Val Petruchek

подписывайтесь, а то хуже будет!  

ПОДПИСЫВАЙТЕСЬ НА RSS

« CityCom скукожился
Как проверить, анимированный ли gif файл »

Как ломают сапу

17.07.10 @ 14:28 — Programming, PHP, WebSites

На форуме сапы человек пожаловался на “левые ссылки” среди продажных:

1. Их нет в списке ссылок на акаунте,
2. В sape акаунте прописан style для вывода ссылок, левые же выводятся без этого style

Хеш код один и все ссылки выводит sape_links - если из шаблона убрать конструкцию sape_links - не выводятся не левые ни правые ссылки.

Обнуление links.db ничего не дало, файлик создался опять и те же левые ссылки так же появились..чё думать ума не приложу..

Выяснили, что на сайте стоит “похаченный” sape.php:

Методика данного хака такая:
1. на сервер кидается файл (тут надо или фтп, или аналогичный доступ) под любым именем. В данном случае этот файл был спрятан в качестве jpg фотографии из галереи.

2. В sape.php вносится два изменения в return_links():
$f_name = base64_decode(’************’);
require_once($f_name);
где ********* - “закодированное” имя файла, кинутого на сервер на первом этапе

3. ….

4. PROFIT!!!

Внутри файла - “закодированный” php. Закодированность заключается в нечитаемости исходников, но раскодировать их несложно - используются функции base64_туда, base64_сюда, eval, пляска с файлом (файл открывает сам себя, считывает оттуда закодированный код, раскодирует его и выполняет).

По итогу закодированным оказывается код с другой биржи (типа линкфида), который ставится поверх сапы, и позволяет одновременно обрабатывать и сапоссылки, и свои ссылки. Вот цитата из кода:

define(’LINKFEED_USER’,'3baa192191449805df730ce2cea07a6f13408b14′);
define(’__SAPE_USER’,'’);
define(’_ML_ID’,'2BF37BAF09C11EECC16AF32F77063F20′);

По идее для такого хака нужен фтп доступ на сайт, т.к. даже если в директорию галереи (зачастую с правами доступа 0777) теоретически мог нагадить кто угодно на сервере, то sape.php при стандартных настройках не должен быть доступен.

Я бы посоветовал всем пользователям сапы - параноикам проверять sape.php на предмет изменений (для данного хака характерно наличие base64_decode — в нормальном (моём) sape.php эта функция не вызывается).

No Comments »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

  
Реклама::

 
Реклама::