[Ajutor Securitate] Script PHP Custom - Cineva imi injecteaza site-urile

[ionutzz23]

Salut, mai jos iti ofer un cod care filtreaza si blocheaza SQL INJECTION, in plus de asta el mai face si un log unde salveaza date.

Cod php:

Cod PHP:

$ip = $_SERVER['REMOTE_ADDR'];  
$time = date("l dS of F Y h:i:s A");  
$script = $_SERVER[PATH_TRANSLATED];  
$fp = fopen ("[UCP]SQL_Injection.txt", "a+");  
$sql_inject_1 = array(";","'","%",'"'); #Whoth need replace  
$sql_inject_2 = array("", "","","""); #To wont replace  
$GET_KEY = array_keys($_GET); #array keys from $_GET  
$POST_KEY = array_keys($_POST); #array keys from $_POST  
$COOKIE_KEY = array_keys($_COOKIE); #array keys from $_COOKIE  
/*begin clear $_GET */  
for($i=0;$i<count($GET_KEY);$i++)  
{  
$real_get[$i] = $_GET[$GET_KEY[$i]];  
$_GET[$GET_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_GET[$GET_KEY[$i]]));  
if($real_get[$i] != $_GET[$GET_KEY[$i]])  
{  
fwrite ($fp, "IP: $ip\r\n");  
fwrite ($fp, "Method: GET\r\n");  
fwrite ($fp, "Value: $real_get[$i]\r\n");  
fwrite ($fp, "Script: $script\r\n");  
fwrite ($fp, "Time: $time\r\n");  
fwrite ($fp, "==================================\r\n");  
}  
}  
/*end clear $_GET */  
/*begin clear $_POST */  
for($i=0;$i<count($POST_KEY);$i++)  
{  
$real_post[$i] = $_POST[$POST_KEY[$i]];  
$_POST[$POST_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_POST[$POST_KEY[$i]]));  
if($real_post[$i] != $_POST[$POST_KEY[$i]])  
{  
fwrite ($fp, "IP: $ip\r\n");  
fwrite ($fp, "Method: POST\r\n");  
fwrite ($fp, "Value: $real_post[$i]\r\n");  
fwrite ($fp, "Script: $script\r\n");  
fwrite ($fp, "Time: $time\r\n");  
fwrite ($fp, "==================================\r\n");  
}  
}  
/*end clear $_POST */  
/*begin clear $_COOKIE */  
for($i=0;$i<count($COOKIE_KEY);$i++)  
{  
$real_cookie[$i] = $_COOKIE[$COOKIE_KEY[$i]];  
$_COOKIE[$COOKIE_KEY[$i]] = str_replace($sql_inject_1, $sql_inject_2, HtmlSpecialChars($_COOKIE[$COOKIE_KEY[$i]]));  
if($real_cookie[$i] != $_COOKIE[$COOKIE_KEY[$i]])  
{  
fwrite ($fp, "IP: $ip\r\n");  
fwrite ($fp, "Method: COOKIE\r\n");  
fwrite ($fp, "Value: $real_cookie[$i]\r\n");  
fwrite ($fp, "Script: $script\r\n");  
fwrite ($fp, "Time: $time\r\n");  
fwrite ($fp, "==================================\r\n");  
}  
}  

/*end clear $_COOKIE */  
fclose ($fp); 


Exemplu log

Cod:

IP: 5.12.204.78
Method: GET
Value: clar'
Script: 
Time: Sunday 28th 2013f April 2013 01:35:27 AM

Eu il folosesc si functioneaza foarte bine!

Este bine sa stii:

Acest script nu functioneaza corect daca ai un query "prost"
Exemplu prost:

Cod PHP:

$date = $_GET['id'];
$selectare = mysql_fetch_array(mysql_query("SELECT uid, nume, prenume FROM inscrisi WHERE id=$date")); 


Exemplu corect:

Cod PHP:

$date = $_GET['id'];
$selectare = mysql_fetch_array(mysql_query("SELECT uid, nume, prenume FROM inscrisi WHERE id='".$date."'")); 


Codul il introduci intr-o fila care este inclusa pe toate paginile siteului tau.

O zi seara buna!

[Hakuna Matata]

Multumesc frumos Ionut!

[ionutzz23]

Multumesc frumos Ionut!

Te rog sa-mi zici daca te-a ajutat sa-ti rezolvi problema.

[Hakuna Matata]

Am sa postez aici imediat ce codul va fi implementat si test.

Multumesc frumos inca o data!

Te rog sa-mi zici daca te-a ajuta sa-ti rezolvi problema.

[Cristi G]

Daca iti modifica sursa, inseamna ca vezi exact ora la care a fost modificat fisierul respectiv, te uiti in loguri din cPanel si vezi exact ce ip a accesat si prin ce metoda a facut-o. Daca a facut-o printr-o vulnerabilitate de pe site, poti sa o izolezi destul de usor. Daca apare in logurile FTP, schimbi parola la conturi.

[Hakuna Matata]

Update 1 - Deci ... am verificat log-urile la Raw Access Log insa sunt numai pe ultimele 2 zile iar injectarea a fost facuta pe undeva prin Mai ... se poate vedea din alta parte pe o perioada mai mare?

De asemenea mi-au raspuns si cei de la Hostgator, au gasit bresa insa din log-urile trimise si de ei nu se vede nimic in neregula [am trimis mesaj inapoi astept sa vad ce zic]

Urmeaza sa se testeze scripturile date de colegi mai sus ... am sa revin cu detalii

Daca iti modifica sursa, inseamna ca vezi exact ora la care a fost modificat fisierul respectiv, te uiti in loguri din cPanel si vezi exact ce ip a accesat si prin ce metoda a facut-o. Daca a facut-o printr-o vulnerabilitate de pe site, poti sa o izolezi destul de usor. Daca apare in logurile FTP, schimbi parola la conturi.

[Hakuna Matata]

Ionut am o intrebare:

In loc de $script = $_SERVER[PATH_TRANSLATED] nu ar treui sa fie $script = $_SERVER[REQUEST_URI] intreb asta deoarece directiva PATH_TRANSLATED nu exista

Multumesc anticipat!

Te rog sa-mi zici daca te-a ajutat sa-ti rezolvi problema.

[ionutzz23]

Salut,
Da, era o scapare

Cod PHP:

$script = $_SERVER['REQUEST_URI']; 


Aceasta linie face sa-ti salveze in log locatia(fila) in care se incearca injectarea.

[Hakuna Matata]

@ionut - Am implementat scriptul de la tine, functioneaza perfect si vreau sa-ti multumesc mult pentru timpul pe care mi l-ai alocat.

PS - din pacate eu nu mai pot oferi reputatie astazi asa ca ii rog pe cei care considera ca posturile lui Ionut si ale celorlalti membrii sunt utile comunitatii sa actioneze in consecinta. Multumesc!

[ionutzz23]

Ma bucur ca te-am putut ajuta.

O zi buna.