Inyeccion de Spam debido a codigo PHP

loncho_rojas · #1 (**permalink**) 14/09/2010, 08:44

Hola, si no corresponde el mensaje a este espacio, ruego se lo pueda mudar.

Mi problema recae en que recibi un sitio web que emplea una arquitectura muy vieja, y me enviaron un reporte de que la IP del sitio se emplea para enviar SPAM.. pense que era una inyeccion SQL, pero luego de mirar detenidamente los script vi esto

Código PHP:

Ver originalif(!isset($_GET['id']))
    { 
    include("inicio.php"); 
    } else {
    if(file_exists($_GET['id'].".php"))
    {
        include($_GET['id'].".php");
    } else {
        include("error.php");
    }
    }

Es decir, los links son enviados a la URL desde donde se consultan y llaman a los sitios externos.. en este caso, si quiero llamar a NOSOTROS.PHP, solo deberia ir como index.php?id=nosotros lo cual reconoceria la pagina y la incluiria.

De alguna forma que aun desconozco me han puesto un ID que obviamente no existe en mi servidor, pero que redirecciona a otro lugar que genera MENSAJES MASIVOS...

Preguntas...

- Como podrian introducir un codigo asi?
- Hay forma de detectar al agresor?
- Hay forma de bloquearlo con este metodo de uso del sitio para llamar a las paginas internas que no sea generar todo el sitio de nuevo?
- Ya esta obsoleto o es muy nuevo este método de navegación, debido a que yo nunca lo habia visto?

Les pregunto por si hay gente que ya tiene experiencia al respecto

Gracias

repara2 · #2 (**permalink**) 24/09/2010, 14:20

Hola loncho, en principio el código que usan no es antiguo ni tiene ningún problema, lo que pasa es que es poco habitual trabajar así.
Viendo el código, no se entiende que te puedan pasar un id que no exista en tu server. Es decir, si el arhivo .php no existe, según el código redirecciona a error.php.
Comprueba el código en error.php a ver qué hace.
Como medida preventiva, prueba cambiar el nombre del parámetro $_GET['id'] por cualquier otro, tipo $_GET['file'].
Quienquiera que te ataca sabe que tu variable se llama id, al menos por un rato, no pueden atacarte hasta que se enteren de que el parámetro ha cambiado.
Utiliza las variables $_SERVER para identificar al cliente, pero esto sirve de poco.
Parece que vas a tener que securizar un poco el código.
No sé si te habré dado alguna pista útil, salu2 a todo Paraguay.

abimaelrc · #3 (**permalink**) 24/09/2010, 17:34

Eso representa un riesgo, ya que estás dandole libertad a que se ejecute algún código por medio de el método GET. Debes limpiar la variable antes de usarla.