Залить шелл с фронт-енда.

включаешь по максимуму все серверные логи.

делаешь бекап с хостинга, скачиваешь его.

хацкеру говоришь что он тупой школьник и ничего у него не получится.

наблюдаешь за логами. Если и правда есть дыра - моментом увидешь и исправляешь...

foxi абсолютно прав. Сделайте бэкап и посмотрите, что дальше будет. Если у него, что - то получится, найдете дыру и восстановите все.

У 2 раза была подобная ситуация

awilum, я вам удивляюсь. Вы вроде разработчик собственной CMS, а спрашиваете нас, возможно ли залить с её морды шелл, со стороны выглядит неадекватно. Понимаю, если изменённое состояние сознания, я тоже вчера потребил без чеснока, теперь не могу понять, это вообще нормально?

По теме, попросите у этого парня залить вам шелл. Если получится, поставьте пиво.

DenisVS

Сегодня на свежую голову еще раз просмотрел)) Все там нормально насколько я это вижу.

И в этом не вижу я никакой странности, что бы люди, которые занимаются безопасностью и взломом посмотрели со своей стороны на скрипт.

Пробовал давненько на Секьюрити лаб обращаться, мол скажите свое мнение о безопасности, дык какие то не внятные ответы...

вот собственно сайт с двумя плагинами http://test.pascalgames.net/cms_tests/tcms/

кто нибудь может выполнить на нем

1) XSS

2) CSRF

3) RFI

?

без обид, но квалифицированный анализ безопасности системы штука очень не дешёвая ;), а нубский нафиг никому не нужен...

а перед тем как он зальет поставь себе через htaccess LOG всех GET/POST запросов в файл если это не сделано средствами хостинга

со стороны, свежим глазом часто можно заметить косяки.

awilum, чтоб понять можно ли чтото там похакать - нужно изучать код движка, а то не на 5 минут работы.

логи, логи.... ну ну :) Такое впечатление что все советчики топика не отрываясь вглядывабтся в логи, чтоб тут-же просечь малейшее поползновение врагов :) Покажите мне таких придурков которые лезут на сервер абы как. И в логах преподносят вам вектор взлома.

смотрю серверные логи (австаты всякие, логи апача и лог ошибок) раз в 1-2 недели (чаще там анализировать особо нечего). Ежедневно смотрю лог движка, чтоб видеть активных качальщиков контента, а также чтоб отслеживать xss и прочую нездоровую активность.

awilum, сделай фильтр get запросов, например так:

$request_uri = $_SERVER['REQUEST_URI'];

$find_array = array('%', '$', '..', '"', '`', '(', ')', '<', '>', '//', ':', ';', '\'', '\\', 'base64_encode');

foreach ($find_array as $find_element)

{

    if (strripos($request_uri, $find_element) !== FALSE)

        die('Stop hack');

} 

так ты избавишься от XSS передаваемых GET методом.

POST запросы принимаются в небольшом количестве мест в движке, их уже каждый проверить и обезопасить входящие данные.