Плиз HELP! PHP-global-variablen und SPAM...

[Haendler]

Доброго времени суток!

У меня такая трабла. Сайт на PHP: одна php-index-страница, а остальные includes.

Никаких формуляров и прибамбасов для отправки email нет.

Проблема: провайдер заблокировал страницу по причине того, что нехорошими ребятами используется дыра в PHP страницы для рассылки спама. Подсказали, что проблема с global-variables, как я поеял - это те, что с $.

Сам я в PHP не силён. В Гугле ответ касательно моей проблемы я не нашёл.

Вопрос знатокам:

Есть ли действительно такая проблема с PHP

Добавлено через 4 минуты
модераторы, я темку отправил один раз, видимо коннект проглючил. Сорри, прошу дубляж удалить.
Thanx.

[Псих]

Haendler, код в студию.
вполне возможна, что твоя страница содержит бреши безопасности.
Если кто-то будет иметь желание посмотрит на твой код. проанализирует.
а быстрее всего, будет обратиться на сайт разработчика.

[Haendler]

Псих,

Сайт "разработчика" я приостановил до выяснения обстоятельств.

Вопрос знатокам:

Есть ли действительно такая проблема с PHP и рассылкой спама?
Что можно порекомендовать или исправить в моём случае?

За раннее благодарен.

[Псих]

Цитата:

Сообщение от Haendler

Сайт "разработчика" я приостановил до выяснения обстоятельств

Я имел ввиду сайт создателя скрипта. туда надо обратиться с вопросами.

Цитата:

Сообщение от Haendler

Есть ли действительно такая проблема с PHP и рассылкой спама?

Если там действительно дыра, может быть все что угодно. Все зависит от обстоятельств

Пока не станет известно, есть ли там дыра говорить о том "как" и "что" нельзя

[Haendler]

Так, мне сказали, 4то надо искат проблему с Cross-Site-Skripting.

Как возможный вариант - исползоват strip_tags

Что скажут знатоки?

[EvroStandart]

Цитата:

Сообщение от Haendler

код в приложении.

Там только главный файл. В нём смотреть неначто. Сколько там всего файлов?
Теоретически, если от тебя спам уходит, гдето должна быть прописана функция mail().
Ещё непонятно где присваивается $m1. До строчки if (isset($m1) его нигде нет. Если там используется автоматическое создание переменных - скрипт на помойку.
Конечно можешь попробовать в начале скрипта прописать проверки типа
$m1 = ( array_key_exists('m1', $_GET) ) ? addslashes($GET['m1']) : null;

Только там полезно знать что должно передаваться в скрипт. Если цифры, тогда проверять соответственно.

[Haendler]

EvroStandart,

Thanx.

Цитата:

Сообщение от EvroStandart

Там только главный файл. В нём смотреть неначто. Сколько там всего файлов?

там всего один php-фаил. Осталные - обы4ный техт, идут как include.

Никаких mailer`ов и пр. там нет.
Просто информативный сайт.

Переменные "м" - ето для меню. Т.е. меню строится из php-переменных. Вот и все.

[EvroStandart]

Даа. Странно.
Скрипт вообще кривой конечно. Делать инклуд через полный адрес в интернете - это сильно. Если тебе указали на Cross-Site-Skripting, значит этот полный адрес гдето подменяется.
Если этот скрипт такой маленький, лучше сделать заново по-нормальному.

[Haendler]

Цитата:

Сообщение от EvroStandart

Делать инклуд через полный адрес в интернете - это сильно.

зада4а такая была, 4тобы в меню ссылка стояла.

Цитата:

Сообщение от EvroStandart

Если тебе указали на Cross-Site-Skripting, значит этот полный адрес гдето подменяется.

не обязателно етот. Как я понимаю, дело в global-variables, которые легко манипулироват'. Вопрос скорее v том, 4то конкретно нужно изменит'

Цитата:

Сообщение от EvroStandart

Если этот скрипт такой маленький, лучше сделать заново по-нормальному.

скрипт-то работает, но у него есть дыры. Чтобы его переписат надо сначала разобратся, что не так. Ето и есть мой вопрос к знатокам: что в нем не так?

[EvroStandart]

Цитата:

Сообщение от Haendler

зада4а такая была, 4тобы в меню ссылка стояла.

