Перейти к контенту
  • 0

Загрузили .JPG


H_A_N

Вопрос

Сегодня на форум  3.1.4  в папку uploads/profile  смогли загрузил следующий файл (но только с расширением .JPG) 

photo-33 - копия (2).php

 

После этого форум мягко говоря перестал корректно функционировать.

 

Кто-то сталкивался уже с подобным?

Какие есть рекомендации чтобы в будущем избежать печальных последствий от загрузки всякой .... под видом .JPG?

 

 

P.S. Раскодировать эту хрень и понять что там лично я пока не смог, может у кого есть мысли что это и как это.

Изменено пользователем H_A_N
Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

обычно там загрузчик, а шелл уже будет лежать в другой папке

http://php.webtutor.pl/en/2011/05/13/php-code-injection-a-simple-virus-written-in-php-and-carried-in-a-jpeg-image/

солюшн - прогонять картинки через ГД, сохраняя с помощью ее функций

так код отрежется


ну и да, в настройках сервера жестко прописать хтацессом например, какие файлы (расширения) нельзя вызывать на исполнение

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Загрузить файл мало, надо его еще запустить. Проверять картинки смысла нет, нельзя будет картинку загрузить - можно приложить скрипт аттачем к сообщению. Сами по себе картинки не исполняются. Для require или include расширение не важно. Обычно с такими картинками комплектом идут IPB_FIREWALL в conf_global.php или результаты sql-инъекций в cache  - всякие zx.php и т.д. Бывают еще хуки вроде boardindex_lastmessages*.php . 

 

Такие штуки прокидываются 2мя способами:

1. Через дырку в функции сериализации и sql-инъекцию. Эта дырка закрыта в  обновлении от ноября 12 года. 

2. Через нулленные приложения и хуки, в которые добавляются скрытые хуки (названия содержат прячущий js). 

 

Рекомендации, поставить обновления безопасности, их 4 - от 10/12, 11/12, 12/12 и 03/13. А лучше обновиться хотя бы до 3.3 . Для более ранних версий обновления не выходят с апреля 13 года. 
После установки обновлений удалить вражеские хуки и вычистить их из таблицы core_hooks и core_hooks_files . 
Пройтись хотябы grep по картинкам и поискать <?php . Пройтись айболитом ( ai-bolit.php ). Вычистить кеш , в папке cache должна быть только пара php - furlCache.php и globalcaches.php . И никаких обфусцированных скриптов там быть точно не должно. Везде вырезать IPB_FIREWALL . Добавить в index.php первой строчкой после <?php 

define('IPB_FIREWALL', 1);

это заставит невырезанный IPB_FIREWALL в других местах думать, что он уже запущен.

 

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.