Humans.txt

styleroom · December 26, 2013, 4:28am

всем привет

столкнулся с непонятной ситуацией = ко мне на сайт ломятся странные "люди" приблизительно по таким запросам:


http://mysite.ru/admin/index.php?pg=http://www.google.com/humans.txt?

обращение к гугловскому файлу неизменно, а вот адреса на моем сайте периодически меняются

такое впечатление, что кто-то что-то "пробивает"

ничего не подскажете, народ = может кто сталкивался?

ineersa · December 26, 2013, 9:50am

Кто то ищет уязвимость.

Если получится, то файлик этот заинклудится на странице и злоумышленник будет знать где возможен удаленный инклуд. А с гугла берется просто ради удобства.

styleroom · December 26, 2013, 11:14am

поподробнее можете растолковать - куда и как и что значит "заинклудится"

на стороне кулхацкера?

не совсем понял логику возможного взлома

методом перебора можно выяснять - есть ли файл по такому адресу, но зачем такой ГЕТ-запрос -то

andy_s · December 26, 2013, 11:31am

Очевидно, в какой-нибудь популярной CMS есть подобная уязвимость или была…

styleroom · December 26, 2013, 12:04pm

ну в общем-то wp-login.php ищут постоянно

ineersa · December 26, 2013, 12:50pm

Делаем данный запрос, смотрим на контент. Если в контенте есть содержимое файла - профит мы нашли уязвимость. Пишем вредоносный код, инклудим - профит.

Штука примитивная, но чем черт не шутит. Скорее всего действительно в какой то CMS была подобная уязвимость.

Я бы лучше делал SQL injection тест , больше вероятность попасть в точку при подмене параметров.

styleroom · December 26, 2013, 12:52pm

то есть в файле http://mysite.ru/admin/index.php должно отобразиться содержимое ttp://www.google.com/humans.txt

так что ли?

и куда инклудим хацкерский код?

опять ничего не понял

ineersa · December 26, 2013, 1:15pm




public function actionIndex()

{

   echo $_GET['pg'];

}

Как то так наверное, получим XSS.

Чтобы контент файла заинклудился, даже придумать сложно. Если cURL-ом разве что подгружать кусок контента, а передавать url в параметр, то получим конкретную дырку.

Angel_De_La_Noche · December 26, 2013, 1:17pm

Ну, в некоторых доморощенных скриптах может встретиться такой механизм, например.

При запросе http://mysite.ru/admin/index.php?pg=content.html скрипт тупо открывает указанный в запросе файл (чем-нибудь типа file_get_contents) и отдает его в результат.

Если автор скрипта вообще невменяем - могло бы прокатить и с удаленным файлом.

Короче, не заморачивайтесь.

styleroom · December 27, 2013, 4:12am

to ineersa, ORey = спасибо, парни!

меня эта ситуация не слишком напрягает, но все же…

да и самых ретивых я "режу" на доступ в htaccess

но сегодня с утреца меня "постиг абзац": получил 410 писем за 3 минуты о попытке доступа к разным не существующим файлам имеющих в своей основе слово admin

c ip 178.250.48.82

p.s. ща я эту сцуко "зарублю"!