Скрыть объявление
Форуму требуется публиктор с оплатой! Обращаться к Администратору

Дыры на сайтах

Тема в разделе "Раздачи", создана пользователем agamurat, 10 июл 2014.

  1. agamurat

    agamurat Участник

    Репутация:
    1
    Предлагаю делится всевозможными дырами на сайтах а так же с их подробным устранением !
    В основном интересует дыры на сайтах (игры с выводом денег ).
    Хочется заранее знать с чем придётся столкнутся и как с этим бороться !
     
  2. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    сорри за пруфы, но... http://fruit-farm.org/return_viewer2342233.php?go2
    Ищи свой сайт. Есть? Значит есть дыра. Делай поиск фразы: fruit-farm.org по всем файлам сервера с помощью Npp++ и понимай, что да как. Такую штуку пихали в историю выплат (админка).
     
    korozist и blackyar24 нравится это.
  3. MODERN

    MODERN Эксперт

    Репутация:
    29
    Там половина сайтов не робят :rofl:
     
  4. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    С этой странички на мой сайт раньше частенько заходили )) но обламывались.

    А там пруфы ведут на дырку в tiny_mce. Если у кого-то уже закрыта, то Access Denied гласит, или 404. Смотря кто как закрывал )))) А если попробовать позаходить не кликая по ссылкам источника, а например, копированием текста (урл), то почти все работают ))
     
  5. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    Кстати о tiny_mce. Я бы предложил Вам залочить папку от недоброжелателей. Есть шелл с баттн.пхп, который пихают в эту папку и снимают денюшку без вывода в статистику выплат. Там же найдете файл лицензии, который надо удалить. Залочить папку предлагаю при помощи .htaccess
    Идем в хранилище: / js / editor / jscripts /
    в эту папку заливаете файл .htaccess
    Погуглив различные способы защиты при помощи.htaccess, выберите наиболее подходящие для Вас. У меня например требует логин и пароль, которые зашифрованы в корневой папке сайта, к которой ограничен доступ.
     
    Kristina, Algolem и MODERN нравится это.
  6. agamurat

    agamurat Участник

    Репутация:
    1
    Нашел в сети хороший ресурс
    AI-Bolit — это бесплатный сканер вирусов, хакерских шеллов, бэкдоров, спам-рассыльщиков и других вредоносных скриптов на хостинге
    перейти на сайт
     
  7. robertoman

    robertoman Местный

    Репутация:
    1
    Только зашол в тему, увидел ошибку просто сразу машинально установил права на папку 444. Теперь при переходе на сайт 403 ошибку лупит по той ссылке. Значит эта уязвимость закрыта? или нужно вырезать из кода?

    И есть ли еще замеченные уязвимости? Добавлю: Можно ли удалить оттуда ферму с мониторинга? И почему многих ферм на скрипте FF там нет?
     
  8. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    Вырезать не надо. Надо закрыть доступ от шаловливых рук всеми известными способами ))
     
  9. robertoman

    robertoman Местный

    Репутация:
    1
    Установить права только чтение, и никто не тронет))
    Меня волнует first первый пользователь, что ему сделать чтобы он стал безвредным?
    И можно ли обойтись обычным хостингом без vps под фруктовую ферму?
     
  10. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    Обычный хостинг, у меня от timeweb, все вери найс. У пользователя поменяй мыло, пароли. А если добавишь md5 на пароли, то взлетишь к успеху )) Соответственно, необходимо будет мудро убрать из базы столбец с оригинальными паролями.
     
    Vic212 и MODERN нравится это.
  11. Виол

    Виол Участник

    Репутация:
    1
    А если я JS папку переименую и в файлах пути поменяю тоже защита?Вернее так и зделал.
    Теперь http://fruit-farm.org/return_viewer2342233.php отсюда на 404 мою перекидывает.
     
  12. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    А смысл переименовывать, все равно кому надо, те найдут правильный путь. Проще и надежнее права READ ONLY на папку поставить + защитить .htaccess'ом.
     
