Μου χάκεψαν την σελίδα

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 23 Ιούλ 2007 20:56

:cry: Και ξαφνικά μια μέρα στην θέση της σελίδας μου βλέπω κάτι ακαταλαβίστικα και στο τέλος ενα "Geia sou re admin. aBdul" Ποιός είναι αυτός ο aBdul ρε παιδιά? Τέλος πάντων, η αλήθεια είναι ότι δεν εχω ασχοληθεί καθόλου με την προστασία της σελίδας μου, οπότε δεν ήταν και κανένα μεγάλο κατόρθωμα να την χακέψει κανείς :evil: Παντως πιστεύω ότι η μεγαλύτερη τρύπα ήταν ένα script για guestbook που δεν έκανε κανέναν έλεγχο στο κείμενο που έγραφε ο χρήστης. Ξέρει κανείς αν πράγματι αυτό είναι πρόβλημα? αν ναι ,τι ελέγχους πρέπει να κάνω, ή τι αλλα μέτρα ασφαλείας πρέπει να λάβω.
Ευχαριστώ όσους ασχοληθούν

id12586
στις καρδιές μας
Δημοσιεύσεις: 8387
Εγγραφή: 23 Ιουν 2003 23:28
Τοποθεσία: Far away
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από id12586 » 23 Ιούλ 2007 23:24

Σε τί πλατφόρμα είναι στημένη η σελίδα?
Και το guestbook σε τί?

Μήπως είναι ευκολο να δώσεις και λινκ της σελίδας?
Chris at your Services
ΕικόναSacame de Aqui

Άβαταρ μέλους
blackhumor
Honorary Member
Δημοσιεύσεις: 1374
Εγγραφή: 22 Ιούλ 2003 02:48
Τοποθεσία: Ελλάδα
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από blackhumor » 24 Ιούλ 2007 04:43

Φαντάζομαι η σελίδα είναι αυτή στην υπογραφή του...
To LinkZ.gr ανανεώθηκε. Καταχωρήστε την ιστοσελίδα σας δωρεάν.
Διαφημιστικά δώρα για επαγγελματίες.
Διαφημιστικά στυλό.

Άβαταρ μέλους
mrpc
WebDev Moderator
Δημοσιεύσεις: 3393
Εγγραφή: 03 Μάιος 2000 03:00
Τοποθεσία: Εξάρχεια
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από mrpc » 24 Ιούλ 2007 08:46

Εχμμ... αυτή η σελίδα είναι μια τεράστια τρύπα!
Σε όλες οι σελίδες σου τα link είναι της μορφής:
http://www.odigoslimnisplastira.gr/inde ... age=xoria/
που στο page= καλείς ότι θες.
Π.χ.:
http://www.odigoslimnisplastira.gr/inde ... amnos.net/
Αν κάποιος καλέσει ένα εξωτερικό script τι γίνεται; μέχρι και takeover τον server υποθέτω...
Άλλαξε κάτι επειγόντως!

Άβαταρ μέλους
gaucho
Honorary Member
Δημοσιεύσεις: 2408
Εγγραφή: 22 Δεκ 2002 13:18

Μου χάκεψαν την σελίδα

Δημοσίευση από gaucho » 24 Ιούλ 2007 13:18

Iparxoun sinartisis pou diavazoun arxeia kai sou dinoun to kwdika. Profanos kai to user kai pass tis basis kai tou ftp

johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 24 Ιούλ 2007 14:03

linux server και php to guestbook.
mrpc αν θέλεις δώσε περισσότερες πληροφορίες για το τι πρέπει να αλλάξω γιατί πραγματικά δεν έχω ιδέα από ασφάλεια

Άβαταρ μέλους
gaucho
Honorary Member
Δημοσιεύσεις: 2408
Εγγραφή: 22 Δεκ 2002 13:18

Μου χάκεψαν την σελίδα

Δημοσίευση από gaucho » 24 Ιούλ 2007 14:10

1 tropos einai na baleis filtro kai katharisma stis metablites pou dinis sto script php

johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 24 Ιούλ 2007 14:16

φίλε μου sorry αλλά μπορείς να γίνεις λίγο πιο σαφής καθότι δεν έχω επμειρία από ασφάλεια. Ενα παράδειγμα θα βοηθούσε πολύ

johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 24 Ιούλ 2007 14:41

mrpc δεν κάνω σκέτo include to mypage, πρώτα κάνω έλεγχο και μετά include. Βέβαια δεν ξέρω αν αρκεί ο έλεγχος που κάνω. Στο guestbook τι ελέγχους πρέπει να κάνω?

nastis
Δημοσιεύσεις: 124
Εγγραφή: 16 Φεβ 2005 16:28
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από nastis » 24 Ιούλ 2007 15:06

Καλησπέρα, για το τι θα μπορούσε να κάνει include θα μπορούσες να περιορίσεις βάζοντας όλες τις σελίδες σου σε ένα π.χ. array και μετά κάνοντας include μόνο εάν ανήκει στο array των σελίδων σου.

