stazeny index

kamos mi napsal ze mu najednou z cista jasna muj web nabidl stazeni souboru, jak tam prisel. Tak jej zkusil ulozit. Jednalo se o soubor index.php3

jake bylo jeho prekvapeni kdyz zjistil, ze soubor neni prazdny, ale obsahuje zdrojový kod indexu s hesly na databazi a php skripty.

muzete mi to prosimvas nekdo vysvetlit, prece neni normalni aby se stahl nekomu index, a vetsine lidem bezel jako normalni php soubor...

kdyz tam normalne prijdu tak se mi to nikdy nestalo, a najednou mi nekdo napise ze se mu to nabidnulo k ulozeni...

Mate s tim nekdo zkusenosti, dekuju za odpovedi ;)

<HTML>(to je lepší)

Nikdo neví, čím to je. Občas se tu objeví někdo s hlášením tohoto problému - bohužel se nedá nijak reprodukovat. Doufám, že to bylo i tvoje překvapení (myslím tím, že jsi jím stažený soubor viděl a že dotyčný kámoš nekecal).

V každém případě:
- nemělo by se to dít
- pokud se to děje, nedaří se problém vyvolat, aby se dal nějak detekovat (pokaždé, když se s tím někdo ozve, zkoušíme to každý, kdo tady jde cestou kolem a zatím ani ťuk)

Možná by pomohly nějaké další informace, jako např. kdy to bylo (aby se to dalo případně dohledat v logu), zda byl server nějak vytížený (což se ale nepozná ze situace, kdy byl nabídnut skript ke stažení, ale spíše ze situace, kdy skript nabídnut ke stažení nebyl) apod. Prostě cokoliv podezřelého - představ si to jako vyšetřování ztráty třídní knihy - neví se, zda vůbec existuje, kdo ji odcizil, kdy ji odcizil atd.</HTML>

<HTML>http://www.webzdarma.cz/forum/read.php?f=2&i=43272&t=43272</HTML>

neveril jsem mu to dokud mi ho kamos neposlal na mail :(

Viz Thalia.

Jinak se mi jaksi nezamlouvá startovací soubor index.php3. Nevím, zda je ještě vůbec takto globálně nastaven. Jestli to máte takto nastavené v .htaccess, pak je chyba možná v tomto.

Ale i tak bych doporučoval přejmenovat všechny *.php3 na *.php a upravit jejich odkazy.

to je pech, nejdrive mi diky chybe v hostingu nekdo hackne web, a video jak se mu to povedlo dá na net, a tedka tohle... Se mi nějak lepí smůla na paty...

Tomík: víš ty vůbec kolik ten můj web obsahuje php3 souborů, bych to dělal týden :D

Hromadné přejmenování a funkce "najít a nahradit" by to určitě urychlilo ;)
Trošku za to můžete i sám. V roce 2005 už existoval i PHP5. Takže v té době muselo být jisté, že použít *.php3 nebo *.php4 je přitažené za hlavu.

Ale jak chcete, klidně si to nechejte tak, jak to máte. Jen si vemte do hlavy, že v budoucnu se s tím můžete dostat do problému. Správce může aktualizovat server a do seznamu zapomene přidat index.php3, či hůře, zapomene nastavit, aby zpracovával i php3. To se pak budou soubory stahovat o stošest.

Přejmenování není nutné .php3 funguje normálně. Doporučil bych část s hesly includovat z nějakého jiného souboru .php, šance útočníka se tím zmenší (mezitím se server může zotavit).

Proč máš tolik souborů.php3 ? Těm šikovnějším stačí jeden na celý web.

Každopádně je zde (v éteru) důvodné podezření na zásadní WZ security leak... Mám pocit, že už se mi tohle taky někdy stalo, že jsem si někde stáhnul php zdroják, bohužel už nevím zda na wz či jinde. Každopádně si myslím, že by se na tohle mělo upozornit v podmínkách - aby si nikdo pokud možno neukládal do zdrojáku jiné heslo než k databázi, a i tak aby počítal s jeho zneužitím (a tedy zálohoval databázi pro takový případ).
Btw., řešení ala já je o řád bezpečnější - připojení k databázi zásadně řeším v includovaném (resp. requirovaném) souboru, takže se při této chybě návštěvník dozví leda název toho souboru (často ani to ne, protože mám často vícevrstevnaté includy). Vzhledem k nízké četnosti této chyby by pak musel cíleně a dlouhodobě furt dokola požadovat tento soubor, a i tak by asi musel mít celkem štěstí aby se mu stáhnul nezparsovanej a něco z něj vyčet...

