Dzisiaj rano wchodząc na włąsną stronę zamiast normalnego widoku zobaczyłem informację od jakiegoś hakera, który rzekomo ją zhackował. Okazało się, że nadpisany został plik index.php
I tu pytanie do was. Nie nadawałem ŻADNYCH chmodów ŻADNYM plikom. Jakim cudem mógł zrobić coś takiego?
Pełna wersja: [php] CHMOD
nieumiejętne programowanie php ergo zostawianie luk dla `hakerów`
Co to jest php ergo?
I co to za luki?
I co to za luki?
1. ergo, nie php ergo. To takie słowo z łaciny, sprawdzisz w słowniku..
2. nie wiem jakie to mogą być luki, skąd moge wiedzieć jak jest twoja strona zbudowana.
3. moga byc jeszcze setki innych przyczyn: np słabe hasło, nie logowanie sie przez ssl, and much much more..
2. nie wiem jakie to mogą być luki, skąd moge wiedzieć jak jest twoja strona zbudowana.
3. moga byc jeszcze setki innych przyczyn: np słabe hasło, nie logowanie sie przez ssl, and much much more..
samo słowo ERGO znam, myślałem, że php ERGO jest nazwą jakieś dziedziny programowania.. różnie bywa ;- )
Hmm... więc zadam pytanie inaczej... :- )
Czy istnieje lista wskazówek mówiących jak się bronić przed czymś takim?
I jedno jeszcze pytanie. Jeśli podmieniony został plik php mimo, że nie ma żadnych chmodów, haker włamał się bezpośrednio na ftp, czy tak?
Hmm... więc zadam pytanie inaczej... :- )
Czy istnieje lista wskazówek mówiących jak się bronić przed czymś takim?
I jedno jeszcze pytanie. Jeśli podmieniony został plik php mimo, że nie ma żadnych chmodów, haker włamał się bezpośrednio na ftp, czy tak?
1. Coś się na ten chmod uparł.. chmod jest ustawiony zawsze, domyslnie jezeli nie ustawisz i taki jak ty chcesz, gdy ustawisz swój.
2. Co do wskazowek: czytaj artykuły dotyczące bezpieczenstwa php (jest ich wiele, nie ma co wymieniac)
2. Co do wskazowek: czytaj artykuły dotyczące bezpieczenstwa php (jest ich wiele, nie ma co wymieniac)
Ehh...
Pewnie miałes dziurawy skrypt, chociaż nie sądze, aby ten skrypt miał az takie możliwości
Pewnie ktoś Ci wszedł na konto (FTP) - może przypomnienie hasła Różnie może byc, bez logów możemy tylko strzelac.. a z resztą - jak sądzisz, że to skrypt to go pokaż. To, że plik index.php miał takie a nie inne CHMODy nie ma znaczenia - co komu da, że zmienię CHMOD 777 na mój plik index.php
Pewnie miałes dziurawy skrypt, chociaż nie sądze, aby ten skrypt miał az takie możliwości
Pewnie ktoś Ci wszedł na konto (FTP) - może przypomnienie hasła
Różnie może byc, bez logów możemy tylko strzelac.. a z resztą - jak sądzisz, że to skrypt to go pokaż. To, że plik index.php miał takie a nie inne CHMODy nie ma znaczenia - co komu da, że zmienię CHMOD 777 na mój plik index.php
Skrypt strony głównej to wyłącznie formularz logowania (ewentualnie rejestracji i przypominania hasła)... więc wątpią, by za jego pomocą można było zmieniać zawartość pliku...
znasz się na tyle na php żeby to śmiało stwierdzić?
Nie, a le odpowiedz mi na pytanie jedno... :- ) masz stronę formularza sprawdzającą login i hasło z bazą danych. Ewentualnie stronę z formualrzem w którym dane są dodawane do bazy danych.
I tu moje pytanie. W jaki sposób taki skrypt może posłużyć do zmiany zawartości pliku? A chmodów uczepiłem się, bo nawet gdyby taki skrypt mógł edytować plik to przecież musiałby mieć dostęp do niego i o to chodzi.
I tu moje pytanie. W jaki sposób taki skrypt może posłużyć do zmiany zawartości pliku? A chmodów uczepiłem się, bo nawet gdyby taki skrypt mógł edytować plik to przecież musiałby mieć dostęp do niego i o to chodzi.
Nie znam sie na tyle zeby sie wypowiadac.. ale znam sie na tyle, zeby wiedziec, ze "nigdy nie mow nigdy".
Ktos ci sie zalogowal pewnie na konto i zmienil plik.. sprawdz logi to moze cos dojdziesz, a nie tak w slepo strzelamy.
Ktos ci sie zalogowal pewnie na konto i zmienil plik.. sprawdz logi to moze cos dojdziesz, a nie tak w slepo strzelamy.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.