Hacker atakje moją stronę

[Matijas6113]

Witam Serdecznie,
Dawno nie odwiedzałem tego forum. Wcześniej uzyskiwałem od was pomoc w zakresie nauki jednak dzisiaj mam znacznie trudniejszy problem. Otóż od jakiegoś czasu napotykałem problem na stronie, którą robiłem koledze (And - Bud Kompleksowy Montaż Ogrodzeń) otóż TYLKO i wyłącznie kiedy wyszukiwało sie strone poprzez google strona była przekierowywana na inny adres, później zamiast wczytac sie jakaś storna pojawiało sie okienko dialogowe przeglądarki tak jakbym pobierał plik (był to jakiegos rodzaju wirus - sprawdzałem w szkole na kompie nie w domu więc nie przedostał sie na mój komputer) teraz zamienił strone główna w ten sposób że wyświetlała sie jego strona. Niestety nie mam screenshota bo z nerwów odrazu przywróciłem poprawna strone główną. Za to mam pare szczegółów: Na stronie przedstawiał sie jako Mr. Z. Mam też kod który był zamiast mojego index.php: ~!!! HacKeD By MR.Z !!!~ . Proszę o jakieś wsparcie co mogę zrobić a przedewszystkim jeśli ktoś jest na tyle miły na sprawdzenie strony i wyjaśnienie mi jakie błędy popełniłem w budowie które mogły być aż takie groźne... bo strona naprawde nie jest aż taka rozbudowana i nie sądziłem ze mogłem zostawic w niej tak groźna lukę... poza tym strona nie jest jakoś straszliwie często odwiedzana (maks 70 odwiedzin dziennie). Ta osoba sie uwzięła na mnie. Ponad to sądzę że nie mógł być to atak poprzez zdobycie hasła ftp ponieważ hasło było zmienione ponownie 3 dni temu, pierwsze dwa ataki były tylko gdy klikało sie link z google... Proszę pilnie o wszelkie rady... Mam nadzieję że Ci dobrzy ludzie którzy pomagali mi wcześniej pomogą i teraz.

Pozdrawiam i z góry dziękuje za pomoc.

Edit: Dopiszę jeszcze, że przeskanowałem całego kompa - rezultat: 0 wykrytych wirusów. Dodaje także logi z adresami ip i hostów:http://and-buud.pl/andbud_logs.html
Dodam własną obserwacje logów: otóż często pojawia sie wpis
95.108.216.251 | spider83.yandex.ru
Ruski host - podejrzane na polskiej stronie o ogrodzeniach, ponad to dwa ostatnie wpisy są własnie z tego hostu czyli po nich strona juz nie działała ponieważ skrypt logów nie był odpalany... link do logów jest aktualny więc napewno będzie ich przybywało. Od góry są najnowsze.

[BABUSZKAzwylf]

Zgłoś to na Policję!

[Matijas6113]

Dobrze, zgłoszenie na policje to jest jedna z rzeczy którą powinienem zrobić ale napisałem na tym forum nie tylko po to aby usłyszeć żeby zgłosić to na policje... jestem samoukiem od samego początku, c++, html, php... i chce też sie dowiedzieć jakie błędy popełniłem... będę robił strony sobie czy kolegą w jakimś celu i one będą takim łatwym łupem? Poza tym samo zgłoszenie na policje może nie dać rezultatu... Proszę o techniczne podpowiedzi lub konkretne wskazanie błędów. Dzięki za zaangażowanie

[TQM]

Chcesz wiedziec co zrobiles zle to pokaz kod - nikt nie bedzie 'atakowal' tej strony na zywym serwerze aby zobaczyc jak tam wlezc i w ten sposob znalezc Twoje bledy. Poza tym za takie cos placi sie gruba kase zazwyczaj i nazywa sie 'pen-testem' i to obejmuje nie tylko strone ale i serwer i siec itd... bo blad moze byc nie w aplikacji ale gdzies indziej.

... moze wtedy ktos zagladnie do kodu i cos podpowie

[Matijas6113]

Nie bardzo kapuje post powyrzej... TQM oto kod index.php : And - Bud Kompleksowy Montaż Ogrodzeń czyli większość kodu php. Doskonale rozumiem że nikt nie będzie od tak sprawdzał mojej strony i ze to są sprawy za które sie płaci duże pieniądze.. chciałem tylko wiedzieć czy od razu rzuca sie komuś jakas luka w oko.

