作者fowei (小維)
看板PHP
標題[請益] 網站應該是被植入東西的感覺
時間Sat Apr 5 09:47:31 2014
最近才在想MIS的工作已經比較穩定了. 結果昨天下午發生網站異常.
智邦打來說我家有一支 lottery 的程式一直用POST的方式上傳檔案.
這支程式是寫在官網的一支抽獎登錄程式. 讓顧客消費後去登錄.
是由各門市於門市電腦開啟後. 放著讓顧客登錄用.
這程式在去年就已經有運作一年了. 想不到今年出了這個問題.
這是一支用yii架構寫的程式. 去年曾經被機器人攻擊.
後來就在程式一開頭加上IP驗證如下 :
if (empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$myip = $_SERVER['REMOTE_ADDR'];
} else {
$myip = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$myip = $myip[0];
}
// 透過IP找尋對應門市
$store = Store::model()->findByAttributes(
array('storeip'=>$myip)
);
然後判斷這個IP有找到門市. 表示這是公司電腦. 才能開啟登錄頁面.
而官網也有另一支抽獎. 是加入數字驗證碼後才免除這個問題.
但是重點來了. 明明這個月都沒更新抽獎程式. 怎麼會突然這樣.
想起去年. 智邦工程師曾有打電話來. 說我網頁最後被植入惡意程式碼.
所以他發現後幫我移除. 然後說是我密碼太簡單的關係.
然後我就改了很複雜的密碼 ..
我在想. 都沒做什麼. 網頁忽然自己又發情. 會不會又是同樣的問題啊?
目前是打算把程式都重上.
想問問各位版友. 有沒有什麼方法或方向可以提供給我. 我去檢查或改善的.
===================================================================
話說小公司公開的抽獎網站. 真的有人無聊去攻擊嗎 Q.Q
--
生活的藝術. 大概是只有被創造的人才能體會吧
http://www.wretch.cc/album/fowei
☑電影 ☑單車 ☑遊戲 ☑墮落
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.249.143.208
※ 文章網址: http://webptt.com/m.aspx?n=bbs/PHP/M.1396662454.A.3DD.html
1F:→ amhuang:最好是真正找出被黑的紀錄去改善 也不一定是密碼太簡單 04/05 16:17
2F:→ amhuang:智邦真的知道密碼太簡單... 這就囧了 04/05 16:18
3F:→ alog:HTTP_X_FORWARDED_FOR 是一個可以 FAKE的東西 04/05 21:05
4F:→ alog:那只是一種參考用的東西,是無法作為正確IP的 04/05 21:06
5F:→ alog:另外就是,很多人都沒檢查過IP的格式 04/05 21:07
6F:→ alog:就舉例來說 HTTP_X_FORWARDED_FOR 是可以偽造的 04/05 21:08
7F:→ alog:你想填什麼都無所謂,只要有一個基本的 http client object 04/05 21:08
8F:→ alog:就可以生出一個 http request 到伺服器上面去 04/05 21:08
9F:→ alog:也因為這樣,HTTP_X_FORWARDED_FOR 的資料被作為 ip 04/05 21:09
10F:→ alog:IP 很少人會去特別驗證格式,因此我可以在裡面塞 html code 04/05 21:09
11F:→ alog:套出你後台位置、cookie or sql injection 04/05 21:09
12F:→ fowei:不好意思最近忙不少瑣事. 謝謝版友的回覆. 04/11 11:00
13F:→ fowei:因為目前沒什麼空去處理這個問題. 看起來好像也不好解 = = 04/11 11:01
14F:→ fowei:目前是先把程式重新上傳一次就解決了. 真的給它很麻煩 04/11 11:01
15F:→ fowei:如果再發生.. 再跟上頭爭取時間做安全性的改善囉 Q.Q 04/11 11:02