Kit: nejedna se o ten web co jsem ted prihlaseny, ale o jiny. Tam mam udelane vsechno svoje, kompletni administraci, nasvtevni knihy, forum, prihlaseni uzivatelu, ankety a kdo vi co vsechno jeste...

bez fotek a dalsich hovadin ten web obsahuje kolem 300 - 400 souboru, kde php3 je zmineno v mensi casti, ale stejne je toho spousta :X Neznate nekdo neco co dokaze hromadne menit data uvnitr souboru? :D

jo a jeste kde vezmu jistotu ze mi to same neudela treba soubor ".php" At se s tim nefifram zbytecne :(

Třeba PSPad. A pro hromadné přejmenování používám Rename Editor, někdo také v kombinaci s PSPadem.

Nikde :-D Ale asi je pak ta pravděpodobnost menší a navíc viz výšeuvedené rady... Ale ono obecně platí, a na internetu obzvlášť, že nikdy nemáš jistotu, máš jen větší či menší pravděpodobnost...

Vím, že to umí VIM. PSPad to umí také.

U tak rozsáhlého webu bych uvažoval o jeho reorganizaci a snažil bych se to nacpat do několika souborů.

Pokud to .php3 dělá jen někdy, .php to bude dělat také jenom někdy. Možná by bylo lepší si zaplatit nějaký placený hosting, kde by se takové věci dít neměly.

Nacpat do několika souborů může být řešením.
Strašně moderní je už řadu let to, že máš jen jeden soubor a obsah taháš z databáze.
A moderním se už zaplaťbůh stávaj virtuální URL (nevim ted jak se to správně jmenuje), který sice neodpovídaj adresářový strktuře, ale taky obvykle nemaj příponu, takže tohle přejmenování souborů by se udělalo hned (ty adresy by se navenek vůbec nezměnily).

Rozdil mezi příponami php3 a php neni žádný. Kdykoli se to může stát u obou. Já pouze narážím na to, že použití .php3 už je dneska historické. Budoucí hostingy o použiti přípony php3 nemusí vědět a pak nastane problém. Přípona php je pro PHP normalizována. Takže bude fungovat furt. U php3 je to nejisté.

>>Těm šikovnějším stačí jeden na celý web.
Klidně. Když se v tom vyzná a pracuje na tom sám. U rozsáhlého webu už jeden soubor těžko bude stačit. V dnešní době OOP je spíše trend všechno rozdělit.

R.U.R.: hezká URL jsou cool. Ovšem neřeší to problémy se stažením php souboru. Hezká URL pouze skrývají skutečnou adresu.

Ale když už jsme u toho, tak je tu návrh. Přejmenovat soubory z php3 na php je brnkačka na pár minut. Upravit odkazy už dá zabrat.
Takže můžeš bezproblému přejmenovat soubory. Vytvořiš si pravidlo v .htaccess, kde řekneš, že odkazy s .php3 má nahradit skutečným .php. A mezitím můžeš v klidu předělávat odkazy na správné tvary. Po celou dobu bude web fungovat bez problému. Jakmile vše upraviš, tak to pravidlo můžeš vyhodit.


Ale jak už od začátku říkám. Je pouze na tobě, zda přejmenuješ soubory. Neříkal jsem, že musíš, ale že doporučuji.
Podstatu problému to sice nevyřeší, ale mělo by to být míň problematické.

Ovšem ještě jsem se nedozvěděl, zda používáš .htaccess. Protože ten bývá častým problémem stažení PHP souboru. Poud ne, tak to bude asi jen chvílková nevolnost serveru. Lze to přirovnat blesku. Objeví se jak kdy a jak kde, ale může udeřit i do stejného místa znovu.
Ale jak říkají ostatní, je dobré oddělit přístupové údaje od ostatních. Jednak to bude víc zabezpečeny (a můžeš také nastavit, aby nebyl vidět), a jednak se ti bude líp upravovat hodnoty.

V .htaccess sem se nikdy nehrabal, nemam s tim zkusenosti a jeste bych tam mohl neco domrvit :D Spis se divim, ze v pripade chyby tu chybu ten server nedetekuje a nezablokuje odeslani souboru, nechapu jak muze server nabidnout ke stazeni soubor php3... Je to cele nejake divne... Spravce wz by se na to mel podivat, vzdyt to muze udelat jakykoliv web

No, imho cool uri maj jako prvotní význam to, že se pak už nikdy nezmění adresa daného dokumentu, i když člověk změní server, technologii, adresářovou strukturu apod...
To že vypadaj hezky je imho až druhotný.