Søg
Avatar billede snigeren Nybegynder
16. maj 2009 - 15:51 Der er 7 kommentarer og
1 løsning

hjemmeside hacket, index.php hullet?

Jeg har en hjemmeside der er blevet hacket. Cliche der er host siger det er min php den er gal med. At de har fundet et sikkerhedshul,..

Koden til index.php:

<?php
    include("db.php");
   
    $cxn = @ConnectToDb($dbServer, $dbUser, $dbPass, $dbName);
   
    $where = "";
    if (isset($_GET['id']) && !empty($_GET['id'])) {
      $where = "WHERE id = " . $_GET['id'];
    } else {
      $where = "WHERE id = 1";
    }
   
    $query1 = mysql_query("SELECT * FROM sideindhold " . $where)or die(mysql_error());
    $indhold = mysql_fetch_array($query1);
    ?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Jernbanemaerker</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Title" content="Jernbanemaerker - Jernbanemaerker privat samlinger og løse mærker til salg">
<meta name="description" CONTENT="Jernbanemaerker.dk er stedet hvor du kan finde de manglende jernbanemærker, dampskibsmærker og julemærker til din samling.">
<meta name="keywords" CONTENT="godsfrimærker, frimærker, jernbanemærker, damskibsmærker, postfriske, breve, julemærker, takkede, utakkede, samling, samler">
<meta name="robots" content="index,follow">
<meta name="copyright" content="Jernbanemaerker - www.Jernbanemaerker.dk">
<meta name="author" content="Jernbanemaerker">
<META NAME=\"Revisit-after\" CONTENT=\"5\">
<link href="css/styles.css" rel="stylesheet" type="text/css">

<script language="javascript" type="text/javascript">
    window.onload = function(){update();setInterval('update()',60000)}
    function update(){
      var d = new Date();
      document.getElementById('minSpan').innerHTML = d.format("hh:uu | \\d. d. mmmm");
    }
  </script>
  <script language="javascript" type="text/javascript" src="roenvingDate.js"></script>
</head>

