GET и POST

MARVEL

Специалист
⚖️
🏆
📜
💎
Ребята, столкнулся со взломом проекта методом скуль иньекций.

Логи показывают, что делается все через геты и посты.

Подскажите плз советом или ссылкой на хорошую статью как и на что можно заменить эти значения. Заранее спасибо!
 

Insallah

Бекапы… Какие бекапы?
🏆
📜
💎
геты и посты — способ передачи информации на сервер, не более. вопрос в том, что их надо проверять на стороне сервера.
вот, например вычитай тут документацию. человек хорошо описывает проблему и способы решения.
vasa-c/go-db
 

dcc0

Некто
Вообще-то других вариантов и нет . Есть ещё push. Для сокетов.
Используй prepared statements. Если с. Mysqli. С pdo вроде тоже. В mysql фактически нет серебряной пули для фикса инъекций
 

MARVEL

Специалист
⚖️
🏆
📜
💎
вот часть лога:

PHP:
188.162.65.43 - - [12/Mar/2019:01:12:10 +0300] "GET /online.php?r1&cas1552342330290.5925&_=1552342330291&key=dd1813b5fbdff1ea1f16861723a6aa36&mid=65495&r1=1&r2=1&r3=0&rndo=1 HTTP/1.1" 200 450 "Произошла ошибка" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"

188.162.65.43 - - [12/Mar/2019:01:12:10 +0300] "POST /phpmyadmin/tbl_operations.php HTTP/1.1" 200 11026 "-" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"

188.162.65.43 - - [12/Mar/2019:01:12:11 +0300] "GET /phpmyadmin/tbl_operations.php?token=905a55e76f461ed81f04bd64b68c45b5&server=1&db=bk2&table=users_SUPBK_RU&ajax_request=true&ajax_page_request=true&_nocache=1552342331318377610 HTTP/1.1" 200 10601 "-" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"
 

oxy

Постигающий
🏆
📜
💎
На счет пост запросов конечно плохо что у тебя они не логгируются

Первый не похож на инъекцию, что во втором я хз. Третий похож на просто запрос к phpmyadmin
 

MARVEL

Специалист
⚖️
🏆
📜
💎
На счет пост запросов конечно плохо что у тебя они не логгируются

Первый не похож на инъекцию, что во втором я хз. Третий похож на просто запрос к phpmyadmin
запросто то - да, но смущает следующее:
bk2&table=users_SUPBK_RU

бк2 это название моей базы а вот юзер какой то его а не мой. у него проект supbk.ru назвался также по ходу
 

Cester

Постигающий
📜
А названия базы пробовал менять?)
И вот еще интересно название таблицы users_SUPBK_RU
Разве такая таблица должна быть?
 

oxy

Постигающий
🏆
📜
💎
То что ты нашел видать уже произошло после взлома!
Ищи по логам его действия до того. Возможно будет что то с других ип.
Ищи в логах
  • апостроф
  • апостроф URL закодированный %27
  • кавычка, кавычка закодированная %22
  • запросы с двумя тире --
  • Возможно где то union select
  • Возможно запросы к нехарактерным разделам, допустим /img/city/sh/last.php?setAdmin=1 (в img не должно быть никаких php)
  • exec любые
  • прошерсти код так же на exec и подобные этому методы
 

Furilen

Интересующийся
📜
вот часть лога:

PHP:
188.162.65.43 - - [12/Mar/2019:01:12:10 +0300] "GET /online.php?r1&cas1552342330290.5925&_=1552342330291&key=dd1813b5fbdff1ea1f16861723a6aa36&mid=65495&r1=1&r2=1&r3=0&rndo=1 HTTP/1.1" 200 450 "Произошла ошибка" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"

188.162.65.43 - - [12/Mar/2019:01:12:10 +0300] "POST /phpmyadmin/tbl_operations.php HTTP/1.1" 200 11026 "-" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"

188.162.65.43 - - [12/Mar/2019:01:12:11 +0300] "GET /phpmyadmin/tbl_operations.php?token=905a55e76f461ed81f04bd64b68c45b5&server=1&db=bk2&table=users_SUPBK_RU&ajax_request=true&ajax_page_request=true&_nocache=1552342331318377610 HTTP/1.1" 200 10601 "-" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Safari/537.36"
Судя по логам кто то просто получил доступы к твоей базе.
 
Сверху