H_A_N Опубликовано 10 Марта 2014 Жалоба Поделиться Опубликовано 10 Марта 2014 (изменено) Сегодня на форум 3.1.4 в папку uploads/profile смогли загрузил следующий файл (но только с расширением .JPG) photo-33 - копия (2).php После этого форум мягко говоря перестал корректно функционировать. Кто-то сталкивался уже с подобным?Какие есть рекомендации чтобы в будущем избежать печальных последствий от загрузки всякой .... под видом .JPG? P.S. Раскодировать эту хрень и понять что там лично я пока не смог, может у кого есть мысли что это и как это. Изменено 10 Марта 2014 пользователем H_A_N Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 11 Марта 2014 Жалоба Поделиться Опубликовано 11 Марта 2014 обычно там загрузчик, а шелл уже будет лежать в другой папкеhttp://php.webtutor.pl/en/2011/05/13/php-code-injection-a-simple-virus-written-in-php-and-carried-in-a-jpeg-image/солюшн - прогонять картинки через ГД, сохраняя с помощью ее функцийтак код отрежетсяну и да, в настройках сервера жестко прописать хтацессом например, какие файлы (расширения) нельзя вызывать на исполнение Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis Chursinov Опубликовано 11 Марта 2014 Жалоба Поделиться Опубликовано 11 Марта 2014 Загрузить файл мало, надо его еще запустить. Проверять картинки смысла нет, нельзя будет картинку загрузить - можно приложить скрипт аттачем к сообщению. Сами по себе картинки не исполняются. Для require или include расширение не важно. Обычно с такими картинками комплектом идут IPB_FIREWALL в conf_global.php или результаты sql-инъекций в cache - всякие zx.php и т.д. Бывают еще хуки вроде boardindex_lastmessages*.php . Такие штуки прокидываются 2мя способами:1. Через дырку в функции сериализации и sql-инъекцию. Эта дырка закрыта в обновлении от ноября 12 года. 2. Через нулленные приложения и хуки, в которые добавляются скрытые хуки (названия содержат прячущий js). Рекомендации, поставить обновления безопасности, их 4 - от 10/12, 11/12, 12/12 и 03/13. А лучше обновиться хотя бы до 3.3 . Для более ранних версий обновления не выходят с апреля 13 года. После установки обновлений удалить вражеские хуки и вычистить их из таблицы core_hooks и core_hooks_files . Пройтись хотябы grep по картинкам и поискать <?php . Пройтись айболитом ( ai-bolit.php ). Вычистить кеш , в папке cache должна быть только пара php - furlCache.php и globalcaches.php . И никаких обфусцированных скриптов там быть точно не должно. Везде вырезать IPB_FIREWALL . Добавить в index.php первой строчкой после <?php define('IPB_FIREWALL', 1);это заставит невырезанный IPB_FIREWALL в других местах думать, что он уже запущен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
H_A_N
Сегодня на форум 3.1.4 в папку uploads/profile смогли загрузил следующий файл (но только с расширением .JPG)
photo-33 - копия (2).php
После этого форум мягко говоря перестал корректно функционировать.
Кто-то сталкивался уже с подобным?
Какие есть рекомендации чтобы в будущем избежать печальных последствий от загрузки всякой .... под видом .JPG?
P.S. Раскодировать эту хрень и понять что там лично я пока не смог, может у кого есть мысли что это и как это.
Изменено пользователем H_A_NСсылка на комментарий
Поделиться на других сайтах
2 ответа на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.