<body bgcolor="#D8C5A3">
<table width="900" border="0" align="center" cellpadding="0" cellspacing="0">
  <tr align="right" valign="top">
    <td width="900" height="143" class="top"><table width="555" height="138" border="0" cellpadding="0" cellspacing="0">
  <tr>
    <td align="left" valign="bottom" class="style2"><p class="style2 style5"><?php include("menu.php"); ?></td>
  </tr>
</table></td>
  </tr>
  <tr>
    <td valign="top" class="body" bgcolor="#F2E3C8"><table width="100%" height="428"  border="0" cellpadding="0" cellspacing="0">
      <tr>
        <td width="245" height="349" align="center" valign="top" class="left"><p>&nbsp;</p>
          <table width="80%" border="0" cellpadding="0" cellspacing="0" class="style2">
          <tr>
            <td align="left"><span class="style6">Jernbanem&aelig;rker</span><br>                <a href="index.php?id=1">Forside</a>                <p class="style2"><span class="style6">Caritas</span><br>
                  <a href="index.php?id=2" target="_parent">&Aring;rhus julem&aelig;rkesamler forening</a><br>
                  <a href="pdf/caritas_feb_09.pdf" target="_blank">Caritas bladet No. 15 februar 2009</a><br>
                  <a href="pdf/caritas_aug_08.pdf" target="_blank">Caritas bladet No. 14 august 2008</a><br>
                  <a href="pdf/caritas_feb_08.pdf" target="_blank">Caritas bladet No. 13 februar 2008</a><br>
                  <a href="pdf/caritas_aug07.pdf" target="_blank">Caritas bladet No. 12 august 2007</a><br>
                  <a href="pdf/caritas_feb_07.pdf" target="_blank">Caritas bladet No. 11 februar 2007</a><br>
                  <a href="pdf/caritas_aug_06.pdf" target="_blank">Caritas bladet No. 10 august 2006</a><br>
                  <a href="pdf/caritas_2006.pdf" target="_blank">Caritas bladet No. 9 februar 2006</a><br>
                  <a href="pdf/caritasbladet.pdf" target="_blank">Caritas bladet No. 8 august 2005</a><br>
                <p class="style2"><span class="style6">Dansk Fragt- og Bane- m&aelig;rkeklub </span><br>
                    <a href="index.php?id=3" target="_parent">Info om klubben</a></p>
                    <p class="style2"><span class="style6">Julemærkeklubber </span><br>
                    <a href="klubber.php" target="_parent">Info om klubberne</a></p>
                <p class="style2"><span class="style6">Samlere m&oslash;des</span><br>
                  <a href="index.php?id=5">Byttedage og samlerm&oslash;der </a></p>
                <p class="style2"><span class="style6">Andet</span><br>
                  <a href="index.php?id=8">Garage/parkeringspladser k&oslash;bes</a><br>
                  <br></p>                </td>
          </tr>
        </table></td>
        <td width="655" align="center" valign="top" class="middle"><p>&nbsp;</p>
          <table width="93%"  border="0" cellspacing="0" cellpadding="0">
            <tr align="left" valign="top">
              <td colspan="4" class="style2"><h1><?php echo $indhold['headline']?></h1>
                <p><?php echo nl2br($indhold['indhold']);?></p>
                <p>&nbsp;</p>
                </td>
            </tr>
            <?php
            if($indhold['id']==1){
            echo "<tr align='left' valign='top'>
                    <td colspan='4' class='style2'><h1>Jernbanemaerker / Godsfrimærker</h1></td>
                  </tr>
                  <tr>
                      <td colspan='4'><img src='gfx/forside_pic1.jpg' width='608' height='79'><br><br><br></td>
                  </tr>
                  <tr>
                      <td colspan='2' align='left' valign='top' class='style2'>
                    </td>
                </tr>
                <tr align='left' valign='top'>
                      <td colspan='4' class='style2'><br><h1><br>Prøvetryk / udkast jernbanemærker</h1></td>
                    <tr><td colspan='4'><img src='gfx/forside_pic2.jpg' width='608' height='79'><br><br><br></td></tr>
                </tr>
                <tr>
                      <td colspan='2' align='left' valign='top' class='style2'> </td>
                </tr>
                <tr align='left' valign='top'><td colspan='4' class='style2'><br><h1><br>Dampskibsmærker / Godsfrimærker: </h1></td></tr>
                <tr><td colspan='4'><img src='gfx/forside_pic3.jpg' width='608' height='79'><br><br><br></td></tr>
                <tr>
                      <td width='44%' align='left' valign='top' class='style2'></td>
                </tr>
                <tr align='left' valign='top'>
                      <td colspan='4' class='style2'><br><h1><br>Julemærker i ark : </h1></td>
                </tr>
                <tr>
                    <td colspan='4'><img src='gfx/forside_pic4.jpg' width='608' height='79'><br><br><br></td>
                </tr>
                <tr>
                      <td colspan='2' align='left' valign='top' class='style2'></td>
                </tr>";
            }
            ?>
          </table>         
          </td>
      </tr>
    </table>
      <table width="100%"  border="0" cellspacing="0" cellpadding="0">
        <tr>
          <td colspan="3" height="2" bgcolor="#D8C5A3"></td>
        </tr>
        <tr>
          <td width="16%" align="right" valign="middle" id="dato" title="Dato" class="style2"><br>
          <span id="minSpan"></span></td>
          <td width="83%" align="right"><p class="style2"><br>
          Design og programmering af Klaus Nissen, <a href="http://www.triodimenzionale.dk" target="_blank">www.Triodimenzionale.dk</a></p>          </td>
          <td width="1%" align="right">&nbsp;</td>
        </tr>
        <tr>
          <td align="right" valign="middle" id="dato" title="Dato" class="style2">&nbsp;</td>
          <td align="right">&nbsp;</td>
          <td align="right">&nbsp;</td>
        </tr>
    </table>    </td>
  </tr>
</table>
<script language="javascript1.2" src="http://stat01.cliche.parameter.dk/counter/e2c25427578c73ce970408c7c7ec9d48"></script>
</body>
</html>



