Плиз HELP! PHP-global-variablen und SPAM...
 

Доброго времени суток!

У меня такая трабла. Сайт на PHP: одна php-index-страница, а остальные includes.

Никаких формуляров и прибамбасов для отправки email нет.

Проблема: провайдер заблокировал страницу по причине того, что нехорошими ребятами используется дыра в PHP страницы для рассылки спама. Подсказали, что проблема с global-variables, как я поеял - это те, что с $.

Сам я в PHP не силён. В Гугле ответ касательно моей проблемы я не нашёл.

Вопрос знатокам:

Есть ли действительно такая проблема с PHP

Добавлено через 4 минуты
модераторы, я темку отправил один раз, видимо коннект проглючил. Сорри, прошу дубляж удалить.
Thanx.

Haendler, код в студию.
вполне возможна, что твоя страница содержит бреши безопасности.
Если кто-то будет иметь желание посмотрит на твой код. проанализирует.
а быстрее всего, будет обратиться на сайт разработчика.

Код
 

Псих,

Сайт "разработчика" я приостановил до выяснения обстоятельств.

Вопрос знатокам:

Есть ли действительно такая проблема с PHP и рассылкой спама?
Что можно порекомендовать или исправить в моём случае?

За раннее благодарен. :beer:

Я имел ввиду сайт создателя скрипта. туда надо обратиться с вопросами.
Если там действительно дыра, может быть все что угодно. Все зависит от обстоятельств

Пока не станет известно, есть ли там дыра говорить о том "как" и "что" нельзя

Так, мне сказали, 4то надо искат проблему с Cross-Site-Skripting.

Как возможный вариант - исползоват strip_tags

Что скажут знатоки?

Там только главный файл. В нём смотреть неначто. Сколько там всего файлов?
Теоретически, если от тебя спам уходит, гдето должна быть прописана функция mail().
Ещё непонятно где присваивается $m1. До строчки if (isset($m1) его нигде нет. Если там используется автоматическое создание переменных - скрипт на помойку.
Конечно можешь попробовать в начале скрипта прописать проверки типа
$m1 = ( array_key_exists('m1', $_GET) ) ? addslashes($GET['m1']) : null;

Только там полезно знать что должно передаваться в скрипт. Если цифры, тогда проверять соответственно.

EvroStandart,

Thanx.

там всего один php-фаил. Осталные - обы4ный техт, идут как include.

Никаких mailer`ов и пр. там нет.
Просто информативный сайт.

Переменные "м" - ето для меню. Т.е. меню строится из php-переменных. Вот и все.

Даа. Странно.
Скрипт вообще кривой конечно. Делать инклуд через полный адрес в интернете - это сильно. Если тебе указали на Cross-Site-Skripting, значит этот полный адрес гдето подменяется.
Если этот скрипт такой маленький, лучше сделать заново по-нормальному.

зада4а такая была, 4тобы в меню ссылка стояла.

не обязателно етот. Как я понимаю, дело в global-variables, которые легко манипулироват'. Вопрос скорее v том, 4то конкретно нужно изменит'

скрипт-то работает, но у него есть дыры. Чтобы его переписат надо сначала разобратся, что не так. Ето и есть мой вопрос к знатокам: что в нем не так?

Ну, ошибся немного. Очень там всё запутано.

А ты пробовал как я предложил на 4 поста выше?

Понятно, что работает. Просто прощё написать заново, чем исправлять такой кривой скрипт.

Это одна большая дырка:
if (isset($m3)) include ($m3 . ".inc");

Я могу передать в $m3 адрес любого скрипта, и он будет к твоему прикрепляться.

ЕвроСтандарт,

Thanx за ответ.:yees:

Я понял, где искать.
Попробую предложенный вариант. А там отпишусь.
:beer:

не совпадает с

что имеется в виду?:rolleyes:

Ошибка, на которую указал EvroStandart называется инклудинг.
Xss он же
заключается во внедрении в твой код зловредного кода, который чаще всего похищает сессию(куки)

Псих,

проблема была в том, что провайдер временно закрыл страницу, пока не будет исправлен код, с помощью которого со страницы, где нет ни майлеров, ни поиска, отсылался спам.

Так что же нужно в самом деле исправлять? То, что имеет в виду EvroStandart?

Тебе про Cross-Site-Skripting неправильно подсказали.

Исправляй :)

Посмотрите последние логи перед закрытием, какие параметры использовали при вызове скрипта, что передавали.

Такс, немного разобрался. Действительно там было возможно любой адрес в значение переменной задать. Нашёл некоторые ссылки по теме, может кому пригодится, у кого тоже такая проблемка.

уязвимости веб приложений и что это такое
_http://hackedpro.org/forum/showthread.php?t=2
и ещё сам процесс
_http://www.hackedpro.org/forum/showthread.php?t=43

Т.к. с PHP я не очень знаком, эксперементировать не стал - отдал программисту вместе с предложением от EvroStandart. Посмотрим, что получится.

Всем огромное THANX!!!

Uwajaemij Haendler!

Nemnogo teorii dlya was: kak Wi dumaete, pochemu w PHP suschestwuet wozmojnost ispolzowaniya sessij? Prichin neskolko:
- sohranenie sostoyaniya mejdu wizowami na storone servera dlya ekonomii traffika i uwelicheniya skorosti otklika.
- hranenie dannih w meste "nedostupnom" polzowateliu.

Podumaite, wozmojno-li eto w Washem sluchae.

Na buduschee: Wi wsegda doljni bit nemnogo paranoikom. W sluchae s PHP analiziruite kajduju peremennuju peredawaemuju mejdu serverom i klientom s tochki zreniya wozmojnosti sozdaniya nerasschetnoi situacii. Staraites ne ispolzowat sistem s otkritim kodom. Esli Wi nanimaete programmista - daite emu zadanie i otprawte na ocenku k cheloweku zarekomendowawshemu sebya.

S uwajeniem,

helldomain

Уважаемый helldomain,

Как я говорил, с PHP я не особенно знаком. Скрипт был написан не мной, а его автор остался мне не известен.

имеется в виду сам PHP скрипт прятать в отдельный include, или как понимать открытый код?