    Последнее редактирование: 24 авг 2014
    MODERN нравится это.
  13. robertoman

    robertoman Местный

    Репутация:
    1
    Вообщем я заблочил, пересмотрел все файлы не могу понять почему даже при изменении деректории site.ru на site1.ru не пропадает с мониторинга, каким образом он туда заносится? (или крон проверяет новые фермы через определённое время?) И смогли ли вы удалить свою ферму с этого сайта? видел многих проектов там нет, а многие и есть.
     
  14. robertoman

    robertoman Местный

    Репутация:
    1
    Еще вопрос, закинул .htaccess в папку js/ с содержанием

    PHP:
    php_flag engine off
    <Files "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
    </Files>
    Нужно ли его гдето подключать, и поможет ли этот код защитить файлы?
     
    Канстантин нравится это.
  15. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    почитай про защиту по ip, разреши только себе вход в директорию. тут я смотрю идет защита от каких то файлов с расширением Hta, если я правильно понимаю.
     
  16. art199908

    art199908 Местный

    Репутация:
    3
    и на счет .htaccess нужно его создавать в формате txt? и закидывать в папку куда указал путь в файле и соответственно где будет лежать .htpasswd?
     
  17. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    Сразу добавлю, видел поднималась тема насчет подмены привязанного кошелька на странице при помощи, выделении элемента и команды "Просмотр код элемента". Заменяя тем самым в редакторе привязанный кошелек к нужному. Так вот, для того, чтобы пользователь не смог это сделать, запретите использование пкм на странице(ах):

    PHP:
    <script LANGUAGE="JavaScript1.1">
    document.oncontextmenu = function(){return false;};
    </
    script>
    Вставляем код в самую верхнюю часть файла.
    [​IMG]
     
    kvozimir нравится это.
  18. mobisaite

    mobisaite Опытный

    Репутация:
    1
    автовыплаты 107 строка попадается в некоторых файлах
    PHP:
    <script type=\"text/javascript\" src=\"http://wwes.ru/license.php\"></script> 
    там где Выплачено
     
  19. mamokrob

    mamokrob Местный

    Репутация:
    1
    Вот так будет правильнее =)

    Код:
    order allow,deny
    allow from all
    deny from <определенный ip>
    прописать в корне

    а если хочешь забанить несколько ip то вот так

    Код:
    order allow,deny
    allow from all
    deny from 37.252.76.155, 12.123.456.12, 34.456.789.34, 21.654.321.123
    код заглушку на выплату на кошелек определенный

    в файлы вывода после строчки
    Код:
            if( !ereg("^[0-9]{7}$", substr($purse,1)) ) return false;
    добавить
    Код:
            if( !ereg("12345678", substr($purse,1)) ) return false;
    где 12345678 номер кошелька.
    поставь свой номер, и протестируй.

    Код:
              if( !ereg("12345678", substr($purse,2)) ) return false;    
     
    Последнее редактирование модератором: 19 окт 2014
    VHF85 нравится это.
  20. whoohaw

    whoohaw wh1skas/whisky Эксперт

    Репутация:
    83
    Почистите тему от ненужных сообщений и выявлений ошибок, плиз. Оставлять тут инфо, согласно фактическим кодам закрытия дыр.
    Согласно практике взломов и аннулирования Ваших счетов через админку Вашей фермы, мною была продумана стратегия защиты админки. Очень простой до безумия способ.
    Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".

    Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:

    В папке admin есть файл login

    можно привести к виду строку:

    PHP:
    if(strtolower($_POST["admlogin"]) == strtolower("Впиши_Логин_Админа") AND strtolower($_POST["admpass"]) == strtolower("А_ТУТ_ПАРОЛЬ") ){
     
    Последнее редактирование: 19 окт 2014
    Bloodscreed, VHF85, infoS2009 и 6 другим нравится это.

Поделиться этой страницей