Håber i kan hjælpe, på forhånd tak!
Avatar billede keysersoze Ekspert
16. maj 2009 - 16:04 #1
http://en.wikibooks.org/wiki/PHP_Programming/SQL_Injection
Avatar billede droa Novice
16. maj 2009 - 16:21 #2
det har jeg os prøvet,

    $where = "";
    if (isset($_GET['id']) && !empty($_GET['id'])) {
      $where = "WHERE id = " . $_GET['id'];
    } else {
      $where = "WHERE id = 1";
    }

det er der som det er galt
Avatar billede keysersoze Ekspert
16. maj 2009 - 16:32 #3
Der er lidt mere læsestof her.

Hvis du har prøvet alt bliver du nødt til at skrive hvad du har prøvet - ellers er det jo umuligt at se hvor hullerne så ligger. I den kode du har postet to gange nu er der i hvert fald piv åbent.
Avatar billede keysersoze Ekspert
16. maj 2009 - 16:32 #4
hov - glemte linket; http://www.eksperten.dk/spm/870686
Avatar billede snigeren Nybegynder
16. maj 2009 - 17:40 #5
hey soze

Tak for kommentaren, jeg kan se der er nok at tage fat på,..

Jeg har i mellemtiden fundet ud af at dem der har hacket siden har været inde og erstatte filer på serveren, bl.a. db.php hvordan kan de det? Skal man ikke have ftp pass for at kunne den slags? Eller er det meget almindeligt at man kan gøre den slags som hacker?

Først tror jeg de fleste filer på serveren var væk og der var nogle nye, dem slettede jeg så og i en af undermapperne lå der en .exe fil jeg ikke kan huske hvad hedder mere. Hvorom alting er så har jeg slettet alt og uploadet nyt og nu virker det igen.

Er der en mere sikker måde at hente db.php ind en med include? og kan hackerne nemt se hvad der står i db.php?
Avatar billede baitianlong Nybegynder
16. maj 2009 - 22:35 #6
simpleste maade er at fjerne <%, <? og evt. <script fra input felter

du kan bruge str_replace eller html_entities, eller endnu bedre, blot ignorere disse inputs!

jsp:

if(request.getParameter("mittextfelt").indexOf("<" > -1)) {
  //Glem skidtet
} else {
  //gem skidtet;
}

php:

if(!strstr($_REQUEST['mittextfelt'], "<")) {
  //glem skidtet
osv...
Avatar billede keysersoze Ekspert
06. juni 2009 - 10:13 #7
lukketid?
Avatar billede snigeren Nybegynder
08. juni 2009 - 17:16 #8
mjaa, har for lidt tid som sædvanlig så nu lukker jeg bare her og må løse problemet senere, men tak for info. soze værsgo.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Bruge PHP til at hente hjemmeside med fsockopen Af Strawberry i PHP 18 29/01/202613:08 02/02/202610:29
Hjemmeside der virker både på mobil og computer Af Strawberry i PHP 6 25/01/202620:06 30/01/202618:53
Hvordan får jeg reCAPTCHA på min hjemmeside? Af Strawberry i PHP 1 20/01/202621:11 23/01/202618:04
MS Graph vis kalenderaftaler Af dane022 i PHP 0 06/11/202508:43 -
Hente data fra DEVICE via websocket Af nemlig i PHP 6 25/06/202512:37 25/06/202519:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
29/0411:38 JAVASCRIPT omdan ekstern variabel til søjleværdi .. Af snestrup2000 i Programmeringsværktøjer
29/0409:50 jeg mangler hjælp til opsætning af shop og Google ADS Af Hightech i Webhotel
White papers
Flere white papers »