[lame]

Kod:

mateusz cieślak - 726429810

Miło mi. Czy można dzwonić po 23?

Kod php:

else if($_GET['page']=='change_auction')
 {
    $url_a=$_POST['url_allegro'];
    $handle=fopen("aukcja.txt", "w");
    fwrite($handle, $url_a);
    fclose($handle);
    echo 'link do twojej aukcji zostal zapisany';
} 


Zaostrz walidację zmiennej $_POST['url_allegro'].
W tej chwili atakujący może podać np. tablicę, co spowoduje wystąpienie błędu/ostrzeżenia.
może też podać szalenie długi ciąg znaków (jak długi to zależy od ustawień php.ini).

Kod php:

$tytul=$_POST['tytul'];
(...)
$pytanie='<b>Tel:</b>'.$tel.'<br><b>e-mail:</b>'.$mail.'<br>'.$pytanie;
$pytanie=htmlspecialchars($pytanie);
(...)
$tytul=$tytul.'('.$data['year'].'-'.$data['mon'].'-'.$data['mday'].'|'.$data['hours'].':'.$data['minutes'].'.'.$data['seconds'].')';
$file=fopen('./kontakt/nowe/'.$tytul.'.html', "w");
fwrite($file, $pytanie); 


Tutaj obserwujemy stan krytyczny.. dane z '$_POST['tytul']' służą do wygenerowania nazwy pliku.
Taki kod przy niefartownej konfiguracji serwera może pozwolić atakującemu ma utworzenie pliku o dowolnej nazwie, rozszerzeniu i zawartości..

Kod php:

else if(isset($_GET['image']))
{
$file='./images/'.$_GET['image'];
if(is_file($file)) 


A to pozwala na directory traversal, jeśli w URLu damy: "?image=../index.php",
warunek zwróci true..

Kod php:

$get=$_GET['view'];
if(is_file('./kontakt/'.$get))
(..)
$mess=fread($handle, filesize('./kontakt/'.$get));
fclose($handle);
$mess=ereg_replace("&lt;", "<", $mess);
$mess=ereg_replace("&gt;", ">", $mess);
echo $mess; 


Kod ten pozwala na otwarcie i odczytanie zawartości praktycznie każdego pliku.

Jest tu tego więcej.

Rada ode mnie, zanim zaczniesz dalej pisać w php, poświęć trochę czasu na naukę kwestii związanych z bezpieczeństwem.
Ja zanim cokolwiek upubliczniłem, miałem wiedzę na temat podobnych błędów w małym palszku.

free of charge

[Matijas6113]

Dzieki wielkie. Właśnie takiego czegoś oczekiwałem. Sprawa jest taka że nie spodziewałem sie że ktoś będzie na tyle marnotrawił czas aby taka stroną sie zajmować ponad to kod index.php?view= ktoś musiałby znać wczesniej ten url bo nigdzie go nie znajdzie w źródle. Teraz juz niestety musze zrobić jakieś logowanie.

[TQM]

Hehe... dales na tyle furtek w kodzie, ze serwer mozna rozjechc po przekatnej na wiele sposobow...

1. Co do tego co mowil lame - popieram, lepiej nie pisz nic w PHP jesli nie wiesz jak to robic (a widac to po Twoim kodzie niestety)...
2. "Nie spodziewalem sie ze ktos bedzie marnotrawil czas..." i nikt nie marnotrawil... do tego sa automaty ktore wynajduja takie fajne rzeczy - przy takiej ilosci dziur jaka miales w tym kodzie ciezko aby ktos sie do tego nie dobral

[tom]

...o ja cie pie.... ...ale to nie jest smieszne...

[lojciecdyrektor]

Proszę wybaczyć, że wtrącam się w temat w którym niewiele mam do powiedzenia, ale aż prosi się o małe howto jak owy kod powinien wyglądać. Moja wiedza na ten temat jest szczątkowa toteż nawet nie próbuję udzielać rad. Kolega @lame świetnie zaczął i byłoby miło gdyby ktoś temat pociągnął w wolnym czasie...

Szukając w necie rozwiązań natrafia się często na zupełnie różne rozwiązania np. sama walidacja danych...

Byłoby miło podyskutować wśród specjalistów, tym bardziej, że mamy do czynienia z przykładem jak najbardziej życiowym

Pozdrawiam