Pull to refresh

Comments 35

Напоминает открытие пивной бутылки об любой угол, даже об глаз.
А мне вот пример preg_replace('/.*/e', 'print("Test")', ''); понравился. Не зная всех ключей, интуитивно можно не догадаться что этот код исполняемый.
в документации к этому модификатору куча предупреждений, одно из которых советует вообще не использовать оный.
Да, портянка base64 в коде, совсем без палева :)
когда он в середине портянки gif/jpg — не очень уж заметно… особенно на глаз :) поиск-то находит.
Имхо, такие портянки данных, зашитые в коде — это не гут.
да я про вирусы которые так прячутся =(
Умельцы чаще всего используют различные модификации обратимого XOR (особо извращенные)
Этот ключ Deprecated в PHP 5.5
UFO just landed and posted this here
Нет, перечислить все варианты, как можно неявно вызвать код. Половина примеров не имеет отношения к callable.
Сталкивался с тем, что многие хостеры такие штуки начали запрещать фильтрами mod_security на уровне Апача (комменты в assert(), eval(), всякое подобное).
Наткнулся случайно, когда вдруг внезапно у клиента стал помирать рабочий скрипт с дебаг-кодом с assert()'ами. Хостеры (godaddy кстати) потом раскололись и рассказали.
Сейчас функции запрещают в настройках suhosin (настройки suhosin.executor.func.blacklist, suhosin.executor.eval.blacklist), можно даже мофификатор /e запретить (http://www.hardened-php.net/suhosin/configuration.html#suhosin.executor.disable_emodifier). Ну либо отключать функции через disable_functions в php.ini, лишь бы доступ к нему был на хостинге.
А suhosin разве еще жив?
Не то что жив, во многих дистрибах по умолчанию с php ставится.
Там же последняя версия подо что-то из раннего PHP 5.3, которое уже все, емнип, в этом году.
Ну дык и дистрибы на серверах (не говоря уже о ленивых хостерах) не всегда самые модные и последние. Как говориться пока работает — лучше не трогать.
Дело не в модности а в уязвимостях. Для 5.3 уже и так почти ничего не коммитят, а скоро даже секурити-фиксов не будет.
Когда не будет фиксов и если админам не всеравно, тогда и буду обновляться. Только вот на каком нибудь shared hosting страшно наверное это делать. У юзеров че нить поломается и разгребай потом кучу негатива в саппорте. Да и вообще разные ситуации бывают.
зы: глянул у себя интереса ради, по дефолту ниже 5.4.4 нет, если не считать старой VPS-ки, где 5.2 еще.
На shared'ах нормальные хостеры обычно за несколько месяцев рассылку клиентам делают.
Не в курсе, давно не пользуюсь, но N лет назад было так: хостер поменяет конфиг/версию и сиди ковыряй клиентские сайты с горой варнингов и фатал ерроров. Даже если предупреждает — хрен знает кто что кому и как накодил и CMS-ки мало кто обновляет, как и фреймворки и прочее. Короче непредсказуемая это штука — поменять версию и настройки так, чтоб ни у кого и ничего не поломалось.
ну большинство тех с кем я работал обновляли конфигурацию только для новых клиентов. Старым только по запросу. У некоторых так же есть возможность выставить нужную версию, хоть 5,5 хоть 5,2
RHEL? Centos?
Для них секьюрити-фиксы будут.
Прочитал статью, понял, что ещё час придётся от последнего «защищать» проект…
По моему когда залили шелл — не надо сидеть и изучать сам шелл. Надо узнать как его собственно залили и исправить дырку в безопасности. А убрать шелл — git reset --hard
git stash — и можно сидеть, изучать. :)
И чего?)
git stash list
А можно еще и закоммитить че-нить. Смысл в том что если используется VСS — убрать шелл можно парой комманд.
Да, можно вообще отдельную ветку для внешних разработчиков выделить. :P
Однажды видел на сервере PHP-шелл, подключенный через .htaccess:

php_value auto_append_file "/path/to/shell.php"
Ну это просто.
Я как-то раз видел вот такое:

AddType application/x-httpd-php .jpg

Это вот + какая нибудь Joomla и получается очень плохо.

А по хорошему *.jpg,*.gif nginx сам лично отдаёт.
Еще в копилку, хоть это и вызов shell_exec, а не php-кода, но оператор backticks тоже надо иметь ввиду:
`$_GET['c']`;
Вы бы все функции, которые с коллбеками работают в один пример объединили бы. Во-первых, это по сути один приём, во-вторых, вы всё равно далеко не все перечислили.
Sign up to leave a comment.

Articles