Forum PHP.pl > Problem z bezpieczeństwem phpprobid

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Problem z bezpieczeństwem phpprobid

Sebastian_st

9.03.2009, 02:44:16

Witam wszystkich. To mój pierwszy post
Mam duży problem. Tydzień temu kupiłem PHP PRO BID system aukcyjny. Wszystko było ok. tydzień pracy z serwisem aż tu nagle dziś wyskoczył alert bezpieczeństwa Norton Protection Center.

"
Zablokowano podejrzaną stronę internetową

Użytkownik podjął próbę dostępu do:

http://www.www.hypermarket.pl/admin/login.php

Ze względów bezpieczeństwa ta strona internetowa została zablokowana i zgłoszona do sprawdzenia. Przejdź do witryny firmy Symantec zawierającej dodatkowe informacje na temat wyłudzania danych i zabezpieczeń internetowych."

Do tej pory nie było ani razu z tym problemu.
Usunąłem całość z serwera (łącznie z bazą danych) i zainstalowałem ponownie. Chyba z 4 razy. Nic to nie dało.
Aha, serwer mam w nazwa.pl

foto ze strony
http://www.hypermarket.pl/images/block.jpg

a to kod PHP admin/login.php

[PHP] pobierz, plaintext 
<?
 
session_start();
 
define ('IN_ADMIN', 1);
 
include_once ('../includes/global.php');## PHP Pro Bid v6.00 generate the admin pin value
$session->set('admin_pin_value', md5(rand(2,99999999)));
$generated_pin = generate_pin($session->value('admin_pin_value'));
 
$pin_image_output = show_pin_image($session->value('admin_pin_value'), $generated_pin, '../');
 
$template->set('pin_image_output', $pin_image_output);
$template->set('admin_pin_value', $session->value('admin_pin_value'));
 
$template_output = $template->process('login.tpl.php');
 
echo $template_output;
?>
 
<?
 
session_start();
 
define ('IN_ADMIN', 1);
 
include_once ('../includes/global.php');## PHP Pro Bid v6.00 generate the admin pin value
$session->set('admin_pin_value', md5(rand(2,99999999)));
$generated_pin = generate_pin($session->value('admin_pin_value'));
 
$pin_image_output = show_pin_image($session->value('admin_pin_value'), $generated_pin, '../');
 
$template->set('pin_image_output', $pin_image_output);
$template->set('admin_pin_value', $session->value('admin_pin_value'));
 
$template_output = $template->process('login.tpl.php');
 
echo $template_output;
?>
 
a to login.tpl.php
 
<?
#################################################################
## PHP Pro Bid v6.03                                                            ##
##-------------------------------------------------------------##
## Copyright ?2007 PHP Pro Software LTD. All rights reserved.    ##
##-------------------------------------------------------------##
#################################################################
 
if ( !defined('INCLUDED') ) { die("Access Denied"); }
?>
 
<?=$header_registration_message;?>
<br>
<?=$invalid_login_message;?>
<table width="80%" border="0" cellpadding="5" cellspacing="5" align="center" class="contentfont">
   <tr valign="top">
      <td width="50%" align="center" class="border c2"><p><b>
            <?=MSG_NEW_TO;?>
            <?=$setts['sitename'];?>?</b><br>
            <br>
            <?=MSG_REGISTRATION_MSG;?>
         <form action="register.php" method="post">
            <input name="submit" type="submit" class="buttons" value="<?=MSG_REGISTER_FOR_ACCOUNT;?>">
         </form>
         </p>
      </td>
      <td width="50%" align="center" class="border c2"><b>
         <?=MSG_ALREADY_A;?>
         <?=$setts['sitename'];?>
         <?=MSG_USER?>?
         </b><br>
         <form action="<?=($setts['enable_enhanced_ssl']) ? $setts['site_path_ssl'] : SITE_PATH;?>login.php" method="post">
         <input type="hidden" name="operation" value="submit">
         <input type="hidden" name="redirect" value="<?=$redirect;?>">
             <table width="100%" border="0" cellpadding="2" cellspacing="2" align="center">
               <tr>
                  <td align="right"><?=MSG_USERNAME?></td>
                  <td><input name="username" type="text" id="username"></td>
               </tr>
               <tr>
                  <td align="right"><?=MSG_PASSWORD?></td>
                  <td><input name="password" type="password" id="password"></td>
               </tr>
               <tr>
                  <td colspan="2" align="center"><input name="form_login_proceed" type="submit" id="form_login_proceed" value="<?=MSG_LOGIN_TO_MEMBERS_AREA;?>"></td>
               </tr>
            </table>
         </form>
         <a href="<?=SITE_PATH;?>retrieve_password.php">
         <?=MSG_LOST_PASSWORD;?>
         </a> </td>
   </tr>
</table>
[PHP] pobierz, plaintext

pozdrawiam
Sebastian

Mephistofeles

9.03.2009, 12:37:57

To raczej nie ma nic wspólnego z kodem, bo jak niby Norton miałby sprawdzać kod? On ma bazę takich stron, widocznie twoja jakoś tam trafiła :/.

Sebastian_st

17.03.2009, 20:28:39

Dziwna sprawa.
Blokowany jest tylko administrator. Cała witryna działa dobrze. Możliwość tworzenia ont użytkowników, logowanie, wystawianie aukcji...
Problem ten nie dotyczy jednak tylko mnie.
Sprawdzałem inne witryny i wpisywałem namiary na konto administratora czyli www.costam.com/admin i jest to samo. Inne witryny podobnie są blokowane przez northona.
Przedwczoraj pisałem maila do firmy sprzedającej www.phpprobid.com i czekam na odpowiedź

pozdro

Poradziłem sobie. Odinstalowałem i zainstalowałem ponownie Northona i wszystko gra !

Mephistofeles

17.03.2009, 21:02:02

Dlatego nie korzystam z takich głupich antyphishingów, używam tylko tego domyślnie wbudowanego w Chroma i Firefoxa, bo nie blokuje mi połowy stron

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.