Ну, ошибся немного. Очень там всё запутано.

Цитата:

Сообщение от Haendler

Вопрос скорее v том, 4то конкретно нужно изменит'

А ты пробовал как я предложил на 4 поста выше?

Цитата:

Сообщение от Haendler

скрипт-то работает, но у него есть дыры.

Понятно, что работает. Просто прощё написать заново, чем исправлять такой кривой скрипт.

Это одна большая дырка:
if (isset($m3)) include ($m3 . ".inc");

Я могу передать в $m3 адрес любого скрипта, и он будет к твоему прикрепляться.

[Haendler]

ЕвроСтандарт,

Thanx за ответ.

Я понял, где искать.
Попробую предложенный вариант. А там отпишусь.

[Псих]

Цитата:

Сообщение от EvroStandart

Это одна большая дырка:
if (isset($m3)) include ($m3 . ".inc");

не совпадает с

Цитата:

Сообщение от Haendler

Так, мне сказали, 4то надо искат проблему с Cross-Site-Skripting.

[Haendler]

Цитата:

Сообщение от Псих

не совпадает с

что имеется в виду?

[Псих]

Цитата:

Сообщение от Haendler

что имеется в виду?

Ошибка, на которую указал EvroStandart называется инклудинг.
Xss он же

Цитата:

Сообщение от Haendler

Cross-Site-Skripting

заключается во внедрении в твой код зловредного кода, который чаще всего похищает сессию(куки)

[Haendler]

Псих,

проблема была в том, что провайдер временно закрыл страницу, пока не будет исправлен код, с помощью которого со страницы, где нет ни майлеров, ни поиска, отсылался спам.

Так что же нужно в самом деле исправлять? То, что имеет в виду EvroStandart?

[EvroStandart]

Тебе про Cross-Site-Skripting неправильно подсказали.

Цитата:

Сообщение от Haendler

Так что же нужно в самом деле исправлять? То, что имеет в виду EvroStandart?

Исправляй

[Hubbitus]

Посмотрите последние логи перед закрытием, какие параметры использовали при вызове скрипта, что передавали.

[Haendler]

Такс, немного разобрался. Действительно там было возможно любой адрес в значение переменной задать. Нашёл некоторые ссылки по теме, может кому пригодится, у кого тоже такая проблемка.

уязвимости веб приложений и что это такое
_http://hackedpro.org/forum/showthread.php?t=2
и ещё сам процесс
_http://www.hackedpro.org/forum/showthread.php?t=43

Т.к. с PHP я не очень знаком, эксперементировать не стал - отдал программисту вместе с предложением от EvroStandart. Посмотрим, что получится.

Всем огромное THANX!!!

[helldomain]

Uwajaemij Haendler!

Nemnogo teorii dlya was: kak Wi dumaete, pochemu w PHP suschestwuet wozmojnost ispolzowaniya sessij? Prichin neskolko:
- sohranenie sostoyaniya mejdu wizowami na storone servera dlya ekonomii traffika i uwelicheniya skorosti otklika.
- hranenie dannih w meste "nedostupnom" polzowateliu.

Podumaite, wozmojno-li eto w Washem sluchae.

Na buduschee: Wi wsegda doljni bit nemnogo paranoikom. W sluchae s PHP analiziruite kajduju peremennuju peredawaemuju mejdu serverom i klientom s tochki zreniya wozmojnosti sozdaniya nerasschetnoi situacii. Staraites ne ispolzowat sistem s otkritim kodom. Esli Wi nanimaete programmista - daite emu zadanie i otprawte na ocenku k cheloweku zarekomendowawshemu sebya.

S uwajeniem,

helldomain

[Haendler]

Уважаемый helldomain,

Цитата:

Сообщение от helldomain

Wi wsegda doljni bit nemnogo paranoikom. W sluchae s PHP analiziruite kajduju peremennuju...

Как я говорил, с PHP я не особенно знаком. Скрипт был написан не мной, а его автор остался мне не известен.

Цитата:

Сообщение от helldomain

Staraites ne ispolzowat sistem s otkritim kodom.

имеется в виду сам PHP скрипт прятать в отдельный include, или как понимать открытый код?