали ли вообще такое.
Можно и на уровне htaccess сделать блокировку.
Писать абузы бесполезно, потому что IP злоумышленника может быть динамический (всегда разный), у меня и многих провайдеров именно так, переключаешься и у тебя уже другой IP, поэтому под блокировку IP могут попасть и нормальные пользователи. То есть нужно смотреть конкретно что за IP и не какие-нибудь ли это Португальские прокси, тогда конечно можно блокировать.