Κώδικας: Επιλογή όλων

$allow_to_include = array ("index.php", "guestbook.php", ktl ktl);

if (in_array($_REQUEST['page'], $allow_to_include))
include($_REQUEST['page']);
Για το guest book σου μπορείς να βάλεις διάφορα επίπεδα ελέγχου.
Αρχίζοντας από απλά πράγματα π.χ. strip_tags http://gr2.php.net/strip_tags
μεχρι να κάνεις regular expression match "επικίνδυνων πραγμάτων"
http://www.webcheatsheet.com/php/regula ... ssions.php

Επίσης ρίξε μια ματιά εδώ σε προηγούμενη συζήτηση.
http://www.freestuff.gr/forums/viewtopic.php?t=25553

Ένα τελευταίο χωρίς captcha πρέπει να λαμβάνεις τεράσιες ποσότητες spam.

Φιλικά
Β.
www.oktonia.com - Παγκόσμιο Χωριό Γνώσης Λυμένα Θέματα Εξετάσεων - Ασκήσεις

johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 24 Ιούλ 2007 15:18

nastis thanks θα τα κοιτάξω

johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 24 Ιούλ 2007 15:39

παιδιά έχω κάνει κάποιες αλλαγές (οχι στο guestbook) νομίζω ότι είμαι ψιλοοκ. Ρίξτε μια ματιά και πείτε μου

Άβαταρ μέλους
tix-3-
Δημοσιεύσεις: 827
Εγγραφή: 25 Μαρ 2004 05:12
Τοποθεσία: Θεσσαλονικη-Καβαλα-βεροια(το τριγωνο της καταρας)
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από tix-3- » 24 Ιούλ 2007 22:20

βγαλε ΧΘΕΣ την σελιδα http://www.odigoslimnisplastira.gr/giros/
απενεργοποιησε το directory listing
Ελεγξε στο ftp σου για τιποτα "περιεργο"
Αν δεν υπήρχανε οι κνίτες κι'η ηρωίνη...

Άβαταρ μέλους
PascalGR
Δημοσιεύσεις: 20
Εγγραφή: 21 Ιούλ 2007 14:42
Τοποθεσία: Inside the Matrix

Μου χάκεψαν την σελίδα

Δημοσίευση από PascalGR » 24 Ιούλ 2007 23:46

Για PHP είναι δυστυχώς πολλά αυτά που πρέπει να προσέξεις. Από το "στήσιμο" του server έως και τις εντολές που χρησιμοποιείς.

Πρόχειρες συμβουλές για το configuration του server:
* To process του apache καλύτερα να είναι σε chroot'ed περιβάλλον.
* Απενεργοποίησε το register globals.
* Απενεργοποίησε την εκτέλεση κάποιων επικίνδυνων εντολών συστήματος (όπως system, `` κλπ)

Συμβουλές για PHP:
* Το μενού με το index.php?page=xxx είναι επιεικώς απαράδεκτο! Είναι προτιμότερο το direct link προς τη σελίδα.
* Ο,τιδήποτε μεταβλητή, αν (κακώς) έχεις ενεργοποιημένο το register globals, να αρχικοποιείται στην αρχή του script (πχ $mydata = "")
* Να χρησιμοποιείς πάντοτε τα $_GET, $_POST κλπ για να διαβάσεις μια τιμή από φόρμα ή URL
* Να χρησιμοποιείς πάντοτε την htmlspecialchars() μαζί με τις $_GET και $_POST πριν κάνεις ο,τιδήποτε με την τιμή που περνά... (πχ. $data = htmlspecialchars ($_GET['data']))
* Για αριθμητικές τιμές, να χρησιμοποιείς πάντοτε την intval() πχ ($data = intval ($_GET['data']))

Είναι πάρα πολλά ακόμη, αλλά αυτό σηκώνει μεγάλη συζήτηση. Για ο,τιδήποτε απορίες, just google it :wink:

johnGT
Δημοσιεύσεις: 107
Εγγραφή: 16 Μάιος 2007 12:41
Επικοινωνία:

Μου χάκεψαν την σελίδα

Δημοσίευση από johnGT » 25 Ιούλ 2007 02:16

παιδιά thanks. tix-3 Πεσμου ,εσύ το έκανες ή απλώς το είδες? Μήπως ξέρεις πως το έκαναν?

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες